コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=identity-detection-credential-compromise

認証情報の侵害

設定済みのドメインに関する流出データを、「認証情報の侵害」ページでまとめて確認できます。アクティブなアイデンティティに関する調査結果が表示されますが、対象ドメインについて収集された過去のデータも保持されます。詳細は、ITDR に関するよくある質問 (FAQ)を参照してください。

「認証情報の侵害」ページにアクセスする

マイプロダクト > アイデンティティ」から「認証情報の侵害」ページに直接アクセスすると、アクティブな流出ステータスおよびアクティブなアイデンティティステータスがデフォルトで表示されます。

または、「アイデンティティリスクの概要」ページで「認証情報の侵害」ウィジェット上の指標をクリックすると、「認証情報の侵害」ページが以下のように各指標について絞り込まれた状態で開きます。

  • ソース:流出ステータスがアクティブであるものが表示されます。
  • プレーンテキストのパスワード:流出ステータスがアクティブである、プレーンテキストのパスワードに関する情報が表示されます。
  • ハッシュ化されたパスワード:流出ステータスがアクティブである、ハッシュ化されたパスワードに関する情報が表示されます。
  • メール:流出ステータスがアクティブであるものが表示されます。
  • 一意のパスワード:流出ステータスがアクティブであるものが表示されます。
  • 管理者のメール:流出ステータスがアクティブである、管理者アカウントに関する情報が表示されます。

メールおよび一意のパスワードは、データ全体から取得した指標であるため、フィルタはありません。

認証情報の侵害の指標

「認証情報の侵害」ページの上部の指標は、「アイデンティティリスクの概要」の「認証情報の侵害」ウィジェットに表示されるものと同じで、アクティブな流出データを示します。

認証情報の侵害の指標。

アクティブな流出とみなされる条件は、設定済みの IdP 内のアクティブなアイデンティティであること、かつ、アイデンティティに関連付けられたアカウントのパスワードの最終変更日が、最初の流出日よりも前であることです。

該当するアイデンティティがない場合、そのレコードは非アクティブとみなされます。そのようなレコードは、通常、古いユーザーや削除済みのアカウントに関係しています。

指標の定義

  • ソース:ドメインに関するデータが見つかった、アクティブな流出ソースの総数。
  • プレーンテキストのパスワード:アクティブな流出データに含まれる、プレーンテキスト形式のパスワードの総数。
  • ハッシュ化されたパスワード:アクティブな流出データに含まれる、ハッシュ化されたパスワードの総数。
  • メール:アクティブな流出データに含まれる、メールアカウントの総数。
  • 管理者のメール:アクティブな流出データに含まれる、管理者アカウントの総数。
  • 一意のパスワード:アクティブな流出データに含まれる、異なるパスワードの総数。

流出データの調査

流出レコードおよび関連するユーザーについて、フィルタを組み合わせて適用し、詳しく調べることができます。また、以下の日付でレコードを並べ替えることもできます。

  • 公開日:レコードがデータセット内に最初に掲載された日。
  • 流出日:レコードが最初に出回った日。
  • 侵害日:侵害の発生日。この日付は、表示されない場合もあります。

流出データ内に、同じユーザーのレコードが重複する場合があります。たとえば、コンボリストなどの一般的な流出ソースからデータが見つかった場合や、特定のデータセットに同じユーザーが複数回含まれる場合は、1つの流出ソース内に同じユーザーのレコードが重複することがあります。

流出ステータス

認証情報の侵害」ページに、流出ステータスが「アクティブ」または「非アクティブ」と表示されます。

アクティブな流出

流出ステータスがアクティブとなるのは、該当するアイデンティティが存在し、かつ、アイデンティティに関連付けられているアカウントの最後のパスワード変更日が、最初の流出日以前であるような場合です。

非アクティブな流出

流出ステータスが非アクティブとなるのは、以下にあてはまる場合です。

  • 設定済みの IdP 内に、該当するアイデンティティが存在しない。
  • 流出日より後に、パスワードが変更されている。
  • アカウントのパスワードが最近変更された。
  • アカウントが無効化されている、または削除済みである。
  • 関連する調査項目が解決済みであるか、または、却下されている。
  • 流出が明らかになってから、1年以上が経過している。

流出の詳細情報の確認

ソースフィールドをクリックすると、流出および関連するアイデンティティの詳細情報が表示されます。

侵害の詳細。

対応アクションの実行

流出情報の表または詳細画面から、流出に関係するアイデンティティに対して以下の操作を行えます (対応アクションを承認済みの場合)。

  1. アクション」をクリックします。
  2. 対応アクションを選択します。
  3. プロンプトに従います。

該当するアイデンティティが見つからない場合、「アクション」ボタンは無効になります。