Vorfälle untersuchen und aus echten Funden eigene Detektoren bauen

Triagen Sie Vorfälle in der Zeuslock Operator-Konsole, machen Sie aus wiederkehrenden Funden mit einem Klick eigene Detektoren und liefern Sie die Beweise an Ihr SIEM oder Ihren Auditor.

Das Vorfälle-Dashboard

Jeder Prompt, der von der Browser-Erweiterung, dem Desktop-Agenten, dem CLI oder der MCP-Schicht geprüft wird und einen Fund erzeugt, landet an einer Stelle: app.zeuslock.ai/incidents. Hier verbringen Sie als Operator den größten Teil Ihrer Zeit. Das Dashboard ist darauf ausgelegt, Sie in wenigen Klicks von „etwas hat in der letzten Stunde ausgelöst" zu einem geschlossenen Ticket zu bringen.

Oben in der Tabelle liegt die Filterleiste. Jeder Filter ist mehrfach auswählbar und kombiniert sich mit den anderen:

  • Zeitraum — von den letzten 15 Minuten bis zu den letzten 90 Tagen, plus ein eigenes Audit-Fenster.
  • Schweregrad — Kritisch, Hoch, Mittel, Niedrig. Wird vom auslösenden Detektor gesetzt, nicht vom Nutzer.
  • Fundtyp — sämtliche Detektor-Kategorien: api_key, credit_card, IBAN, password, JWT, private_key, source_code usw.
  • Nutzer — per E-Mail oder per über SCIM synchronisierter Gruppe.
  • Ziel — ChatGPT, Claude, Gemini, Copilot, Mistral, Perplexity, DeepSeek oder jede beliebige im Universal-Modus erfasste Domain.
  • Status — Offen, In Prüfung, Erledigt, Verworfen.

Sortieren Sie nach Zeitstempel (Standard), Schweregrad, Nutzer oder Ziel. Die aktive Filterauswahl wird in der URL kodiert; Sie können eine Triage-Sicht per Link mit einer Kollegin teilen.

Eine Vorfallskarte lesen

Jede Zeile der Liste ist eine kompakte Karte mit allem, was Sie für die Entscheidung „öffnen oder nicht" brauchen:

  • Identität und Gruppe des Nutzers.
  • Browser oder Desktop-Client und Betriebssystem.
  • Quell-URL, an die der Prompt gerade gehen wollte (z. B. chat.openai.com).
  • Ein farbiger Schweregrad-Badge.
  • Fundtyp-Chips — einer pro Detektor, der auf demselben Prompt ausgelöst hat.
  • Eine redigierte Vorschau des Prompts. Sensible Abschnitte werden beim Rendern maskiert; der Rohwert erreicht Ihren Browser nie.
  • Zeitstempel in Ihrer Operator-Zeitzone.
  • Durchgeführte Aktion: Monitor, Anonymize oder Block.

Einen Vorfall öffnen

Klicken Sie eine Karte an, um die Detailansicht zu öffnen. Sie erhalten den vollständigen Ablauf in der richtigen Reihenfolge:

  1. Erkennung im Browser — die Regex-Schicht hat ausgelöst, mit den Positionen im Prompt und der Detektor-ID.
  2. Optionale ML-Bestätigung — wenn die Richtlinie an das in der EU gehostete NER-Modell eskaliert hat, sehen Sie den zurückgegebenen Konfidenzwert und die Modellversion.
  3. Aktion — was der Client gemacht hat: durchgelassen, an Ort und Stelle anonymisiert oder mit einem für den Nutzer sichtbaren Banner blockiert.

Unter dem Ablauf finden Sie die ursprüngliche Erkennungsregel (damit Sie genau sehen, was gematcht hat), den Konfidenzwert aus dem ML-Durchlauf und die zeichengenauen Positionen jedes Fundes im Prompt. Fahren Sie mit der Maus über eine Position, um sie in der redigierten Vorschau hervorzuheben.

Triage-Ablauf

Behandeln Sie jeden Vorfall als kleines Ticket. Der Ablauf ist bewusst kurz:

  1. Vorfall öffnen und Ablauf lesen.
  2. Entscheiden: echter Fund oder False Positive. Klicken Sie Bestätigen oder Als False Positive verwerfen. Verworfene Funde fließen in die Detektor-Tuning-Queue, die wir wöchentlich durchgehen.
  3. Wenn der Vorfall echt ist und Nachverfolgung braucht, weisen Sie ihn aus dem Dropdown Zugewiesen an einem Teammitglied zu. Die zugewiesene Person wird per E-Mail und, sofern konfiguriert, per Slack-DM benachrichtigt.
  4. Bewegen Sie ihn durch die Stati: Offen → In Prüfung → Erledigt. Jede Statusänderung landet mit Akteur, Zeitstempel und Begründung im Audit-Log.

Wir empfehlen einen täglichen 15-Minuten-Durchgang über Kritisch und Hoch sowie einen wöchentlichen Sweep über Mittel. Niedrig braucht selten eine menschliche Sichtung, außer in den Reports zeichnet sich ein Muster ab.

Aus einem Vorfall einen eigenen Detektor bauen

Das Wertvollste, was Sie in diesem Dashboard tun können, ist, einen wiederkehrenden echten Fund in einen Detektor zu verwandeln. Klassischer Fall: Sie sehen ständig Ihre eigenen internen Kunden-IDs (etwa CUS-12345) in ChatGPT-Prompts auftauchen. Ein generischer Detektor wird das nicht greifen — aber Sie bauen einen in unter einer Minute.

  1. Öffnen Sie einen Vorfall, der die wiederkehrende Kennung enthält.
  2. Klicken Sie im rechten Bereich auf Detektor aus diesem Fund erstellen.
  3. Zeuslock schlägt eine Regex vor (z. B. \bCUS-\d{5}\b), dazu Schweregrad und Aktion.
  4. Passen Sie die Regex bei Bedarf an, vergeben Sie einen Fundtyp-Namen (z. B. internal_customer_id) und wählen Sie die Aktion: Monitor, Anonymize oder Block.
  5. Klicken Sie auf Backtest über die letzten 30 Tage. Zeuslock spielt die Kandidaten-Regex gegen die Vorfälle der letzten 30 Tage (plus eine Stichprobe sauberer Prompts) und sagt Ihnen, wie viele zusätzliche Alarme sie erzeugt hätte und bei welchen Nutzern.
  6. Ist das Rauschniveau akzeptabel, klicken Sie auf Aktivieren. Der Detektor wird beim nächsten Richtlinien-Heartbeat (unter 60 Sekunden) an jede Browser-Erweiterung und jeden Desktop-Agenten ausgerollt.

Starten Sie einen neuen eigenen Detektor immer eine Woche lang im Monitor-Modus. Der Backtest erwischt die offensichtlichen False Positives, aber echter Verkehr ist der einzige ehrliche Test.

Tags, Beweise, Watchlists, SIEM

Vorfälle taggen

Freitext-Tags auf einem Vorfall werden in Reports und Exports übernommen. Nutzen Sie sie für das, was das Schema nicht abdeckt: lieferanten-fehler, dsgvo-art-32, q2-review. Tags sind das, was monatliche Reviews auch Monate später noch durchsuchbar macht.

Beweise exportieren

Zwei Export-Formate, über die Toolbar:

  • Export → CSV auf einer gefilterten Liste — eine Zeile pro Vorfall mit Nutzer, Ziel, Fundtypen, Aktion, Schweregrad, Zeitstempeln, Tags und Zuweisung. Genau das, was Auditoren in der Regel wollen.
  • Export → PDF auf einem einzelnen Vorfall — Ablauf, Regel, redigierter Prompt, Aktion und Audit-Spur von Zuweisungen und Statusänderungen. Das ist das Artefakt, das Sie an ein internes Ermittlungsticket anhängen.

Watchlists

Unter Incidents → Watchlists pinnen Sie bestimmte Nutzer, Gruppen oder Ziele. Gepinnte Entitäten erscheinen oben im Dashboard, können an E-Mail- oder Slack-Alarme gekoppelt werden und bekommen eine eigene KPI-Kachel. Typische Anwendungen: das Finance-Team während des Quartalsabschlusses pinnen, deepseek.com pinnen, solange Sie eine Shadow-AI-Entscheidung finalisieren, einen externen Dienstleister für die Dauer seines Auftrags pinnen.

Vorfälle ans SIEM senden

Jeder Vorfall kann in Echtzeit an Ihr SIEM gepusht werden. Pro Vorfall feuert ein Webhook mit JSON-Payload, signiert mit HMAC-SHA256, damit Ihr Kollektor verifizieren kann, dass die Nachricht tatsächlich von Zeuslock stammt. Zu Payload-Form, Retry-Semantik und Signaturprüfung siehe Webhooks und SIEM-Integration. Splunk HEC, Microsoft Sentinel und Elastic konsumieren sie ohne eigenen Code.

Wie gute Triage aussieht

Sie merken, dass das Dashboard funktioniert, wenn drei Dinge zutreffen: Ihre Warteschlange offener Vorfälle bleibt unter einem Tag alt, Ihre False-Positive-Rate pro Detektor sinkt Woche für Woche, und der Großteil der Vorfälle läuft über Anonymize statt Block. Letzteres ist das Ziel: Ihre Nutzer arbeiten weiter, und Ihre sensiblen Daten bleiben, wo sie hingehören.