# BreachWatch (ダークウェブ) ![Keeper BreachWatch](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F2wXIEq62LxWTrNPRW4SY%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-35af79585a5ccd9478e712418ca8271959392c4b_breachwatch-header.jpeg?alt=media\&token=682341dc-59b2-4bc5-a51d-cd44f36490b0) ## 概要 BreachWatchによって、ダークウェブの侵害データを継続的に監視することで、組織はユーザーのパスワードの脆弱性を管理できます。クレデンシャルスタッフィング攻撃やアカウント乗っ取りの危険に組織を晒すおそれのある侵害に記録内のパスワードが悪用された場合、ユーザーと管理者に通知されます。 BreachWatchを使用するダークウェブモニタリングの詳細は、以下の動画をご覧ください。 {% embed url="" %} ## エンドユーザー体験 BreachWatchでは、ユーザーのクライアントデバイス上で通知が表示され、漏洩したパスワードに対して「パスワードの変更」または「無視」のいずれかで対応するよう促します。パスワードアラートを無視した場合、そのレコードは今後のスキャンでスキップされ、パスワードがリセットされるまで再検出されません。また、ユーザーが何も対応せず (保留状態のまま) 危険なパスワードを変更しないことも可能で、その場合は引き続き「リスクあり」の状態となります。

## 管理コンソールの操作性 BreachWatchでは、管理コンソールにダッシュボードの概要を設け、BreachWatchの通知に対するユーザーの対応状況の詳細情報を管理者に表示します。

ユーザーが「危険」または「無視」のパスワードを保持している場合、Keeper管理者はそのユーザーに対応を促すことができます。なお、パスワードを含まないレコードはカウントに含まれません。レポートには、「所有しているレコード」と「共有されているレコード」の両方が含まれます。

## レポートとアラート高度なレポートとアラートモジュールがエンタープライズライセンスで有効になると、BreachWatch固有のイベントがデバイスやクライアントから送信され、様々なフィルタを使用してアクティビティをレポートしたり、アラートを生成したりできます。 ### BreachWatchイベントレポート機能の有効化 {% hint style="warning" %} BreachWatchデータのイベントレベルのレポートを高度なレポートとアラートモジュールで有効にするには、特定のロール > **\[強制適用ポリシー]** > **\[ボルト機能]** 画面で **\[BreachWatchイベントを外部SIEMソリューションに送信]** を有効にする必要があります。 {% endhint %} デフォルトでは、Keeperはユーザーのデバイスから接続されているSIEMや高度なレポートとアラート報告ツールにBreachWatchイベントデータを送信しません。Keeper管理者がこの機能を有効にすると、イベントデータは高度なレポートエンジンや、Splunkなどの接続されているSIEMシステムに送信され始めます。この操作は過去に遡って適用できないことにご注意ください。この機能が有効化された場合のみ、イベントが高度なレポートとアラートに送信されます。

### BreachWatchレポート BreachWatchイベントがレポートモジュールに送信されたら、「レポートとアラート」画面にアクセスして、レポートを生成します。

**\[カスタムレポート追加]** をクリックし、BreachWatchイベントを選択します。 ![BreachWatchイベント](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FvMczXiTqfZuhgpzZKUs5%2FJP_BWReportAlert.png?alt=media\&token=4abd0f52-579f-46ad-9eb0-9e1d70c4f3a7) また、カスタムイベントの追跡を使用して、アラートを作成できます。

SlackチャネルアラートやMicrosoft Teamsなどのカスタムロジックを実行できるように、Webhookを使用してアラートを受信できます。 Webhookアラートを有効にする手順は以下の通りです。 1. イベント名をクリックします。 2. **\[受信者]** タブをクリックします。 3. 新しい受取人を追加するか、既存の受取人をクリックします。 4. **\[Webhookを追加]** ボタンをクリックします。 5. URL、HTTPボディ、およびオプショントークンを設定します。 6. **\[保存]** をクリックします。 ![アラート受信者とWebhook](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F79jmJWnB0FmOoRu6yog6%2FJP_Webhook.png?alt=media\&token=c37412d4-9cdf-4fb4-a1be-a71db50483f9) また、サードパーティのSIEMソリューションにイベントを配信することもできます。 ![SIEMの統合](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FwHB41TAB0jTQL0aTj46y%2FJP_ReportAlert3rdparty.png?alt=media\&token=f8465f5d-51b0-42ed-8581-3a37738e3977) #### 展開とレポートの有効化 * BreachWatchの機能はロール強制適用ポリシーから組織に選択的に展開することができます。**\[クライアントデバイスでBreachWatchを一時停止]** トグルにより、デバイスがレポートの目的でイベントを送信するかどうか、ユーザーのデバイスにまったく表示されないようにサービスの一時停止を行うかどうかを制御できます。レポートモジュールにイベントを有効にすると、レコードイベントのメタデータ (ユーザーのメールアドレス、レコードのUID、IPアドレスやデバイスの種類) がKeeperのバックエンドから接続されているSIEM製品へ送信されます。 * 組織全体にBreachWatchを一度に展開しない場合、**\[クライアントデバイスでBreachWatchを一時停止]** トグルを使用して展開を管理することができます。このノードのユーザーには、BreachWatchはクライアントデバイス上で有効化されません。

## セキュリティ BreachWatchは、ユーザーの情報を保護するために階層化された多数の手法を活用するゼロ知識アーキテクチャです。BreachWatchのセキュリティと暗号化モデルに関する技術的な詳細情報は、[Keeper暗号化モデルドキュメント](https://docs.keeper.io/enterprise-guide/keeper-encryption-model#breachwatch)のBreachWatchセクションにアクセスしてください。 ## CLI (コマンドラインインターフェイス) コマンド BreachWatchは[KeeperコマンダーCLI](https://docs.keeper.io/keeperpam/commander-cli/overview)で管理および使用することができます。以下の関連コマンドを参照してください。 * [`breachwatch`](https://docs.keeper.io/keeperpam/commander-cli/command-reference/enterprise-management-commands/breachwatch-commands)