Als Administrator einer Organisation mit Schutz von Anmeldedaten hilft Ihnen die Durchsicht Ihres Aktivitätsprotokoll-Exports, Sicherheitsereignisse innerhalb Ihrer Organisation nachzuverfolgen und zu verwalten. Dieser Leitfaden erklärt die CSV-Spalten im Export, wie jeder Wert ermittelt wird und wie die Zeilen korrekt gelesen werden.
Prüfen Sie die für den Export verfügbaren Protokolle des Schutzes von Anmeldedaten
Die Funktionen des Schutzes von Anmeldedaten verfügen über mehrere Aktivitätsprotokolle, die Sie exportieren können:
| Protokolleintrag | Beschreibung |
| Risikoerkennung bei Anmeldedaten |
Ein Administrator hat die Risikoerkennung ein- oder ausgeschaltet Ein Mitarbeiter meldet sich bei einer Website mit einem gefährdeten Passwort mit Dashlane an Ein Mitarbeiter meldet sich bei einer Website mit einem schwach Passwort mit Dashlane an Ein Mitarbeiter meldet sich bei einer Website mit einem gefährdeten Passwort an, während er nicht bei Dashlane angemeldet ist Ein Mitarbeiter meldet sich bei einer Website mit einem schwach Passwort an, während er nicht bei Dashlane angemeldet ist Ein Mitarbeiter meldet sich bei einer Website mit einem gefährdeten Passwort an, ohne ein Dashlane-Konto zu haben Ein Mitarbeiter meldet sich bei einer Website mit einem schwach Passwort an, ohne ein Dashlane-Konto zu haben |
| AI phishing-Warnungen |
Ein Mitarbeiter hat eine AI phishing-Warnung verworfen Ein Mitarbeiter hat eine AI phishing-Warnung akzeptiert Ein Mitarbeiter hat auf einer Website ein Passwort eingegeben, zu der er eine Warnung erhalten hat |
| Risikobenachrichtigungen |
Ein Administrator hat eine Messaging-Plattform-Integration (Slack) installiert oder deinstalliert Ein Administrator hat eine Benachrichtigung aktiviert oder deaktiviert Eine Gruppe von Benachrichtigungen wurde an Teammitglieder gesendet Ein Mitglied erhielt eine Benachrichtigung |
| Risikowarnungen für Anmeldedaten |
Ein Administrator hat eine Risikowarnung für Anmeldedaten aktiviert oder deaktiviert Ein Mitarbeiter erhielt eine Warnung, die ihn aufforderte, ein gefährdetes Passwort zu ändern Ein Mitarbeiter änderte nach einer Warnung ein gefährdetes Passwort |
Zentrales Konzept: Login- vs. Nicht-Login-Ereignisse
Das Wichtigste beim Export ist, dass nicht alle Ereignisse vom gleichen Typ sind. Der Ereignistyp bestimmt, welche Werte in den Identitätsspalten ausgefüllt werden. Es ist üblich, dass derselbe Mitarbeiter in demselben Export bei verschiedenen Ereignistypen mit unterschiedlichen Benutzeridentität-Werten erscheint. Diese Varianz ist erwartetes Verhalten aufgrund der Logik von Login- vs. Nicht-Login-Ereignissen.
-
Login-Ereignisse:
Diese treten auf, wenn ein Mitarbeiter eine Anmeldeinformation (E-Mail oder Benutzername) in ein Feld auf einer Website eingibt, die von Dashlane als risikobehaftet markiert wurde. Da eine Anmeldeinformation erfasst wurde, zeigt die Benutzeridentität, was tatsächlich eingegeben wurde, was das präziseste Identitätssignal ist. Beispiele: Protokolle zur Risikoerkennung oder KI-basierte Phishing-Erkennung, bei denen der Benutzer Anmeldedaten übermittelt hat.
-
Nicht-Login-Ereignisse:
Diese treten auf, wenn keine Anmeldeinformation auf einer Website eingegeben wurde. Die Identität wird aus dem Anmeldestatus des Tresors oder dem Gerätekontext abgeleitet. Die Benutzeridentität gibt wieder, wer bei Dashlane angemeldet war, oder greift auf den Gerätenamen zurück. Beispiele: erhaltene Risikobenachrichtigungen, hinzugefügte Geräte, Administratoraktionen, Einladungsereignisse und verworfene KI-basierte Phishing-Warnungen ohne Eingabe von Anmeldedaten.
Spaltendefinitionen
Der Export enthält vier Identitäts-Spalten. Folgendes wird jeweils erfasst:
-
Benutzeridentität:
Dies ist der primäre Bezeichner für die Person hinter dem Ereignis. Bei Login-Ereignissen erfasst er den exakt im Benutzername- oder E-Mail-Feld auf der Website eingegebenen Wert. Es kann sich um eine vollständige E-Mail oder einen Benutzernamen ohne Domain handeln. Bei Nicht-Login-Ereignissen wird, wenn der Mitarbeiter in seinem Tresor angemeldet ist, die Tresor-E-Mail angezeigt. Wenn er abgemeldet ist oder keinen Tresor hat, wird der Gerätename als Fallback angezeigt.
-
Gerätename:
Dies ist der Name des verwalteten Geräts, auf dem das Ereignis erfasst wurde, wie vom Administrator oder durch MDM-Richtlinie festgelegt. Er wird für jedes Ereignis unabhängig vom Typ ausgefüllt und ist der stabilste Bezeichner im Export. Auf gemeinsam genutzten oder nicht verwalteten Geräten kann dies ein numerischer Bezeichner sein.
-
Zugehöriger Dashlane-Tresor:
Dies ist die E-Mail, mit der sich der Mitarbeiter bei seinem Dashlane-Tresor anmeldet, jedoch nur, wenn er zum Zeitpunkt des Ereignisses angemeldet war. Verwenden Sie diese Spalte, um die Benutzeridentität mit Ihrem Dashlane-Benutzerverzeichnis abzugleichen. Es zeigt N/A an, wenn der Mitarbeiter abgemeldet war oder keinen Tresor hatte.
-
Kontotyp:
Dies klassifiziert die verwendete Anmeldeinformation danach, ob ihre Domain mit einer vom Unternehmen verifizierten Domain in Dashlane übereinstimmt.
Kontotyp-Werte
Kontotyp ist nur für Login-Ereignisse aussagekräftig. Er sagt Ihnen, ob eine gefährdete Anmeldeinformation ein Arbeitskonto oder ein persönliches war. Der Kontotyp basiert auf Domain-Abgleich, daher funktioniert er am besten, wenn Sie mindestens eine verifizierte Domain haben.
Domain-Verifizierung für Geschäftstarife
-
Beruflich:
Die Domain im Benutzernamen entspricht einer vom Unternehmen verifizierten Domain. Wenn eine Domain erfasst wird, aber nicht mit der verifizierten Liste übereinstimmt, kann sie dennoch als „Tresor-Ereignis“ betrachtet und als Beruflich angezeigt werden.
-
Persönlich:
Eine Domain wurde erfasst, aber sie stimmt mit keiner verifizierten Unternehmensdomain überein. Das bedeutet, dass der Mitarbeiter auf dieser Website eine Nicht-Arbeits-E-Mail verwendet hat. Ob dies ein Anlass zur Sorge ist, hängt vollständig von der Richtlinie Ihrer Organisation ab.
-
Unbekannt:
Aus dem Benutzernamen konnte keine Domain erfasst werden, oder dies ist ein Nicht-Login-Ereignis. Alle Nicht-Login-Ereignisse geben standardmäßig Unbekannt zurück, da keine Anmeldeinformations-Domain erfasst wird.
-
N/A:
Der Kontotyp war nicht anwendbar oder wurde nicht erfasst. Ein Mitarbeiter hat eine KI-phishing-Warnung auf einer gekennzeichneten Domain verworfen, die Website jedoch verlassen, bevor Anmeldedaten eingegeben wurden. Es wurde keine Anmeldeinformation erfasst (kein Login-Ereignis), und der Mitarbeiter war nicht bei Dashlane angemeldet. Daraus folgt, dass Benutzeridentität den Geräte-Benutzernamen verwendet und Tresor-Benutzer N/A ist. Der Gerätename ist der einzige verfügbare Identifikator.
Beispiele und erwartetes Verhalten
So interpretieren Sie gängige Szenarien und Randfälle in Ihrem Export:
-
Arbeits-E-Mail auf gefährdeter Website verwendet:
Gibt ein angemeldeter Mitarbeiter seine Arbeits-E-Mail auf einer gefährdeten Website ein, stimmen die Spalten Benutzeridentität und Dashlane-Tresor überein. Kontotyp ist Beruflich.
-
Persönliche E-Mail auf gefährdeter Website verwendet:
Die Spalte Dashlane-Tresor zeigt die Dashlane-E-Mail des Mitarbeiters, während Benutzeridentität die persönliche E-Mail zeigt, die er eingegeben hat. Kontotyp ist Persönlich. Dies ist erwartetes Verhalten. Verwenden Sie den Dashlane-Tresor, um den Mitarbeiter zu identifizieren, und die Benutzeridentität, um zu verstehen, welche Anmeldedaten Aufmerksamkeit erfordern.
-
Nur-Benutzername-Anmeldeinformation ohne Tresor-Sitzung:
Wenn ein Mitarbeiter einen blanken Benutzernamen (keine Domain) verwendet und nicht bei Dashlane angemeldet ist, ist der Kontotyp Unbekannt und der Dashlane-Tresor ist N/A. Die Benutzeridentität zeigt den blanken Benutzernamen an. Der Gerätename ist der einzige verfügbare Querverweis.
-
KI-phishing-Warnung ohne Eingabe von Anmeldedaten verworfen:
Da keine Anmeldedaten erfasst wurden, handelt es sich um ein kein Login-Ereignis. Wenn der Mitarbeiter nicht bei Dashlane angemeldet war, zeigt die Benutzeridentität den Gerätenamen, der Dashlane-Tresor ist N/A, und der Kontotyp ist Unbekannt. Dies ist beabsichtigt; verwenden Sie den Gerätenamen, um das Gerät zu identifizieren.