Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=identity-detection-credential-compromise

Kompromittierung von Anmeldeinformationen

Sie können sich alle Datenlecks ansehen, die wir basierend auf Ihren konfigurierten Domänen auf der Seite Kompromittierung von Anmeldeinformationen gesammelt haben. Wir generieren nur Befunde für aktive Identitäten, sammeln und speichern aber historische Daten, die wir in Bezug auf Ihre Domänen finden. Für weitere Informationen siehe Häufig gestellte Fragen zu ITDR.

Seite „Kompromittierung von Anmeldeinformationen“ aufrufen

Wenn Sie direkt von Meine Produkte > Identity auf die Seite „Kompromittierung von Anmeldeinformationen“ zugreifen, wird die Tabelle standardmäßig nach dem Leckstatus Aktiv und dem Identitätsstatus Aktiv gefiltert.

Klicken Sie alternativ auf eine Metrik im Widget Kompromittierung von Anmeldeinformationen unter Risiko-Posture der Identität – Übersicht, um die Seite Kompromittierung von Anmeldeinformationen aufzurufen, die je nach angeklickter Metrik gefiltert ist:

  • Quellen: Gefiltert nach Leckstatus Aktiv.
  • Nur-Text-Kennwörter: Nach dem Nur-Text-Kennworttyp mit Leckstatus Aktiv gefiltert.
  • Gehashte Kennwörter: Nach dem Hash-Kennworttyp mit Leckstatus Aktiv gefiltert.
  • E-Mails: Gefiltert nach Leckstatus Aktiv.
  • Eindeutige Kennwörter: Gefiltert nach Leckstatus Aktiv.
  • Administrator-E-Mails: Gefiltert nach Admin-Konten mit Leckstatus Aktiv.

Hinweis

E-Mails und eindeutige Kennwörter sind allgemeine Metriken der zugrunde liegenden Daten, daher sind keine Filter damit verbunden.

Metriken für kompromittierte Zugangsdaten

Die Metriken oben auf der Seite sind dieselben Metriken, die im Widget Kompromittierung von Anmeldeinformationen in Risiko-Posture der Identität – Übersicht enthalten sind und Daten zu aktiven Lecks anzeigen.

Metriken für kompromittierte Zugangsdaten.

Ein Leck gilt als aktiv, wenn eine Identität innerhalb der konfigurierten Identitätsanbieter aktiv ist und die letzte Kennwortänderung für das zugehörige Konto vor dem ursprünglichen Leckdatum erfolgt ist.

Wenn es keine übereinstimmende Identität für den Leck-Datensatz gibt, werden diese Datensätze als inaktiv betrachtet. Diese Datensätze beziehen sich häufig auf alte Benutzer und gelöschte Konten.

Metrikdefinitionen

  • Quellen: Die Anzahl der aktiven eindeutigen Leckquellen, in denen Daten für Ihre Domänen beobachtet wurden.
  • Nur-Text-Kennwörter: Die Anzahl der aktiven Lecks, in denen Nur-Text-Kennwörter in den Daten des Lecks gefunden wurden.
  • Gehashte Kennwörter: Die Anzahl der aktiven Lecks, bei denen gehashte Kennwörter in den Daten des Lecks gefunden wurden.
  • E-Mails: Anzahl der aktiven eindeutigen E-Mail-Konten, die in den Leckdaten beobachtet wurden.
  • Administrator-E-Mails: Anzahl der aktiven Konten, die als Administrator identifiziert wurden und in den Leckdaten beobachtet wurden.
  • Eindeutige Kennwörter: Anzahl der aktiven eindeutigen Kennwörter, die in den Leckdaten beobachtet wurden.

Lecks ansehen

Sehen Sie sich die Daten an. Verwenden Sie dabei eine Kombination von Filtern, die sowohl Informationen über die verknüpften Benutzer als auch die Leckdatensätze enthalten. Zusätzlich können Sie zur Sortierung der Daten die folgenden Zeitstempel verwenden, die mit den Datensätzen verknüpft sind:

  • Veröffentlichungsdatum: Wann der Datensatz ursprünglich in den Datasets gefunden wurde.
  • Leckdatum: Wann der Datensatz öffentlich verfügbar wurde.
  • Datum des Vorfalls: Wann der Vorfall aufgetreten ist. Diese Daten sind möglicherweise nicht immer verfügbar.

Es kann mehrere Datensätze für denselben Benutzer in einem Leck geben. Dies kann passieren, wenn die Daten in einer generischen Leckquelle, z. B. in Kombinationslisten, identifiziert wurden oder wenn der Benutzer mehrmals im Datensatz genannt wurde. Als Ergebnis sehen Sie innerhalb einer Leckquelle mehrere Datensätze für denselben Benutzer.

Leckstatus

Die Seite Kompromittierung von Anmeldeinformationen zeigt Lecks mit dem Status Aktiv oder Inaktiv.

Aktive Leaks

Lecks haben den Status Aktiv, wenn eine übereinstimmende Identität vorhanden ist und die letzte Kennwortänderung für das zugehörige Konto vor dem ursprünglichen Leckdatum erfolgt ist.

Inaktive Leaks

Lecks haben in den folgenden Szenarien den Status Inaktiv:

  • Es gibt keine übereinstimmende Identität innerhalb der konfigurierten Identitätsanbieter, mit der sie korreliert werden können.
  • Die letzte Kennwortänderung erfolgte nach dem Leckdatum.
  • Das Kennwort des Kontos wurde kürzlich geändert.
  • Das Konto wurde deaktiviert oder gelöscht.
  • Ein zugehöriger Befund wurde aufgelöst oder verworfen.
  • Es ist mehr als ein Jahr her, seit das Leck veröffentlicht wurde.

Leckdetails anzeigen

Klicken Sie auf das Feld „Quelle“, um einen Bereich mit zusätzlichen Details zum Leck und zur verknüpften Identität anzuzeigen, sofern verfügbar.

Details zum Vorfall.

Reaktionsmaßnahmen durchführen

Wenn Sie Reaktionsmaßnahmen autorisieren möchten, können Sie diese für jede der verknüpften Identitäten aus der Tabelle oder den Details zum Datenleck ausführen.

  1. Klicken Sie auf Aktionen.
  2. Wählen Sie aus, welche Reaktionsmaßnahme Sie ausführen möchten.
  3. Folgen Sie den Anweisungen.

Hinweis

Die Schaltfläche Aktionen ist deaktiviert, wenn keine übereinstimmende Identität gefunden wird.