Aperçu des Insights
Les trois Insights (Internal, External, Keyword), ce que chacun surveille et quand les utiliser.
Stealed expose trois perspectives complémentaires sur les fuites de credentials détectées. Chacune répond à une question de sécurité différente. La plupart des équipes utilisent les trois ensemble, en regardant des facettes différentes du même dataset.
En un coup d'œil
| Perspective | Surveille | Répond à |
|---|---|---|
| Internal Insight | Les credentials dont le domaine de l'email correspond à vos domaines | Lesquels de mes collaborateurs sont exposés ? |
| External Insight | Les credentials dont l'URL cible est sur vos domaines | Qui cible mes services ? |
| Keyword Insight | Les credentials dont l'URL cible contient un mot-clé surveillé | Où ma marque est-elle mentionnée dans des fuites tierces ? |
Internal Insight
Internal Insight surveille les credentials dont l'email est sur l'un de vos domaines. Ce sont typiquement des credentials que vos collaborateurs ont enregistrés dans leurs navigateurs pour accéder à des outils SaaS tiers.
Si la machine d'un collaborateur a été infectée par un infostealer, ses credentials de navigateur sont exfiltrés. Internal Insight remonte ces fuites : qui est exposé, sur quels sites, et la fraîcheur de la fuite.
Cas d'usage : un utilisateur Stealed avec l'email
[email protected] a enregistré son mot de passe dans Chrome pour
slack.com. Sa machine a été infectée par Redline. Internal Insight
affichera :
[email protected]- mot de passe masqué
- site cible :
slack.com - date de détection
Actions typiques : invalider les credentials fuités dans votre IdP / SSO, faire une rotation des sessions sur le SaaS impacté et confirmer que le collaborateur concerné est au courant.
External Insight
External Insight surveille les credentials dont l'URL cible est sur vos domaines. Ce sont des credentials que quelqu'un (n'importe qui, n'importe où) a enregistrés en se connectant à vos services. Quand sa machine a été infectée, le credential vers votre service a été volé.
C'est la vue de première ligne pour les attaques de credential stuffing et de prise de compte contre votre plateforme.
Cas d'usage : n'importe quel utilisateur de votre SaaS
portal.acme.com qui a enregistré son mot de passe dans Chrome sur une
machine infectée. External Insight affiche les credentials qui visent
votre service :
- des milliers de noms d'utilisateur (vos clients / utilisateurs)
- mots de passe masqués
- site cible :
portal.acme.com - la famille de stealer qui les a exfiltrés
Actions typiques : reset forcé du mot de passe pour les utilisateurs concernés, application du MFA, détection d'anomalie IP / géolocalisation au login, notification client.
Keyword Insight
Keyword Insight surveille les credentials dont l'URL cible contient un mot-clé que vous avez configuré. Cela attrape les fuites sur des domaines tiers qui mentionnent votre marque, votre produit, votre filiale ou le nom d'un projet interne.
Pourquoi c'est important : vos collaborateurs (ou vos clients) se connectent souvent à des SaaS tiers qui ne sont pas sur vos domaines. Si le nom de votre marque apparaît dans l'URL de l'un de ces SaaS, Keyword Insight remonte les fuites même si l'URL est sur un domaine de fournisseur ou de partenaire.
Cas d'usage : votre entreprise s'appelle "Acme". Vous configurez le
mot-clé acme. Keyword Insight affiche les fuites sur :
acme.vendor-portal.com(un portail fournisseur scopé sur votre tenant)partner.io/acme(un SaaS partenaire scopé sur vous via le path)subsidiary-acme.service.com(un nom de filiale apparaissant dans une URL tierce)
Actions typiques : identifier le shadow IT, contacter les fournisseurs pour invalider les credentials exposés, évaluer quels outils tiers ont la plus grande empreinte d'accès compromis.
Un focus sur les URL détectées groupées par hôte :
Keyword Insight est inclus dans les plans Enterprise et disponible en add-on sur les plans Pro.
Comment ils s'articulent
Le même dataset sous-jacent alimente les trois Insights. Ils ne diffèrent que par la façon dont ils l'interrogent :
- Internal : filtre sur
email_domain IN your_domains - External : filtre sur
url_root_domain IN your_domains - Keyword : filtre sur
url CONTAINS your_keyword
Un même enregistrement de fuite peut apparaître dans plusieurs Insights
s'il satisfait plusieurs filtres (par exemple un utilisateur
@acme.com qui se connecte à portal.acme.com). La déduplication se
fait sur le hash du credential sous-jacent, donc les métriques de
volume entre les trois vues peuvent se chevaucher.
La suite
- Lire les fuites détectées : filtres, vue tableau, export, s'applique aux trois Insights.
- Créer un monitor : transformer n'importe lequel des trois Insights en règle d'alerte temps réel.
Cockpit
La page d'accueil par défaut après connexion. Un coup d'œil pour faire le point sur l'exposition de l'organisation, l'activité récente par scope, et l'état des monitors.
Lire les fuites détectées
Filtrer, rechercher, trier et exporter les fuites de credentials détectées par Stealed. S'applique à Internal, External et Keyword Insight.