Ihre Organisation im Operator Console einrichten

Vollständige Checkliste für Security-Admins, um einen Zeuslock-Tenant produktiv zu schalten: Organisation, SSO, Detection-Profil, Alarmkanäle, Pilotgruppe und Geräte-Pairing.

Was Sie in den nächsten 30 Minuten konfigurieren

Das Operator Console unter app.zeuslock.ai ist der Ort, an dem Sie einen frisch angelegten Zeuslock-Tenant in eine produktionsreife DLP-Plattform verwandeln. Melden Sie sich mit der E-Mail-Adresse an, mit der Sie sich registriert haben — Ihr Erstkonto wird als Owner bereitgestellt. Diese Anleitung führt einen Operator durch die kanonische Reihenfolge: Organisation anlegen, Team einladen, SSO verbinden, Findings aktivieren, Alarme routen, eine Policy an eine Pilotgruppe ausspielen — und erst dann das ganze Unternehmen einbeziehen.

Arbeiten Sie die Schritte in der Reihenfolge ab. Jeder Schritt ist kurz, aber ein Übergehen — vor allem der Pilotgruppe — erzeugt erfahrungsgemäß Wellen von Falschpositiven, die das Vertrauen in die Plattform untergraben.

Die Einrichtungssequenz

  1. Legen Sie die Organisation an. Gehen Sie zu Einstellungen → Organisation → Neu. Tragen Sie den juristischen Namen ein (erscheint auf Vorfallsexports und AVVs), wählen Sie die primäre Regioneu-west-3 (Paris) ist Standard und die richtige Wahl für jede in der EU ansässige Workload — und legen Sie die Standardsprache für die Konsolen-UI und Endnutzer-Benachrichtigungen fest. Die Region lässt sich nicht mehr ändern, sobald Vorfälle aufgezeichnet wurden; die Sprache schon.
  2. Laden Sie das Security-Team ein. Navigieren Sie zu Einstellungen → Mitglieder → Einladen. Zeuslock kennt vier Rollen, jede nach dem Prinzip der geringsten Rechte zugeschnitten:
    • Owner — Abrechnung, Tenant-Löschung, Rollenvergabe. Halten Sie diese Rolle auf maximal zwei Personen begrenzt.
    • Admin — Policies, Integrationen, SSO, eigene Detektoren. Die operative Alltagsrolle.
    • Operator — Vorfälle prüfen, triagieren, kommentieren, eskalieren. Keine Policy-Bearbeitung.
    • Auditor — Nur-Lese-Zugriff auf alles inklusive Audit-Logs und CSV-Export. Vorgesehen für Compliance und interne Revision, insbesondere im Hinblick auf BfDI- und BSI-Vorgaben.
  3. Verbinden Sie SSO. Öffnen Sie Einstellungen → Authentifizierung → Single Sign-On und wählen Sie Ihren Identity Provider. Die Unterschritte stehen weiter unten.
  4. Konfigurieren Sie das Standard-Detection-Profil. Unter Policies → Detection-Profil → Standard aktivieren Sie die vier Finding-Familien, die ab Tag eins Signal liefern: credentials (api_key, password, private_key, JWT, Bearer-Tokens), PII (E-Mail, Telefon, Personalausweisnummer, Reisepass, IP), financial (credit_card, IBAN, crypto_wallet, connection_string) und source_code. Lassen Sie behavioral deaktiviert, bis Sie mindestens zwei Wochen Baseline-Traffic gesammelt haben — die Familie stützt sich auf nutzerbezogene Normen, die erst gelernt werden müssen.
  5. Richten Sie Alarmkanäle ein. Unter Integrationen → Alarmierung: Verbinden Sie Slack über den OAuth-Button (wählen Sie den Kanal, den die On-Call-Security tatsächlich liest), tragen Sie eine eingehende Microsoft-Teams-Webhook-URL ein, fügen Sie einen generischen HTTPS-Endpunkt für Ihr SIEM ein (Splunk HEC, Microsoft Sentinel oder ein beliebiges System, das HMAC-signiertes JSON annimmt), und aktivieren Sie den E-Mail-Digest in der zu Ihrem Betriebsrhythmus passenden Frequenz — täglich für aktive Security-Teams, wöchentlich für kleinere Organisationen.
  6. Legen Sie Ihre erste Gruppe an. Gehen Sie zu Einstellungen → Gruppen → Neu und legen Sie eine Gruppe namens pilot-security an. Fügen Sie das Security-Team selbst hinzu. Diese Gruppe erhält jede neue Policy zuerst, damit Sie Überraschungen am eigenen Team erkennen, bevor sie einen Vertriebskollegen freitagnachmittags treffen.
  7. Erzeugen Sie das Geräte-Pairing-Token. Unter Einstellungen → Geräte → Pairing-Token klicken Sie auf Generieren. Übergeben Sie das Token an Ihr Fleet-Management (Intune, Jamf, GPO oder ChromeOS-Policy in Workspace) als Wert der Umgebungsvariable ZEUSLOCK_PAIRING_TOKEN. Browser-Erweiterung und Desktop-Agent registrieren sich beim ersten Start eigenständig, ohne dass Nutzer eingreifen müssen.
  8. Optional: Datenresidenz festlegen. Verlangt Ihr Vertrag eine ausschließlich französische Verarbeitung, öffnen Sie Einstellungen → Datenresidenz und setzen Sie die Regionalbindung auf fr-only, bevor der erste Vorfall aufgezeichnet wird. Damit bleibt jedes Byte an Finding-Kontext, ML-Bestätigungsverkehr und Audit-Log auf französischer Infrastruktur. Die Bindung ist endgültig, sobald der erste Vorfall den Tenant erreicht — es gibt kein Zurück.

Schritt 3 im Detail: Identity Provider anbinden

SSO beseitigt das Passwortproblem und schaltet SCIM-Provisionierung frei. Konfigurieren Sie genau einen IdP pro Tenant. Alle drei Flüsse unten erzeugen denselben Endzustand: eine SAML-2.0-Föderation und, sofern unterstützt, eine SCIM-2.0-Synchronisation von Nutzern und Gruppen.

Okta (SAML 2.0 + SCIM)

Im Operator Console kopieren Sie ACS URL und Entity ID aus Einstellungen → Authentifizierung → SAML. Legen Sie in Okta eine SAML 2.0-Anwendung namens Zeuslock an, fügen Sie beide Werte ein, setzen Sie das NameID-Format auf EmailAddress und mappen Sie die Attribute email, firstName, lastName, groups. Laden Sie die IdP-Metadaten als XML herunter und laden Sie sie in Zeuslock hoch. Für SCIM aktivieren Sie Provisioning → To App, fügen den SCIM-Endpunkt und das Bearer-Token aus Authentifizierung → SCIM ein und haken Sie Anlegen / Aktualisieren / Deaktivieren von Nutzern an.

Azure AD / Entra ID (SAML 2.0 + SCIM)

Erstellen Sie in Entra eine Unternehmensanwendung aus dem Katalog mit der Suche Zeuslock, oder eine Nicht-Katalog-App gleichen Namens. Konfigurieren Sie Single Sign-On → SAML mit ACS URL und Entity ID aus der Konsole. Mappen Sie den Claim user.mail auf NameID. Für SCIM wählen Sie im Provisionierungs-Blade den Modus Automatisch, fügen SCIM-Endpunkt und Bearer-Token ein und weisen die zu synchronisierende Sicherheitsgruppe zu. Testen Sie mit On-Demand provisionieren, bevor Sie den Zeitplan aktivieren.

Google Workspace (SAML 2.0, kein SCIM)

Öffnen Sie in der Google-Admin-Konsole Apps → Web- und mobile Apps → Benutzerdefinierte SAML-App hinzufügen, nennen Sie sie Zeuslock, laden Sie die Google-IdP-Metadaten herunter und laden Sie sie in Einstellungen → Authentifizierung → SAML → IdP-Metadaten hoch. Tragen Sie ACS URL und Entity ID auf der Zeuslock-Seite ein. Workspace stellt SCIM extern nicht bereit — aktivieren Sie stattdessen Just-In-Time-Provisionierung unter Authentifizierung → SAML → JIT, sodass Nutzer beim ersten SSO-Login angelegt werden.

Prüf-Checkliste vor dem Rollout

Laden Sie das restliche Unternehmen erst ein, wenn alle drei folgenden Punkte erfüllt sind:

  • SSO funktioniert für 2-3 Tester. Lassen Sie mindestens drei Mitglieder des Security-Teams sich ab- und über Ihren IdP wieder anmelden. Bestätigen Sie, dass das Rollen-Mapping stimmt und SCIM (falls genutzt) die Gruppenmitgliedschaften korrekt übertragen hat.
  • Mindestens ein Slack-Alarm empfangen. Klicken Sie unter Integrationen → Alarmierung → Slack auf Testalarm senden. Prüfen Sie, dass er im richtigen Kanal ankommt und die On-Call-Rotation ihn tatsächlich sieht.
  • Mindestens ein echtes Finding aus Ihrem eigenen Browser. Installieren Sie die Erweiterung auf Ihrem Rechner und fügen Sie die dokumentierte Visa-Testkarte 4111 1111 1111 1111 in ChatGPT ein. Prüfen Sie, dass der Vorfall innerhalb von zehn Sekunden in Vorfälle → Live erscheint, mit korrektem Detektor, korrekter Schwere und korrekter Zuordnung zur Pilotgruppe.

Rollen Sie in der dokumentierten Reihenfolge aus: Monitor Wochen 1-2, Anonymisieren Wochen 3-5, Blockieren ab Woche 6. Die Plattform erlaubt es, am ersten Tag direkt in den Block-Modus zu gehen, doch das erzeugt in der Praxis Support-Tickets, die zwei Wochen reine Beobachtung verhindert hätten.

Sobald die Verifikation besteht, erweitern Sie die Pilotgruppe auf eine zweite Abteilung und anschließend auf die gesamte Organisation. Das Policy-Rollout-Playbook beschreibt die empfohlene Kadenz.