Account Details
Die Account Details-Seite bietet eine umfassende Ansicht eines spezifischen Kontos, das von Hydden ermittelt wurde, einschließlich Sicherheitslage, Authentifizierungsmethoden, Gruppenmitgliedschaften und Aktivitätsverlauf. Diese Seite ist essenziell für Sicherheitsuntersuchungen auf Kontoebene, Berechtigungsüberprüfungen und Compliance-Audits.
Übersicht
Account Details-Seiten aggregieren Daten aus mehreren Quellen, um ein vollständiges Bild eines individuellen Kontos zu liefern:
- Identitätsattribute: Name, Typ, Klassifizierung, Status
- Sicherheitslage: Risikoscores, anwendbare Sicherheitsregeln, Risikofaktoren
- Authentifizierung: MFA-Konfiguration, Passwortstatus, SSH-Schlüssel, Tokens
- Zugriff: Gruppenmitgliedschaften, Rollenzuweisungen, Berechtigungsstufe
- Aktivität: Anmeldeverlauf, fehlgeschlagene Authentifizierungsversuche, Nutzungsmuster
Schlüsselkonzepte
Kontotypen
Konten werden in verschiedene Typen klassifiziert, basierend auf ihrem Zweck und Ursprung:
| Typ | Beschreibung | Häufige Anwendungsfälle |
|---|---|---|
| User | Standardbenutzerkonto für eine einzelne Person | Mitarbeiterkonten, Auftragsnehmerkonten |
| Service | Von Anwendungen oder Diensten verwendetes Konto | API-Konten, Daemon-Konten, Anwendungsidentitäten |
| Federated | Konten von föderierten Identitätsanbietern | SSO-Konten, OAuth-Konten, externe Identitäten |
| Discovered | Gefundene, aber noch nicht klassifizierte Konten | Nicht verwaltete Konten, verwaiste Konten |
| Vaulted | Von Passwort-Vault-Systemen verwaltete Konten | Privilegierte Konten in CyberArk, BeyondTrust |
Kontostatuswerte
| Status | Beschreibung | Sicherheitsauswirkungen |
|---|---|---|
| Enabled | Konto ist aktiv und kann sich authentifizieren | Normaler Betriebszustand |
| Disabled | Konto ist deaktiviert | Kann sich nicht authentifizieren; kann auf gekündigten Benutzer hinweisen |
| Locked | Konto ist aufgrund fehlgeschlagener Anmeldeversuche gesperrt | Möglicher Brute-Force-Angriff |
| Expired | Konto oder Passwort ist abgelaufen | Erfordert Reaktivierung oder Passwortzurücksetzung |
Klassifizierung
Die Kontoklassifizierung wird durch Klassifizierungsregeln bestimmt und hilft bei der Identifikation von:
- Dienstkonten vs. Benutzerkonten
- Privilegierte vs. Standardkonten
- Gemeinsam genutzte vs. individuelle Konten
- Produktions- vs. Testkonten
Datenkacheln
Die Account Details-Seite zeigt Informationskacheln an, die nach Funktionsbereichen organisiert sind:
Konto-Informationskachel
| Feld | Beschreibung | Plattformen |
|---|---|---|
| Account Name | Primärer Kontoidentifier | Alle |
| Display Name | Benutzerfreundlicher Name (typischerweise Vorname Nachname) | Alle |
| Type | Kontotyp (User, Service, Federated usw.) | Alle |
| Classification | Klassifizierung aus Regeln (falls konfiguriert) | Alle |
| Status | Kontostatus (Enabled, Disabled, Locked, Expired) | Alle |
| Mapped To | Owner-Identität, der das Konto zugeordnet ist (anklickbarer Link) | Alle |
| Primäre E-Mail-Adresse | Alle | |
| User Principal Name (UPN) | UPN-Identifier | Active Directory, Azure AD, Okta |
| Description | Kontobeschreibung | Active Directory, Windows, Linux |
Kontoquellen-Kachel
| Feld | Beschreibung |
|---|---|
| Platform | Systemplattform (Azure AD, Active Directory, Okta, AWS usw.) |
| Data Source Platform | Plattformtyp |
| Data Source Name | Spezifische in Hydden konfigurierte Datenquelle |
| Domain | Kontodomäne |
| Provider | Identitätsanbietername |
Risikostufen-Kachel
| Feld | Beschreibung |
|---|---|
| Total Threat Score | Aggregierter Risikoscore aus allen anwendbaren Risikoregeln |
| Risk Level | Visueller Indikator (Critical, Moderate, Low) |
| Threat Rule Count | Anzahl der von diesem Konto ausgelösten Risikoregeln |
Multi-Faktor-Authentifizierungs-Kachel
| Feld | Beschreibung |
|---|---|
| MFA Status | MFA-Konfigurationsstatus (Enabled, Not Enabled, N/A, Pending) |
| MFA Count | Anzahl der registrierten MFA-Geräte/Methoden |
| Pending MFA Count | Anzahl der ausstehenden MFA-Registrierungen |
Letzte Anmeldung-Kachel
| Feld | Beschreibung |
|---|---|
| Last Logon | Datum und Uhrzeit der letzten erfolgreichen Authentifizierung |
| Last Logon Age | Zeit seit der letzten Anmeldung (Tage/Stunden) |
| Last Failed Logon | Datum und Uhrzeit der letzten fehlgeschlagenen Authentifizierung (falls verfügbar) |
| Failed Logon Count | Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche |
Passwortinformations-Kachel
| Feld | Beschreibung |
|---|---|
| Password Changed | Datum, an dem das Passwort zuletzt geändert wurde |
| Password Age | Zeit seit der letzten Passwortänderung (Tage) |
| Password Expired | Ob das Passwort abgelaufen ist (Yes/No) |
| Password Never Set | Gibt an, ob das Passwort nie konfiguriert wurde (Yes/No) |
Zusätzliche Kacheln (Plattformspezifisch)
Mitarbeiterinformationen (Active Directory, Azure AD, Okta):
- Job Title, Department, Manager
- Employee ID, Hire Date, Termination Date
- Office Location, Phone, Mobile
Cloud-Informationen (Azure, AWS, GCP):
- Immutable ID, Object ID, ARN
- Usage Location, Tenant ID
- Sign-in Activity, Refresh Tokens Valid From
Unix-Informationen (Linux):
- User ID (UID), Group ID (GID)
- Home Directory, Login Shell
- SSH Key Created Date
Datenregisterkarten
Registerkarte Account Threat Information
Zeigt alle Risikoerkennungsregeln an, die für dieses Konto gelten und zum Risikoscore beitragen.
Standardspalten:
- Threat Rule Name
- Severity Level
- Description
- Triggered Date
- Rule Category
Häufige Risikoregeln:
- Privileged Account
- Password 90+/180+ Days
- Password Never Set
- MFA Not Enabled
- Stale Account (90+/180+/365+ days)
- Failed Login Attempts (5+/10+/20+/25+)
- Breached Account (HIBP)
- Group(s) 500+
- No Owner / Shared Account
- Highly Privileged Groups/Roles
Anwendungsfälle:
- Verstehen Sie spezifische Sicherheitsrisiken für das Konto
- Priorisieren Sie Sanierungsmaßnahmen
- Generieren Sie Compliance-Nachweise
- Verfolgen Sie Risiken im Zeitverlauf
Registerkarte Group Membership
Listet alle Gruppen auf, zu denen das Konto gehört, sowohl direkte als auch erweiterte (verschachtelte) Mitgliedschaften.
Standardspalten:
- Group Name
- Group Platform
- Data Source
- Membership Type (Direct / Expanded)
- Group Type
- Is Privileged
Anwendungsfälle:
- Berechtigungsüberprüfung und Audit
- Zugriffszertifizierung
- Analyse verschachtelter Gruppenmitgliedschaften
- Untersuchung von Berechtigungseskalationspfaden
Registerkarte Login History
Vollständiger Authentifizierungsverlauf für das Konto mit erfolgreichen und fehlgeschlagenen Anmeldeversuchen.
Standardspalten:
- Login Date/Time
- Platform
- Login Status (Success / Failed)
- Source IP Address (falls verfügbar)
- Login Type (Interactive, Network, Service usw.)
- Geolocation (falls verfügbar)
Anwendungsfälle:
- Untersuchen Sie verdächtige Authentifizierungsmuster
- Verifizieren Sie Kontoaktivität für Zugriffsüberprüfungen
- Identifizieren Sie ruhende oder veraltete Konten
- Sicherheitsvorfalluntersuchung
- Compliance-Audit-Trails
Registerkarte MFA Devices
Inventar der Multi-Faktor-Authentifizierungsgeräte und -methoden, die für das Konto registriert sind.
Standardspalten:
- Provider (Okta, Azure MFA, Duo, Google Authenticator usw.)
- MFA Type (SMS, Authenticator App, Hardware Token, Biometric usw.)
- MFA Status (Active, Inactive, Pending)
- Device Name / Description
- Registered Date
- Last Verified Date
Anwendungsfälle:
- MFA-Abdeckungsanalyse
- Inventar der Authentifizierungsmethoden
- Geräteverwaltung und -bereinigung
- Compliance-Verifizierung (MFA-Anforderungen)
Registerkarte SSH (Public) Keys
Details zu autorisierten öffentlichen SSH-Schlüsseln, die für das Konto ermittelt wurden.
Standardspalten:
| Spalte | Beschreibung |
|---|---|
| Source Account | Konto, das den öffentlichen Schlüssel besitzt (z.B. root, operator) |
| Source SSH Host | System, auf dem der öffentliche Schlüssel gesammelt wurde |
| Source Platform | Plattform/OS (Linux, Unix) |
| Source Account Type | Kontotyp (User, Service usw.) |
| Algorithm | Verschlüsselungsalgorithmus (RSA, ED25519, ECDSA, DSA) |
| Fingerprint | Eindeutiger Schlüsselfingerabdruck |
| Restriction | IP-Adress- oder Subnetz-Einschränkungen (falls konfiguriert) |
| Usage | Schlüsselverwendung (Authentication, Signing) |
Anwendungsfälle:
- SSH-Zugriffs-Audits
- Inventar autorisierter Schlüssel
- Schlüsselrotationsplanung
- Zugriffsüberprüfung für SSH-basierten Zugriff
- Compliance (Schlüsselverwaltungsrichtlinien)
Registerkarte SSH (Private) Keys
Details zu privaten SSH-Schlüsseln, die auf Systemen ermittelt wurden.
Standardspalten:
| Spalte | Beschreibung |
|---|---|
| Target Account | Konto mit dem privaten Schlüssel |
| Target SSH User | SSH-Benutzer für den privaten Schlüssel |
| Target SSH Host | System, auf dem der private Schlüssel gespeichert ist |
| Target Platform | Plattform/OS |
| Target Account Type | Kontotyp |
| Algorithm | Verschlüsselungsalgorithmus |
| Fingerprint | Eindeutiger Schlüsselfingerabdruck |
| Key Description | Kommentar oder Beschreibung aus der Schlüsseldatei |
Anwendungsfälle:
- Ermittlung und Inventarisierung privater Schlüssel
- Sicherheitsrisikobewertung (exponierte private Schlüssel)
- Schlüsselrotation und Lifecycle-Management
- Compliance (Richtlinien zur Speicherung privater Schlüssel)
Registerkarte Rollenmitgliedschaft
Listet alle Rollen auf, die diesem Konto zugewiesen sind. Rollenmitgliedschaftsdaten werden von Plattformen erfasst, die rollenbasierte Zugriffskontrolle unterstützen, wie SailPoint, Dayforce und andere IGA-Systeme.
Standardspalten:
- Role Name
- Display Name
- Data Source
- Platform
- Role Type
Anwendungsfälle:
- Rollenbasierte Zugriffsprüfungen und Zertifizierung
- Privilegienanalyse über Gruppenmitgliedschaften hinaus
- Compliance-Auditing für Rollenzuweisungen
- Erkennung übermäßiger oder widersprüchlicher Rollenvergaben
- Unterstützung bei der Analyse der Funktionstrennung
Klicken Sie auf einen Rollennamen, um zu den Rollendetails der ausgewählten Rolle zu navigieren.
Registerkarte Tokens
Authentifizierungstokens und Anmeldeinformationen, die mit dem Konto verknüpft sind (falls gesammelt).
Standardspalten:
- Token Type
- Provider
- Status
- Created Date
- Expiration Date
- Scope/Permissions
Anwendungsfälle:
- Token-Inventar
- Anmeldeinformationsverwaltung
- Sicherheitsüberprüfung (langlebige Tokens)
Share via Action
Bei Mandanten mit aktivierter Funktion Integrate Action Providers and Workflows bietet die Schaltfläche Action Optionen für Workflow-Automatisierung.
Verfügbare Aktionen
Email Notification:
- Kontodetails an Stakeholder senden
- Sicherheitsteam über Hochrisiko-Konten informieren
- Zugriffsüberprüfung vom Kontobesitzer anfordern
- Sicherheitsbefunde eskalieren
Create Ticket:
- ServiceNow Incident/Request-Tickets generieren
- JIRA-Issues für Sanierung erstellen
- Automatisierte Ticketerstellung bei Richtlinienverstößen
- Sanierungsworkflows verfolgen
Add to Vault (für privilegierte Konten):
- Konten in CyberArk einbinden
- Konten zur BeyondTrust-Ermittlung hinzufügen
- Vault-Enrollment-Workflows initiieren
- Vaulting-Status verfolgen
Custom Workflows:
- Organisationsspezifische Automatisierung ausführen
- Integration mit SIEM-Systemen auslösen
- Bereitstellungs-/Deaktivierungs-Workflows initiieren
- Benutzerdefinierte Sanierungsaktionen
Häufige Workflows
Kontosicherheitsuntersuchung
- Konto-Informationskachel überprüfen, um Kontotyp und Status zu verstehen
- Risikostufen-Kachel prüfen, um den Gesamt-Risikoscore zu sehen
- Registerkarte Account Threat Information öffnen, um spezifische Sicherheitsrisiken zu identifizieren
- Login History überprüfen auf verdächtige Authentifizierungsmuster
- MFA-Status und Geräte prüfen für Authentifizierungslage
- Gruppenmitgliedschaften untersuchen auf übermäßige Berechtigungen
- Action-Schaltfläche verwenden, um Befunde zu eskalieren oder zu sanieren
Berechtigungsüberprüfung
- Kontotyp und Klassifizierung verifizieren
- Registerkarte Group Membership überprüfen auf privilegierte Gruppen
- Is Privileged-Score prüfen (0-10 Skala)
- Risikoregeln untersuchen auf berechtigungsbezogene Risiken
- Geschäftsbegründung validieren für erhöhten Zugriff
- Befunde dokumentieren für Zugriffszertifizierung
- Workflows verwenden, um Zugriffsüberprüfung oder -entfernung anzufordern
Compliance-Audit
- MFA-Status und Geräte prüfen für Authentifizierungs-Compliance
- Passwortinformationen überprüfen für Passwortrichtlinien-Compliance
- SSH-Schlüssel untersuchen für Schlüsselverwaltungs-Compliance
- Kontostatus verifizieren (keine verwaisten/ruhenden Konten)
- Owner-Zuordnung prüfen (alle Konten Identitäten zugeordnet)
- Daten exportieren für Compliance-Nachweise
- Berichte generieren aus gefilterten Ansichten
SSH-Schlüsselverwaltung
- Registerkarte SSH (Public) Keys öffnen, um autorisierte Schlüssel zu sehen
- Algorithm-Spalte überprüfen auf schwache Algorithmen (DSA, RSA <2048 Bits)
- Schlüsselalter prüfen (über Erstellungsdatum) für Rotationsanforderungen
- Unbenutzte Schlüssel identifizieren für Bereinigung
- Registerkarte SSH (Private) Keys öffnen, um exponierte private Schlüssel zu finden
- Risiko bewerten der Exposition privater Schlüssel
- Schlüsselrotation initiieren oder Widerruf über Workflows
Mapped To verstehen
Das Feld Mapped To zeigt, welcher Owner-Identität das Konto zugeordnet ist. Klicken Sie auf den Ownernamen, um zur Owner Details-Seite zu navigieren.
Zuordnungsszenarien:
- Mapped to Owner: Konto erfolgreich mit einer Identität verknüpft (Normalzustand)
- No Owner: Konto keiner Identität zugeordnet (verwaistes Konto - Sicherheitsrisiko)
- Shared Account: Konto mehreren Ownern zugeordnet (potenzieller Richtlinienverstoß)
- Shared Account+: Konto 3+ Ownern zugeordnet (Hochrisiko-Sharing)
Weitere Informationen zur Kontozuordnung finden Sie unter Account Mapping Rules und Map To-Dokumentation.
API-Zugriff
Kontodetails sind über die REST-API zugänglich:
http
GET /api/v1/entity/account/{accountId}
GET /api/v1/account/{accountId}/threats
GET /api/v1/account/{accountId}/groups
GET /api/v1/account/{accountId}/historyDie vollständige API-Dokumentation finden Sie in der API Reference.
Problembehandlung
| Problem | Lösung |
|---|---|
| Fehlende MFA-Informationen | Verifizieren Sie, dass die Datenquelle MFA-Sammlung unterstützt; prüfen Sie Sammlerberechtigungen |
| Kein Anmeldeverlauf | Stellen Sie sicher, dass Authentifizierungsprotokollierung auf der Plattform aktiviert ist; verifizieren Sie Sammlerkonfiguration |
| Falscher Risikoscore | Überprüfen Sie anwendbare Risikoregeln; verifizieren Sie Regelschwellenwerte; prüfen Sie auf Regelkonflikte |
| SSH-Schlüssel werden nicht angezeigt | Verifizieren Sie, dass Sammler Berechtigung zum Lesen von SSH-Verzeichnissen hat; prüfen Sie Dateiberechtigungen auf Zielsystemen |
| Owner-Zuordnung falsch | Überprüfen Sie Kontozuordnungsregeln; verifizieren Sie E-Mail/UPN-Abgleich |
Verwandte Themen
- Entity Details Overview - Übersicht über alle Entitätsdetailseiten
- Owner Details - Identitätslevel-aggregierte Ansicht
- Group Details - Gruppenmitgliedschaftsdetails
- Global Search - Suchoberfläche
- Global Search Default Columns - Spaltenreferenz
- Threat Detection - Risikoregeln verstehen
- Account Classification - Klassifizierungsregeln
- Account Mapping - Zuordnungsregeln
- Map To - Entitätszuordnung verstehen
- Automation Workflows - Action-Workflows