Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

BreachWatch (ダークウェブ)

エンタープライズ用Keeperのゼロ知識ダークウェブ侵害スキャン

Keeper BreachWatch

概要

BreachWatchによって、ダークウェブの侵害データを継続的に監視することで、組織はユーザーのパスワードの脆弱性を管理できます。クレデンシャルスタッフィング攻撃やアカウント乗っ取りの危険に組織を晒すおそれのある侵害に記録内のパスワードが悪用された場合、ユーザーと管理者に通知されます。

BreachWatchを使用するダークウェブモニタリングの詳細は、以下の動画をご覧ください。

ダークウェブモニタリング

エンドユーザー体験

BreachWatchでは、ユーザーのクライアントデバイス上で通知が表示され、漏洩したパスワードに対して [解決] からパスワードの変更または無視のいずれかで対応するよう促します。パスワードアラートを無視した場合、そのレコードは今後のスキャンでスキップされ、パスワードがリセットされるまで再検出されません。また、ユーザーが何も対応せず (保留状態のまま) 危険なパスワードを変更しないことも可能で、その場合は引き続き「リスクあり」の状態となります。

管理コンソールの操作性

BreachWatchでは、管理コンソールにダッシュボードの概要とサマリーテーブルが表示され、ユーザーがBreachWatchの通知にどのように対応したかが分かるようになっています。

ユーザーが「危険」または「無視」のパスワードを保持している場合、Keeper管理者はそのユーザーに対応を促すことができます。なお、パスワードを含まないレコードはカウントに含まれません。レポートには、「所有しているレコード」と「共有されているレコード」の両方が含まれます。

BreachWatchレポート

レポートとアラート

レポート・アラートモジュールがエンタープライズライセンスで有効になると、BreachWatch固有のイベントがデバイスやクライアントから送信され、様々なフィルタを使用してアクティビティをレポートしたり、アラートを生成したりできます。

BreachWatchイベントレポート機能の有効化

重要: BreachWatchデータのイベントレベルのレポートをレポート・アラートモジュールで有効にするには、特定のロールの [強制適用ポリシー] > [ボルト機能] 画面で、イベントロールの強制適用ポリシーを有効にする必要があります。

デフォルトでは、Keeperはユーザーのデバイスから接続されているSIEMやレポート・アラートモジュールにBreachWatchイベントデータを送信しません。Keeper管理者がこの機能を有効にすると、イベントデータはレポートエンジンや、Splunkなどの接続されているSIEMシステムに送信され始めます。

この操作は過去に遡って適用できないことにご注意ください。この機能が有効化された場合のみ、イベントが高度なレポートとアラートに送信されます。

BreachWatch強制適用ポリシーの有効化

BreachWatchレポート

BreachWatchイベントがレポートモジュールに送信されたら、「レポートとアラート」画面にアクセスして、レポートを生成します。

レポートとアラート画面

[カスタムレポート追加] をクリックし、BreachWatchイベントを選択します。

BreachWatchイベント

また、カスタムイベントの追跡を使用して、アラートを作成できます。

アラート

SlackチャネルアラートやMicrosoft Teamsなどのカスタムロジックを実行できるように、Webhookを使用してアラートを受信できます。

Webhookアラートを有効にする手順は以下の通りです。

  1. イベント名をクリックします。

  2. [受信者] タブをクリックします。

  3. 新しい受取人を追加するか、既存の受取人をクリックします。

  4. [Webhookを追加] ボタンをクリックします。

  5. URL、HTTPボディ、およびオプショントークンを設定します。

  6. [保存] をクリックします。

アラート受信者とWebhook

また、サードパーティのSIEMソリューションにイベントを配信することもできます。

SIEMの統合

展開とレポートの有効化

  • BreachWatchの機能はロール強制適用ポリシーから組織に選択的に展開することができます。[クライアントデバイスでBreachWatchを一時停止] トグルにより、デバイスがレポートの目的でイベントを送信するかどうか、ユーザーのデバイスにまったく表示されないようにサービスの一時停止を行うかどうかを制御できます。レポートモジュールにイベントを有効にすると、レコードイベントのメタデータ (ユーザーのメールアドレス、レコードのUID、IPアドレスやデバイスの種類) がKeeperのバックエンドから接続されているSIEM製品へ送信されます。

  • 組織全体にBreachWatchを一度に展開しない場合、[クライアントデバイスでBreachWatchを一時停止] トグルを使用して展開を管理することができます。このノードのユーザーには、BreachWatchはクライアントデバイス上で有効化されません。

セキュリティ

BreachWatchは、ユーザーの情報を保護するために階層化された多数の手法を活用するゼロ知識アーキテクチャです。BreachWatchのセキュリティと暗号化モデルに関する技術的な詳細は、Keeper暗号化モデルドキュメントのBreachWatchの節をご参照ください。

CLI (コマンドラインインターフェイス) コマンド

BreachWatchはKeeperコマンダーCLIで管理および使用することができます。以下の関連コマンドを参照してください。

前へセキュリティ監査スコアの算出方法次へレポート作成、アラート、SIEM

最終更新