Gruppen-Details
Die Gruppen-Details-Seite bietet eine umfassende Ansicht einer spezifischen Sicherheitsgruppe, Verteilerliste oder Rollengruppe, die von Hydden ermittelt wurde. Diese Seite zeigt Gruppenmitgliedschaftsdetails an, einschließlich sowohl direkter als auch erweiterter (verschachtelter) Mitglieder, zusammen mit Authentifizierungsaktivität für alle Mitglieder. Gruppen-Details-Seiten sind essenziell für Zugriffsüberprüfungen, Berechtigungs-Audits und das Verstehen verschachtelter Gruppenbeziehungen.
Übersicht
Gruppen-Details-Seiten bieten kritische Informationen zum Verständnis von Zugriffsberechtigungen und gruppenbasierter Autorisierung:
- Gruppenattribute: Name, Anzeigename, Plattform, Datenquelle, Beschreibung
- Mitgliedschaftszählungen: Anzahl direkter Mitglieder vs. erweiterte (verschachtelte) Mitgliederzahl
- Mitgliederinventar: Vollständige Liste der Konten mit Gruppenmitgliedschaft
- Mitgliedschaftstyp: Direkte Mitgliedschaft vs. vererbte Mitgliedschaft aus verschachtelten Gruppen
- Aktivitätsverfolgung: Anmeldeverlauf für alle Gruppenmitglieder
- Privilegierter Zugriff: Identifikation privilegierter Gruppen und ihrer Mitglieder
Dieser Seitentyp ist entscheidend für Zugriffsüberprüfungen, Compliance-Audits und Berechtigungsverwaltung, insbesondere für hochprivilegierte Gruppen wie Domain Admins, Global Administrators oder benutzerdefinierte Administrationsgruppen.
Schlüsselkonzepte
Gruppentypen
Gruppen werden basierend auf ihrem Zweck und ihrer Plattform kategorisiert:
| Gruppentyp | Beschreibung | Häufige Beispiele |
|---|---|---|
| Security | Für Zugriffskontrolle und Berechtigungszuweisung verwendet | Domain Admins, Security Admins, App Admins |
| Distribution | Für E-Mail-Verteilerlisten verwendet | Marketing Team, All Employees |
| Microsoft 365 | Cloud-basierte Gruppen für Zusammenarbeit und Zugriff | Teams-Gruppen, SharePoint-Gruppen |
| Role | Cloud-IAM-Rollen, die als Gruppen behandelt werden | AWS IAM Groups, Azure AD-Rollen |
| Application | Anwendungsspezifische Gruppen | Salesforce-Gruppen, Workday-Gruppen |
Direkte vs. erweiterte Mitgliedschaft
Das Verständnis der Mitgliedschaftstypen ist entscheidend für genaue Zugriffsüberprüfungen:
Direkte Mitgliedschaft:
- Konten, die explizit zur Gruppe hinzugefügt wurden
isDirect = truein den Mitgliedschaftsdaten- Sichtbar als Direct Member Count auf der Gruppen-Details-Seite
Erweiterte Mitgliedschaft (Verschachtelte Gruppen):
- Konten, die Mitglieder verschachtelter Gruppen innerhalb dieser Gruppe sind
- Umfasst direkte Mitglieder plus Mitglieder aus allen verschachtelten Gruppen
isDirect = falsefür vererbte Mitgliedschaften- Sichtbar als Expanded Member Count (auch Total Member Count genannt)
Beispiel:
Gruppe: Domain Admins
├─ Direkte Mitglieder: alice@company.com, bob@company.com (Direct Member Count = 2)
└─ Verschachtelte Gruppe: IT Admins
└─ Mitglieder: charlie@company.com, dana@company.com
Gesamt Expanded Member Count = 4 (2 direkt + 2 aus verschachtelter Gruppe)Privilegierte Gruppen
Gruppen mit erhöhten Berechtigungen werden als privilegiert gekennzeichnet:
- Hochprivilegierte Gruppen: Gruppen mit administrativem Zugriff (Domain Admins, Enterprise Admins, Global Administrators)
- Berechtigungs-Flag: Feld
isPrivilegedauf der Gruppenentität zeigt Berechtigungsstufe an (0-10 Skala) - Risikoindikator: Mitgliedschaft in privilegierten Gruppen trägt zu Konto-Risikoscores bei
Weitere Informationen zur Berechtigungserkennung finden Sie unter Risikoerkennungsregeln.
Gruppenverschachtelung
Gruppen können andere Gruppen enthalten und verschachtelte Hierarchien erstellen:
- Einzelstufige Verschachtelung: Gruppe A enthält Gruppe B
- Mehrstufige Verschachtelung: Gruppe A --> Gruppe B --> Gruppe C
- Zirkuläre Referenzen: Erkannt und als potenzielle Konfigurationsprobleme gekennzeichnet
- Berechtigungseskalation: Verschachtelte Gruppen können versehentlich erhöhten Zugriff gewähren
Das Verstehen verschachtelter Gruppenbeziehungen ist essenziell für:
- Identifikation versteckter Berechtigungseskalationspfade
- Compliance-Audits (wer hat wirklich Zugriff?)
- Zugriffsbereinigung (Entfernung unnötiger verschachtelter Gruppen)
Datenkacheln
Die Gruppen-Details-Seite zeigt Informationskacheln mit Schlüsselgruppenattributen an:
Gruppeninformationskachel
| Feld | Beschreibung |
|---|---|
| Group Name | Primärer Gruppenidentifikator wie im Verzeichnisdienst etabliert |
| Group Display Name | Benutzerfreundlicher Name für die Gruppe (falls abweichend von Group Name) |
| Platform | Systemplattform, auf der die Gruppe ermittelt wurde (Azure AD, Active Directory, Okta, AWS usw.) |
| Data Source | Sammlermodul, das die Gruppendaten abgerufen hat |
| Domain | Domain oder Mandant, in dem die Gruppe existiert |
| Description | Gruppenbeschreibung (falls im Verzeichnis bereitgestellt) |
| Is Privileged | Berechtigungsstufen-Indikator (0-10 Skala) |
| Group Type | Gruppenklassifizierung (Security, Distribution, Microsoft 365, Role, Application) |
Mitgliedschaftsinformationskachel
| Feld | Beschreibung |
|---|---|
| Direct Member Count | Anzahl der Konten, die explizit zur Gruppe hinzugefügt wurden |
| Expanded Member Count | Gesamtmitglieder einschließlich direkter Mitglieder plus Mitglieder aus verschachtelten Gruppen |
| Nested Group Count | Anzahl der in dieser Gruppe verschachtelten Gruppen (falls vorhanden) |
Die Differenz zwischen Direct Member Count und Expanded Member Count zeigt das Ausmaß der Verwendung verschachtelter Gruppen. Große Diskrepanzen weisen auf komplexe Verschachtelungen hin, die überprüft werden sollten.
Datenregisterkarten
Registerkarte Gruppenmitgliedschaft
Vollständiges Inventar aller Konten mit Mitgliedschaft in dieser Gruppe, zeigt sowohl direkte als auch erweiterte Mitglieder.
Standardspalten:
| Spalte | Beschreibung |
|---|---|
| Account Name | Name des Kontos mit Gruppenmitgliedschaft |
| Display Name | Benutzerfreundlicher Anzeigename des Kontos |
| Platform | Kontoplattform |
| Data Source | Datenquelle, in der das Konto ermittelt wurde |
| Membership Type | Direct (explizit hinzugefügt) oder Expanded (aus verschachtelter Gruppe vererbt) |
| Account Type | User, Service, Federated usw. |
| Status | Kontostatus (Enabled, Disabled, Locked, Expired) |
| Last Logon | Letzte erfolgreiche Authentifizierung |
| Is Privileged | Berechtigungsstufe des Kontos (0-10 Skala) |
Anwendungsfälle:
- Zugriffsüberprüfung: Verifizieren Sie, dass alle Mitglieder Gruppenzugriff haben sollten
- Berechtigungs-Audit: Identifizieren Sie, wer privilegierten Zugriff über diese Gruppe hat
- Analyse verschachtelter Gruppen: Nach Membership Type filtern, um vererbte Mitglieder zu sehen
- Identifikation inaktiver Mitglieder: Nach Last Logon sortieren, um ruhende Konten zu finden
- Compliance-Audit: Nachweise für Zugriffszertifizierung generieren
- Bereinigungsplanung: Konten für Entfernung identifizieren
Filterung und Analyse:
- Filter nach Membership Type = Direct: Nur explizit hinzugefügte Mitglieder sehen
- Filter nach Membership Type = Expanded: Nur verschachtelte Gruppenmitglieder sehen
- Filter nach Status = Disabled: Konten finden, die entfernt werden sollten
- Sortieren nach Last Logon (älteste zuerst): Veraltete Mitgliedschaften identifizieren
- Filter nach Is Privileged > 5: Fokus auf hochprivilegierte Konten
Aktionen:
- Klicken Sie auf ein beliebiges Konto, um Konto-Details zu öffnen
- Mitgliederliste für Zugriffsüberprüfungsdokumentation exportieren
- Schaltfläche Action verwenden, um Zugriffsüberprüfungen anzufordern oder Berichte zu generieren
Registerkarte Anmeldeverlauf
Authentifizierungsaktivität für alle Gruppenmitglieder (direkt und erweitert), bietet Einblick in Gruppennutzungsmuster.
Standardspalten:
| Spalte | Beschreibung |
|---|---|
| Login Date/Time | Zeitstempel des Authentifizierungsereignisses |
| Account Name | Konto, das sich authentifiziert hat |
| Platform | System, auf dem die Authentifizierung erfolgte |
| Login Status | Success oder Failed |
| Membership Type | Direct oder Expanded (zeigt, wie das Konto Mitglied ist) |
| Source IP Address | IP-Adresse des Anmeldeversuchs (falls verfügbar) |
| Login Type | Interactive, Network, Service usw. |
| Geolocation | Geografischer Standort der Anmeldung (falls verfügbar) |
Anwendungsfälle:
- Aktivitätsverifizierung: Bestätigen Sie, dass Gruppenmitglieder ihren Zugriff aktiv nutzen
- Erkennung ruhender Mitglieder: Mitglieder ohne kürzliche Anmeldungen identifizieren (Kandidaten für Entfernung)
- Sicherheitsuntersuchungen: Verdächtige Authentifizierungsmuster für Gruppenmitglieder untersuchen
- Compliance-Audit: Zugriffsnutzung für Audit-Trails dokumentieren
- Musteranalyse: Verstehen, wie Gruppenzugriff genutzt wird (interaktiv vs. Dienstkonten)
Analysetipps:
- Nach Login Date/Time sortieren (älteste zuerst): Konten ohne kürzliche Aktivität finden
- Nach Login Status = Failed filtern: Potenzielle Sicherheitsprobleme identifizieren
- Nach Membership Type filtern: Aktivität direkter Mitglieder von verschachtelten Mitgliedern trennen
- Nach Account Name gruppieren: Aktivität pro Mitglied sehen
- Nach Anomalien suchen: Ungewöhnliche Anmeldezeiten, Standorte oder Häufigkeiten
Beispiel-Erkenntnisse:
- Keine Anmeldungen in 90+ Tagen: Mitglied benötigt möglicherweise keinen Zugriff (Kandidat für Entfernung)
- Dienstkonto mit interaktiven Anmeldungen: Potenzielles Sicherheitsproblem
- Spitzen fehlgeschlagener Anmeldungen: Möglicher Brute-Force-Versuch oder kompromittierte Anmeldeinformationen
- Geografisch verteilte Anmeldungen: Ungewöhnlich für Gruppen mit lokalem Zugriff
Teilen über Action
Bei Mandanten mit aktivierter Funktion Integrate Action Providers and Workflows bietet die Schaltfläche Action Optionen für Workflow-Automatisierung.
Verfügbare Aktionen
E-Mail-Benachrichtigung:
- Gruppenmitgliederliste an Gruppenbesitzer oder Manager senden
- Sicherheitsteam über Änderungen privilegierter Gruppen informieren
- Zugriffsüberprüfung für Gruppenmitglieder anfordern
- Sicherheitsbefunde für Hochrisikogruppen eskalieren
- Stakeholder über Gruppenmitgliedschaftsänderungen benachrichtigen
Ticket erstellen:
- ServiceNow Incident/Request-Tickets für Zugriffsüberprüfungen generieren
- JIRA-Issues für Gruppenbereinigung erstellen
- Automatisierte Ticketerstellung bei Richtlinienverstößen (z.B. zu viele privilegierte Mitglieder)
- Zugriffszertifizierungs-Workflows verfolgen
- Abschluss der Zugriffsüberprüfung dokumentieren
Benutzerdefinierte Workflows:
- Organisationsspezifische Automatisierung ausführen
- Integration mit Identity-Governance-Plattformen auslösen
- Zugriffsentfernungs-Workflows für inaktive Mitglieder initiieren
- Benutzerdefinierte Compliance-Berichterstattung
- Automatisierte Berechtigungsüberprüfungsprozesse
Häufige Workflows
Privilegierte Gruppenzugriffsüberprüfung
- Zu Gruppen-Details navigieren für privilegierte Gruppe (z.B. Domain Admins)
- Mitgliedschaftsinformationskachel überprüfen, um direkte vs. erweiterte Mitglieder zu verstehen
- Registerkarte Gruppenmitgliedschaft öffnen, um alle Mitglieder zu sehen
- Nach Membership Type = Expanded filtern, um verschachtelte Gruppenmitglieder zu identifizieren
- Nach Last Logon sortieren, um inaktive Mitglieder zu identifizieren
- Geschäftsbegründung verifizieren für den Zugriff jedes Mitglieds
- Registerkarte Anmeldeverlauf prüfen, um zu bestätigen, dass Mitglieder ihren Zugriff nutzen
- Befunde dokumentieren für Compliance
- Action-Schaltfläche verwenden, um Entfernung unangemessener Mitglieder anzufordern
- Folgeüberprüfung planen (vierteljährlich für hochprivilegierte Gruppen)
Untersuchung verschachtelter Gruppen
- Gruppen-Details öffnen für die übergeordnete Gruppe
- Differenz notieren zwischen Direct Member Count und Expanded Member Count
- Registerkarte Gruppenmitgliedschaft öffnen
- Nach Membership Type = Expanded filtern, um vererbte Mitglieder zu sehen
- Für jedes erweiterte Mitglied die verschachtelte Gruppe identifizieren, die Zugriff bietet
- Bewerten, ob verschachtelte Gruppen angemessen sind oder Sicherheitsrisiken schaffen
- Auf Berechtigungseskalation prüfen: Gewährt eine verschachtelte Gruppe mehr Zugriff als beabsichtigt?
- Verschachtelte Gruppenbeziehungen dokumentieren für Governance
- Abflachung empfehlen verschachtelter Gruppen, wenn sie Komplexität oder Risiko schaffen
Bereinigung inaktiver Mitglieder
- Gruppen-Details aufrufen für die Zielgruppe
- Registerkarte Anmeldeverlauf öffnen
- Nach Login Date/Time sortieren (älteste zuerst), um veraltete Konten zu finden
- Konten ohne Anmeldungen identifizieren in den letzten 90+ Tagen
- Registerkarte Gruppenmitgliedschaft filtern nach diesen Konten
- Verifizieren, dass Konten wirklich inaktiv sind (nicht Dienstkonten mit alternativer Authentifizierung)
- Kontostatus prüfen (Deaktivierte Konten sollten aus Gruppen entfernt werden)
- Action-Schaltfläche verwenden, um Zugriffsentfernung anzufordern
- Bereinigung dokumentieren für Audit-Trail
- Wiederkehrende Überprüfungen planen, um zukünftige Ansammlung zu verhindern
Compliance-Audit (Gruppenebene)
- Hochwertige oder regulierte Gruppen auswählen für Audit
- Registerkarte Gruppenmitgliedschaft überprüfen für alle Mitglieder
- Mitgliederliste exportieren für Prüferüberprüfung
- Aufgabentrennung verifizieren (keine widersprüchlichen Gruppenmitgliedschaften)
- Nach ausgeschiedenen Mitarbeitern suchen (nach Kontostatus filtern)
- Anmeldeverlauf überprüfen für Nutzungsnachweis
- Begründung für privilegierten Zugriff verifizieren für jedes Mitglied
- Abschluss der Überprüfung dokumentieren mit Zeitstempeln und Befunden
- Nachweise aufbewahren für Compliance-Aufzeichnungen
- Nächsten Überprüfungszyklus planen gemäß Compliance-Anforderungen
Gruppenmitgliedschaft verstehen
Mitgliedschaftstyp-Indikator
Die Spalte Membership Type in der Registerkarte Gruppenmitgliedschaft zeigt, wie Konten Mitglieder wurden:
| Membership Type | Beschreibung | isDirect-Wert |
|---|---|---|
| Direct | Konto explizit zu dieser Gruppe hinzugefügt | true |
| Expanded | Konto vererbte Mitgliedschaft aus verschachtelter Gruppe | false |
Warum das wichtig ist:
- Zugriffsüberprüfungen: Sie müssen wissen, woher der Zugriff kommt, um ihn ordnungsgemäß zu entfernen
- Berechtigungsanalyse: Verschachtelte Gruppen können versteckte Berechtigungseskalationspfade schaffen
- Compliance: Prüfer benötigen Verständnis aller Zugriffspfade
- Bereinigung: Entfernung einer verschachtelten Gruppe betrifft alle erweiterten Mitgliedschaften ihrer Mitglieder
Sichtbarkeit verschachtelter Gruppen
Wenn eine Gruppe andere Gruppen enthält:
- Übergeordnete Gruppe zeigt Expanded Member Count einschließlich verschachtelter Mitglieder
- Jedes verschachtelte Gruppenmitglied erscheint mit Membership Type = Expanded
- Um die verschachtelte Gruppe zu finden, die Zugriff bietet, prüfen Sie die Konto-Details des Mitglieds --> Registerkarte Gruppenmitgliedschaft
Beispiel:
Gruppe: "All IT Staff"
- Direct Member Count: 5 (5 Personen explizit hinzugefügt)
- Expanded Member Count: 25 (5 direkt + 20 aus verschachtelten Gruppen)
Verschachtelte Gruppen innerhalb "All IT Staff":
├─ "IT Support" (10 Mitglieder)
├─ "IT Engineering" (8 Mitglieder)
└─ "IT Management" (2 Mitglieder)Privilegiertes Gruppen-Flag
Gruppen, die als privilegiert gekennzeichnet sind (Is Privileged > 0), haben erhöhte Berechtigungen:
- Administrativer Zugriff: Kann Systeme, Benutzer oder Sicherheitseinstellungen verwalten
- Zugriff auf sensible Daten: Kann auf vertrauliche oder regulierte Daten zugreifen
- Erhöhte Berechtigungen: Kann Aktionen über Standardbenutzer hinaus ausführen
Häufige privilegierte Gruppen:
- Active Directory: Domain Admins, Enterprise Admins, Schema Admins, Account Operators
- Azure AD: Global Administrators, Privileged Role Administrator, Security Administrator
- AWS: AdministratorAccess, PowerUserAccess
- Okta: Super Admins, Read-Only Admins
Mitgliedschaft in privilegierten Gruppen trägt zu Konto-Risikoscores über Risikoerkennungsregeln bei.
Fehlerbehebung
| Problem | Lösung |
|---|---|
| Direct Member Count stimmt nicht mit erwarteter Anzahl überein | Gruppensynchronisierung von Datenquelle verifizieren; Sammlerberechtigungen prüfen; letzten Sammlungszeitstempel überprüfen |
| Expanded Member Count fehlt oder ist falsch | Sicherstellen, dass Auflösung verschachtelter Gruppen aktiviert ist; auf zirkuläre Gruppenreferenzen prüfen; Sammlerkonfiguration verifizieren |
| Fehlende Mitglieder in Registerkarte Gruppenmitgliedschaft | Verifizieren, dass Kontoermittlung vollständig ist; prüfen, ob Konten deaktiviert/gelöscht sind; Kontozuordnungsregeln überprüfen |
| Anmeldeverlauf unvollständig | Sicherstellen, dass Authentifizierungsprotokollierung auf Plattformen aktiviert ist; Sammlerkonfiguration für Anmeldedaten verifizieren; Datumsbereichsfilter prüfen |
| Verschachtelte Gruppen nicht aufgelöst | Verifizieren, dass Sammler Berechtigung zum Lesen verschachtelter Gruppen hat; auf Gruppenverschachtelungstiefengrenzen prüfen; Gruppenexpansionseinstellungen überprüfen |
| Privilegiertes Flag falsch | Risikoerkennungsregeln für Berechtigungsidentifikation überprüfen; Gruppennamens-Abgleichsmuster verifizieren |
| Membership Type zeigt immer Direct | Prüfen, ob Sammler Verfolgung verschachtelter Gruppenmitgliedschaft unterstützt; verifizieren, dass isDirect-Feld befüllt wird |
Verwandte Themen
- Entity Details - Übersicht - Übersicht über alle Entitätsdetailseiten
- Konto-Details - Individuelle Kontoebenen-Ansicht
- Eigentümer-Details - Identitätsebenen-aggregierte Ansicht
- Rollen-Details - Rollenzuweisungsdetails
- Global Search - Suchoberfläche
- Global Search Default Columns - Spaltenreferenz
- Threat Detection - Risikoregeln und Berechtigungserkennung verstehen
- Data Sources - Plattform-Konnektoren und Gruppensammlung
- Automation Workflows - Action-Workflows und Trigger