En tant qu’administrateur d’une organisation disposant de la Protection des identifiants, l’examen de l’export de votre journal d’activité vous aide à retracer et gérer les événements de sécurité au sein de votre organisation. Ce guide explique les colonnes CSV de l’export, comment chaque valeur est déterminée et comment lire correctement les lignes.
Consulter les journaux de la Protection des identifiants disponibles à exporter
Les fonctionnalités de la Protection des identifiants comportent plusieurs journaux d’activité que vous pouvez exporter :
| Entrée du journal | Description |
| Détection des risques liés aux identifiants |
Un administrateur a activé ou désactivé la Détection des risques liés aux identifiants Un employé se connecte à un site Web avec un mot de passe compromis en utilisant Dashlane Un employé se connecte à un site Web avec un mot de passe faible en utilisant Dashlane Un employé se connecte à un site Web avec un mot de passe compromis alors qu’il n’est pas connecté à Dashlane Un employé se connecte à un site Web avec un mot de passe faible alors qu’il n’est pas connecté à Dashlane Un employé se connecte à un site Web avec un mot de passe compromis alors qu’il n’a pas de compte Dashlane Un employé se connecte à un site Web avec un mot de passe faible alors qu’il n’a pas de compte Dashlane |
| Alertes de phishing avec IA |
Un employé a fermé une alerte de phishing avec IA Un employé a accepté une alerte de phishing avec IA Un employé a saisi un mot de passe sur un site à propos duquel il a reçu une alerte |
| Notifications de risques |
Un administrateur a installé ou désinstallé une intégration de plate-forme de messagerie (Slack) Un administrateur a activé ou désactivé une notification Un lot de notifications a été envoyé aux membres Un membre a reçu une notification |
| Alertes de risque pour les identifiants |
Un administrateur a activé ou désactivé une Alerte de risque pour les identifiants Un employé a reçu une alerte l’invitant à changer un mot de passe vulnérable Un employé a changé un mot de passe vulnérable suite à une alerte |
Concept clé : Événements de connexion vs événements sans connexion
La chose importante à comprendre concernant l’exportation est que tous les événements ne sont pas du même type. Le type d’événement détermine quelles valeurs sont renseignées dans les colonnes d’identité. Il est courant que le même employé apparaisse avec différentes valeurs d’Identité de l’utilisateur selon les types d’événements dans la même exportation. Cette variation est un comportement attendu en raison de la logique événements de connexion vs événements sans connexion.
-
Événements de connexion :
Ceux-ci se produisent lorsqu’un employé saisit un identifiant (e-mail ou nom d’utilisateur) dans un champ sur un site Web que Dashlane a signalé comme à risque. Comme un identifiant a été capturé, l’Identité de l’utilisateur affiche ce qui a réellement été saisi, ce qui est le signal d’identité le plus précis. Exemples : journaux de détection des risques ou Détection de phishing par IA, où l’utilisateur a soumis des identifiants.
-
Événements sans connexion :
Ceux-ci se produisent lorsqu’aucun identifiant n’a été saisi sur un site Web. L’identité est déduite du statut de connexion au coffre-fort ou du contexte de l’appareil. L’Identité de l’utilisateur reflète la personne connectée à Dashlane ou, à défaut, le nom de l’appareil. Exemples : Notifications de risques reçues, appareils ajoutés, actions d’administrateur, événements d’invitation et alertes de phishing par IA fermées sans saisie d’identifiant.
Explorer le journal d'activité
Définitions des colonnes
L’exportation contient quatre colonnes d’Identité. Voici ce que chacune capture :
-
Identité de l’utilisateur:
Il s’agit de l’identifiant principal de la personne à l’origine de l’événement. Pour les événements de connexion, il capture la valeur exacte saisie dans le champ nom d’utilisateur ou e-mail sur le site Web. Il peut s’agir d’un e-mail complet ou d’un nom d’utilisateur sans domaine. Pour les événements sans connexion, si l’employé est connecté à son coffre-fort, l’e-mail du coffre-fort est affiché. S’il est déconnecté ou n’a pas de coffre-fort, le nom de l’appareil est affiché en solution de repli.
-
Nom de l’appareil:
Il s’agit du nom de l’appareil géré où l’événement a été capturé, tel que défini par l’administrateur ou la stratégie MDM. Il est renseigné pour chaque événement, quel que soit le type, et constitue l’identifiant le plus stable de l’exportation. Sur les appareils partagés ou non gérés, il peut s’agir d’un identifiant numérique.
-
Coffre-fort Dashlane associé:
Il s’agit de l’e-mail que l’employé utilise pour se connecter à son coffre-fort Dashlane, uniquement s’il était connecté au moment de l’événement. Utilisez cette colonne pour faire correspondre l’Identité de l’utilisateur à votre annuaire des utilisateurs Dashlane. Elle affiche N/A si l’employé était déconnecté ou n’avait pas de coffre-fort.
-
Type de compte:
Ceci classe l’identifiant utilisé selon que son domaine correspond à un domaine vérifié par l’entreprise dans Dashlane.
Valeurs du type de compte
Type de compte n’a de sens que pour les événements de connexion. Il vous indique si un identifiant à risque était un compte de travail ou un compte personnel. Le Type de compte est basé sur la correspondance de domaine, il fonctionne donc mieux si vous avez au moins un domaine vérifié.
Vérification de domaine pour les plans professionnels
-
Professionnel :
Le domaine dans le nom d’utilisateur correspond à un domaine vérifié par l’entreprise. Si un domaine est capturé mais ne correspond pas à la liste vérifiée, il peut encore être considéré comme un « événement du coffre-fort » et affiché comme Professionnel.
-
Personnel :
Un domaine a été capturé, mais il ne correspond à aucun domaine d’entreprise vérifié. Cela signifie que l’employé a utilisé un e-mail non professionnel sur ce site Web. Le fait que cela pose un problème dépend entièrement de la politique de votre organisation.
-
Inconnu :
Aucun domaine n’a pu être capturé à partir du nom d’utilisateur, ou il s’agit d’un événement sans connexion. Tous les événements sans connexion renvoient Inconnu par conception, car aucun domaine d’identifiant n’est capturé.
-
N/A :
Le Type de compte n’était pas applicable ou n’a pas été capturé. Un employé a fermé une alerte de phishing par IA sur un domaine signalé, mais a quitté le site avant de saisir des identifiants. Aucun identifiant n’a été capturé (pas un événement de connexion), et l’employé n’était pas connecté à Dashlane. En conséquence, l’Identité utilisateur utilise le nom d’utilisateur de l’appareil, et l’Utilisateur du coffre-fort est N/A. Le Nom de l’appareil est le seul identifiant disponible.
Exemples et comportement attendu
Voici comment interpréter les scénarios courants et les cas limites dans votre export :
-
E-mail professionnel utilisé sur un site à risque :
Si un employé connecté saisit son e-mail professionnel sur un site à risque, les colonnes Identité utilisateur et Coffre-fort Dashlane correspondront. Le Type de compte sera Professionnel.
-
E-mail personnel utilisé sur un site à risque :
La colonne Coffre-fort Dashlane affiche l’e-mail Dashlane de l’employé, tandis que l’Identité utilisateur affiche l’e-mail personnel qu’il a saisi. Le Type de compte sera Personnel. Il s’agit du comportement attendu. Utilisez le Coffre-fort Dashlane pour identifier l’employé, et l’Identité utilisateur pour comprendre quels identifiants nécessitent une attention.
-
Identifiant ne comportant qu’un nom d’utilisateur sans session du coffre-fort :
Si un employé utilise un nom d'utilisateur simple (sans domaine) et n'est pas connecté à Dashlane, le Type de compte est Inconnu et le coffre-fort Dashlane est N/A. L'Identité de l'utilisateur affichera le nom d'utilisateur simple. Le Nom de l'appareil est le seul renvoi croisé disponible.
-
Alerte de phishing IA fermée sans saisir d'identifiants:
Aucun identifiant n'ayant été capturé, il s'agit d'un événement sans connexion. Si l'employé n'était pas connecté à Dashlane, l'Identité de l'utilisateur affichera le nom de l'appareil, le coffre-fort Dashlane sera N/A, et le Type de compte sera Inconnu. C'est prévu par conception; utilisez le Nom de l'appareil pour identifier la machine.