ENGINSIGHT
Search…
Hosts (Pulsar-Agent)
Folgend erhalten Sie Informationen zu den Funktionen unseres Pulsar-Agent zur Überwachung von Servern sowie Clients mit Windows oder Linux.
Enginsight liefert eine umfassende Lösung zur Überwachung und Absicherung Ihrer Server und Clients. Spüren Sie Sicherheitslücken, die durch veraltete Software oder fehlerhafte Konfigurationen entstehen, auf und schließen Sie diese direkt aus der Plattform. Den proaktiven Möglichkeiten steht eine intelligente Erkennung von Angriffen und Anomalien zur Seite.
Für diese tief greifende Analyse und Absicherung im Inneren Ihrer Server und Clients, ist die Installation unseres Pulsar-Agents auf den jeweiligen System notwendig. Folgend erfahren Sie, wie Sie den Agent installieren und damit Ihre IT-Sicherheit verbessern.

Was bedeutet Host?

Der Begriff Host wird oft als Synonym für Computer oder Server verwendet. Auf der Enginsight Plattform verstehen wir hierunter die Systeme, auf denen der Enginsight Pulsar-Agent installiert ist bzw. installiert werden kann.

Der Pulsar-Agent

Der Agent überträgt die Servermetriken über eine verschlüsselte Verbindung zur Enginsight Cloud bzw. On-Premises-Installation. Dabei erfolgt die Verbindung ausschließlich einseitig, ausgehend vom Agent. Eine direkte Kommunikation von der Plattform zum Agent ist ausgeschlossen.

Systemanforderungen

Der Agent muss mit Root-Rechten laufen.

Installation (einen neuen Host anlegen)

In diesem Abschnitt erfahren Sie, wie Sie unseren Pulsar-Agent auf Ihrem System installieren können.
Wie das geht, erklären wir auch in unserem Video: "Deine 5 ersten Schritte":
Um einen neuen Host hinzuzufügen, gehen Sie im Top-Menü auf den Reiter “Hosts”. Entweder installieren Sie einen "Server Host" oder einen "Client Host".
Beachten Sie, dass für Server und Clients unterschiedliche Lizenzen nötig sind. Erfahren Sie mehr zum Thema Lizenzmodelle.
Anschließend wählen Sie bitte Ihr Betriebssystem aus.
Klicken Sie auf das Bild, um es zu vergrößern

Linux

Geben Sie bitte den curl Befehl, den Sie nun sehen, in Ihr Terminal ein. Sie benötigen root Zugriff, um den Client zu installieren.
Klicken Sie auf das Bild, um es zu vergrößern
Sie werden nun aufgefordert unser End User License Agreement (EULA) zu akzeptieren. Dieses Dokument finden Sie hier. Mit dem Download unseres Agents erklären Sie sich mit den Geschäftsbedingungen aus dem EULA einverstanden.
Zum Schluss sollten Sie eine Meldung erhalten, dass der Pulsar-Agent erfolgreich installiert wurde.

Windows

Führen Sie das Installationsskript als root aus. Drücken Sie dazu: Windows-Taste + R und geben Sie “cmd” ein. Kopieren Sie sich den angegebenen Befehl und fügen Sie diesen im cmd ein und drücken Sie auf Enter.
Klicken Sie auf das Bild, um es zu vergrößern
Sie werden nun aufgefordert unser End User License Agreement (EULA) zu akzeptieren. Dieses Dokument finden Sie hier. Mit dem Download unseres Agents erklären Sie sich mit den Geschäftsbedingungen aus dem EULA einverstanden.
Zum Schluss sollten Sie eine Meldung erhalten, dass der Pulsar-Agent erfolgreich installiert wurde.
Das Enginsight nun korrekt mit Ihrem Gerät kommuniziert, erkennen Sie an folgendem Bildschirm innerhalb der Plattform:
Hier können Sie nun einen technischen und fachlichen Verantwortlichen bestimmen und Tags für den Host vergeben.

Pulsar-Agent per Windows Gruppenrichtlinie ausrollen

Sie können den Pulsar-Agent mit Hilfe eines Startskripts auf mehreren Rechnern einer Domäne ausrollen. Um die Installation per Gruppenrichtlinie einzurichten, erstellen Sie ein Skript, das bei jedem Systemstart überprüft, ob der Agent installiert ist, und falls nicht die Installation ausführt.
1. Kopieren Sie sich das automatische Installationsskript für Windows mit ihrem individuellen Identifier und AccessKey in die Zwischenablage. Verzichten Sie dabei auf die oberste Zeile powershell: Gehen Sie dazu in der Enginsight Plattform auf Hosts → Server Host erstellen bzw. Client Host erstellen, wählen das Betriebssystem "Windows Server 2008+, Windows 7+" und den Reiter "Automatische Installation".
2. Fügen Sie das kopierte Skript an der markierten Stelle in diese Vorlage ein:
1
If (Get-Service "Enginsight Pulsar" -ErrorAction SilentlyContinue) {
2
break
3
} Else {
4
# Fügen Sie unterhalb dieser Zeile den kopierten Installationsbefehl ein.
5
6
}
Copied!
Erstellen Sie für Server- und Clientlizenzen jeweils ein eigenes Skript.
Ihr fertiges Skript mit Ihrem individuellen Identifier und AccessKey (bei On-Premises mit angepasster API) sieht folgendermaßen aus:
1
If (Get-Service "Enginsight Pulsar" -ErrorAction SilentlyContinue) {
2
break
3
} Else {
4
$dl='https://api.enginsight.com/v1/_/pulsar/latest/ngs-pulsar-amd64-setup.exe'
5
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
6
(New-Object System.Net.WebClient).DownloadFile($dl,"$env:TEMP\ngs-pulsar-setup.exe");
7
& "$env:TEMP\ngs-pulsar-setup.exe" `
8
-acceptEula=true -interactive=false -license server `
9
-accessKeyId xxxxxxxxxxxxxxxxxxxxxxxx `
10
-accessKeySecret xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx `
11
-api https://api.enginsight.com
12
13
}
Copied!
3. Speichern Sie das fertige Skript als PowerShell-Skriptdatei mit der Endung .ps1.
4. Öffnen Sie den Gruppenrichtlinien-Editor: gpedit.msc
5. Navigieren Sie für die entsprechende Domäne zu Computerkonfiguration → Windows-Einstellungen → Skripts (Start/Herunterfahren) → Starten.
6. Fügen Sie im Reiter "PowerShell-Skripts" das von Ihnen erstellte Installationsskript hinzu.
Achten Sie darauf, dass der Speicherort des Skripts für alle Rechner in der Domäne zugänglich ist und alle Rechner die Berechtigung besitzen, das Skript auszuführen.

Pulsar-Agent in VDI-Umgebungen installieren

1. Starten Sie Ihr Master Image System.
2. Installieren Sie einen Pulsar-Agent über die Enginsight Plattform: Hosts → Client Host erstellen → Betriebssystem "Windows Server 2008+, Windows 7+" wählen → Skript ausführen (Windows-Taste + R + “cmd”).
3. Öffnen Sie die Konfigurationsdatei des Pulsar-Agent unter folgendem Pfad:
1
C:\Program Files\Enginsight\Pulsar\config.json
Copied!
4. Entfernen Sie den _id-Wert und passen Sie die Parameter "environment": "vdi" und "license": "client" an.
Ihre Konfigurations-Datei sieht nun in etwa folgendermaßen aus:
1
{
2
"channel": "master",
3
"environment": "vdi",
4
"license": "client"
5
"host": {
6
"_id": ""
7
},
8
"api": {
9
"url": "https://api.enginsight.com",
10
"proxy": "",
11
"noProxy": "",
12
"accessKey": {
13
"id": "XXXXXXXXXXXXXXXXXXXXXXXXXX",
14
"secret": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
15
}
16
}
17
}
Copied!
5. Speichern Sie die Konfigurationsdatei ab.
6. Löschen Sie den Host aus der Plattform.
7. Speichern Sie das Master Image ab.
Bei einem erstmaligen Start fügen sich die Benutzer der VDI automatisch als Host hinzu. Die Hosts sind nach den Accountnamen benannt.
Achten Sie darauf ausreichend Client-Lizenzen für alle überwachten virtuellen Desktops zu buchen.

Proxy

Falls im Unternehmen ein Proxy zum Einsatz kommt, muss dieser angegeben werden. Während der interaktiven Installation wird Enginsight versuchen, den verwendeten Proxy zu erkennen und Sie fragen, ob dieser verwendet werden soll.
Alternativ kann der Proxy auch im Installationsskript direkt angegeben und optional URLs ausgeschlossen werden. Dazu die folgenden Parameter verwenden:

Proxy

proxy: URL des Proxys, über den die Verbindungen geleitet werden sollen
1
Windows Umgebungen: -proxy <scheme>://<host>:<port>
2
Linux Umgebungen: proxy=<scheme>://<host>:<port>
Copied!

Noproxy

noProxy: URL(s), für die der Proxy nicht genutzt werden soll
1
Windows Umgebungen: -noProxy "<scheme>://<host>:<port>,<scheme>://<host>:<port>"
2
Linux Umgebungen: noProxy="<scheme>://<host>:<port>,<scheme>://<host>:<port>"
Copied!

Beispiel: Interaktive Installation

Folgend zwei Beispiele für die interaktive Installation des Pulsar-Agent mit proxy und optionalem noProxy Parameter.
Windows:
1
powershell
2
$dl='https://api.enginsight.com/v1/_/pulsar/latest/ngs-pulsar-amd64-setup.exe'
3
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
4
(New-Object System.Net.WebClient).DownloadFile($dl,"$env:TEMP\setup.exe");
5
& "$env:TEMP\setup.exe" `
6
-identifier jClWfzsPdJ9J3RZaIc2YVsmvKbxaR1JO -license server `
7
-accessKeyId **** `
8
-accessKeySecret **** `
9
-api https://api.enginsight.com `
10
-proxy http://1.1.1.1:8080 `
11
-noProxy "http://10.0.0.1:80,http://10.0.0.2:8080"
Copied!
Linux:
1
curl -sSL https://api.enginsight.com/v1/_/pulsar/setup.sh | sudo -E bash -s \
2
identifier=jClWfzsPdJ9J3RZaIc2YVsmvKbxaR1JO license=server \
3
accessKeyId=**** \
4
accessKeySecret=**** \
5
api=https://api.enginsight.com \
6
proxy=http://1.1.1.1:8080 \
7
noProxy="http://10.0.0.1:80,http://10.0.0.2:8080"
Copied!

Beispiel: Automatische Installation

Für die automatische Installation muss der Proxy Parameter bei Bedarf dem Installationsskript mitgegeben werden. Ansonsten versucht Enginsight, den Proxy automatisch zu ermitteln.
Windows:
1
powershell
2
$dl='https://api.enginsight.com/v1/_/pulsar/latest/ngs-pulsar-amd64-setup.exe'
3
(New-Object System.Net.WebClient).DownloadFile($dl,"$env:TEMP\setup.exe");
4
& "$env:TEMP\setup.exe" `
5
-acceptEula=true -interactive=false -license server `
6
-accessKeyId **** `
7
-accessKeySecret **** `
8
-api https://api.enginsight.com `
9
-proxy http://1.1.1.1:8080 `
10
-noProxy "http://10.0.0.1:80,http://10.0.0.2:8080"
Copied!
Linux:
1
curl -sSL https://api.enginsight.com/v1/_/pulsar/setup.sh | sudo -E bash -s \
2
acceptEula=true license=server \
3
accessKeyId=**** \
4
accessKeySecret=**** \
5
api=https://api.enginsight.com \
6
proxy=http://1.1.1.1:8080 \
7
noProxy="http://10.0.0.1:80,http://10.0.0.2:8080"
Copied!

Nachträgliche Änderung des Proxy Parameters

Möchten Sie nachträglich die Proxy Parameter des Pulsar-Agent ändern, können Sie dies über die config.json erledigen. Diese finden Sie hier:
Windows: C:\Program Files\Enginsight\Pulsar\config.json
Linux: opt/enginsight/pulsar

Tags

Sie können gewünschte Tags gleich bei der Installation mitgeben. Fügen Sie dazu den Parameter tags dem Installationsskript hinzu. Sie können Tags auch jederzeit über die Benutzeroberfläche hinzufügen und anpassen.
Tags sind in der Enginsight-Plattform sehr wichtig und steigern die Effektivität enorm. Sie können mit Tags beispielsweise Alarme gruppieren oder im Policy Manager Einstellungen für mehrere Hosts vornehmen.
1
Windows Umgebungen: -tags "ids,important"
2
Linux Umgebungen: tags="ids,important"
Copied!
Beispiel: Automatische Installation mit Tags
Windows:
1
powershell
2
$dl='https://api.enginsight.com/v1/_/pulsar/latest/ngs-pulsar-amd64-setup.exe'
3
(New-Object System.Net.WebClient).DownloadFile($dl,"$env:TEMP\setup.exe");
4
& "$env:TEMP\setup.exe" `
5
-acceptEula=true -interactive=false -license server `
6
-accessKeyId **** `
7
-accessKeySecret **** `
8
-api https://api.enginsight.com `
9
-tags "ids,important"
10
Copied!
Linux:
1
curl -sSL https://api.enginsight.com/v1/_/pulsar/setup.sh | sudo -E bash -s \
2
acceptEula=true license=server \
3
accessKeyId=**** \
4
accessKeySecret=**** \
5
api=https://api.enginsight.com \
6
tags="ids,important"
Copied!

Agent aktualisieren

Der Enginsight Pulsar-Agent wird von uns laufend aktualisiert. Damit alle (neuen) Funktionen wie gewünscht funktionieren, ist es nötig, dass Sie den Agent stets auf dem aktuellen Stand halten.
In der Host-Übersicht wird bei jedem Host die installierte Version des Agents angezeigt. Handelt es sich dabei nicht um die aktuellste Version, zeigt die Plattform einen entsprechenden Hinweis.
Um den Agent zu aktualisieren haben Sie zwei Möglichkeiten:
    Sie können den Agent auf einem einzelnen Host aktualisieren. Klicken Sie dazu den Host an und klicken Sie auf "Agent aktualisieren".
    Wollen Sie den Agent auf allen Hosts gleichzeitig auf den aktuellen Stand bringen, klicken Sie in der Hostübersicht auf "Agents aktualisieren". Sie erhalten eine Auflistung, auf welchen Hosts nicht die neuste Version läuft. Klicken Sie auf "Aktualisieren", um die neuste Version des Agents auf allen Hosts auszurollen.

Deinstallation

Falls Sie den Agent von einem Ihrer Hosts deinstallieren wollen, können Sie das ganz bequem innerhalb der Enginsight Plattform erledigen. Gehen Sie zunächst auf die Hostübersicht, indem Sie in der Navigationsbar auf Hosts drücken. Suchen Sie den gewünschten Host und klicken Sie erst auf die 3 Punkte innerhalb der Übersichtskachel und dann auf löschen.
Danach müssen Sie die Löschung nochmals bestätigen.
Beachten Sie, dass damit alle Daten des Hosts unwiederbringlich gelöscht werden.
Klicken Sie auf das Bild, um es zu vergrößern

Manuelle Deinstallation

Sollte die normale Deinstallation nicht möglich sein, können Sie den Agent auch manuell direkt auf dem Host deinstallieren.
Windows
1. Navigieren Sie in den Installationsordner des Pulsar-Agents.
1
C:\Program Files\Enginsight\Pulsar
Copied!
Dort finden Sie das Powershell-Skript uninstall.ps1.
2. Führen Sie das Skript uninstall.ps1 mit Administratorrechten auf dem Host aus, um den Pulsar-Agent manuell zu deinstallieren.
3. Löschen Sie den Host über den gewöhnlichen Weg, um ihn aus der Enginsight Plattform zu entfernen.
Linux
1. Navigieren Sie in den Installationsordner des Pulsar-Agents.
1
cd /opt/enginsight/pulsar
Copied!
2. Führen Sie die Bash-Skript uninstall.sh auf dem Host aus aus.
1
sudo ./uninstall.sh
Copied!
Die Warnung /sbin/init: Unbekannte Option »--version« ist irrelevant und kann daher ignoriert werden.
3. Löschen Sie den Host über den gewöhnlichen Weg, um ihn aus der Enginsight Plattform zu entfernen.

Advanced Hardening

Sie können die Ausführung von Plugins in der lokalen Konfigurationsdatei des Pulsar-Agents grundsätzlich deaktivieren, sodass Sie sich über die UI der Enginsight Applikation nicht mehr aktivieren lässt.
Seien Sie vorsichtig mit dieser Einstellung. Wir empfehlen ein solches Vorgehen nur in seltenen Ausnahmefällen.

Linux

    1.
    Öffnen Sie die Konfigurationsdatei des Pulsar-Agents.
1
nano /opt/enginsight/pulsar/config.json
Copied!
2. Fügen Sie die Überschreibung der Plugin-Konfiguration hinzu, sofern die Konfiguration noch nicht angelegt ist. (Ob die Funktion bereits vorhanden ist, hängt davon ab, wann Sie den Pulsar-Agent installiert haben.)
1
"override": {
2
"plugins": {
3
"disabled": true
4
}
5
}
Copied!
Sollte die Override-Option bereits existieren, setzen Sie einfach den Parameter auf true.
Achten Sie darauf, dass Sie hinter die geschweiften Klammer, welche die API-Konfiguration umschließt, ein Komma hinzufügen. Sonst wird die Override-Konfiguration ignoriert.
3. Starten Sie den Pulsar-Agent neu.
1
service ngs-pulsar restart
Copied!

Windows

    1.
    Öffnen Sie die Konfigurationsdatei des Pulsar-Agents.
1
C:\Programme\Enginsight\Pulsar\config.json
Copied!
2. Fügen Sie die Überschreibung der Plugin-Konfiguration hinzu, sofern die Konfiguration noch nicht angelegt ist. (Ob die Funktion bereits vorhanden ist, hängt davon ab, wann Sie den Pulsar-Agent installiert haben.)
1
"override": {
2
"plugins": {
3
"disabled": true
4
}
5
}
Copied!
Sollte die Override-Option bereits existieren, setzen Sie einfach den Parameter auf true.
Achten Sie darauf, dass Sie hinter die geschweiften Klammer, welche die API-Konfiguration umschließt, ein Komma hinzufügen. Sonst wird die Override-Konfiguration ignoriert.
3. Starten Sie den Pulsar-Agent neu.
Windows-Taste + R → services.msc → Enginsight Pulsar → Rechtsklick → Alle Aufgaben → Neustart

Übersicht

Hier finden Sie einen Überblick über Ihre Hosts. Viele Informationen können Sie bereits an dieser Stelle der Plattform entnehmen. Für weitere Informationen klicken Sie einfach auf den jeweiligen Host.

Policy Manager

Im Policy Manager können Sie die Einstellungen mehrerer Hosts gemeinsam verwalten. Sie können...
    den Netzwerkmitschnitt erlauben und das Detection Level des Intrusion Detection Systems wählen.
    AutoUpdates verwalten.
    Ausnahmelisten definieren.
    den Mitschnitt sicherheitsrelevanter Ereignisse aktivieren (Logs für Systemevents mitschneiden).
    die Ausführung benutzerdefinierter Plugins erlauben.
    die Shield-Komponente aktivieren.
    die erweiterte Softwareüberwachung aktivieren.
    die API URL anpassen.
Die Einstellungen werden unmittelbar auf alle ausgewählten Hosts übertragen.
Um eine neue Policy hinzuzufügen:
    1.
    Klicken Sie auf 'Policy hinzufügen'.
    2.
    Vergeben Sie einen Namen und eine Beschreibung.
    3.
    Legen Sie unter 'Zugeordnete Referenzen', fest, auf welche Hosts die Einstellungen übernommen werden sollen. Sie können entweder die Hosts direkt auswählen oder auf Tag zurückgreifen, was wir empfehlen.
    4.
    Legen Sie unter 'Policies' fest, welche Einstellungen über die Policy verwaltet werden sollen. Anschließend legen Sie die forcierte Einstellung fest (aktiv/inaktiv).
    5.
    Klicken Sie 'Änderungen speichern', um die Policy hinzuzufügen.
Die Auswahl an Tags können Sie nochmals genauer spezifizieren:
    Alle Tags sind bei der Referenz vorhanden: Wenn alle Tags, die Sie der Policy zugeordnet haben, auch beim Host vorhanden sind, wird die Policy angewendet.
    Mindestens einer der angegebenen Tags ist vorhanden: Ist einer der Tags beim Host vergeben, wird die Policy angewendet.
Sie wollen eine Policy löschen oder rückgängig machen?
Legen Sie eine Policy an, werden die Einstellungen der zugeordneten Hosts überschrieben. Löschen Sie eine Policy bleiben die Einstellungen daher in den Einstellungen des einzelnen Hosts zunächst erhalten.
Wollen Sie eine Einstellung, die Sie über eine Policy vorgenommen haben, rückgängig machen, müssen Sie also nach dem Löschen der Policy zusätzlich entweder:
    Die Einstellungen des einzelnen Host anpassen.
    Eine neue Policy anlegen, welche die geänderten Einstellungen für die Hosts übernimmt.
Existieren mehrere Policies, die demselben Host zugeordnet sind und bei denen die gleichen Einstellungen über die Policy verwaltet werden, wählt Enginsight die Einstellungen der zuletzt angelegten Policy.

Softwareinventar

Im Softwareinventar sind alle Programme aufgelistet, die der Pulsar-Agent auf einem Server oder Client detektiert hat. Es bietet Ihnen daher einerseits eine Gesamtübersicht über verwendete Software und andererseits die Möglichkeit, mit der Searchbar gezielt Ihre Hosts nach bestimmter Software zu durchsuchen.
Sie möchten auch Software inventarisieren, die nicht mit einem regulären Installationsprogramm installiert worden ist? Aktiveren Sie die Erweiterte Softwareüberwachung in den Einstellungen des einzelnen Hosts oder über den Policy Manager.
Zugeordnet zur jeweiligen Software wird Ihnen angezeigt, auf welchen Servern und Clients die Software installiert ist. Sie erhalten eine Angabe der Version und der Quelle (z.B. regedit, pkg, dpkg) auf dem jeweiligen Host. Klicken Sie einen Host an, um zum Softwareinventar des jeweiligen Hosts zu gelangen.

Inventar exportieren

Zu Dokumentationszwecken oder um die Daten in eine andere Software zu übertragen, können Sie sich die Ergebnisse als Liste (.csv) exportieren. Dabei stehen Ihnen zwei Möglichkeiten zu Verfügung:
    Ansicht exportieren: Erstellen Sie eine Liste der momentan angezeigten Software. Verwenden Sie diese Option, um beispielsweise eine Liste anzulegen, auf welchen Servern und Clients eine bestimmte Software installiert ist.
    Alles exportieren: Erstellen Sie eine Liste des gesamten Inventars. Diese Option ist insbesondere für Dokumentationszwecke von Bedeutung.

Hostinformationen

Übersicht

Hier erhalten Sie eine Übersicht über die wichtigsten Eckdaten und Analyseergebnisse Ihres Hosts. Unter anderem finden Sie hier konkrete Handlungsempfehlungen und das Rating über Sicherheitslücken, Updates, Netzwerkaktivitäten und Konfigurationen (A++, A+, A, B, C, F).
Über die linke Sidebar gelangen Sie zu den Detailansichten der jeweiligen Analysen.

Issues

Eine Auflistung der ausgelösten Alarme des einzelnen Hosts erhalten Sie hier. Die Issue-Übersicht über alle Assets hinweg erhalten Sie unter Issues.

Geräteinformationen

Hier erhalten Sie Systeminformationen, die das Mainboard bereitstellt. Die Informationen dienen Ihnen zur besseren Identifikation des Hosts, zum Beispiel über die Modell-Bezeichnung oder die Seriennummer des Mainboards.

Metriken

Hier finden Sie die klassischen Monitoring-Kurven über CPU, RAM, SWAP, Netzwerk, Festplattenauslastung und -leistung. Für jeden Host wird automatisch die Festplattenanzahl ermittelt und anschließend für jede Festplatte ein eigenes Diagramm für die Auslastung und Leistung erstellt.
Den Start- und Endzeitpunkt der Metriken können Sie manuell festlegen. Sie lassen sich außerdem in einen Live-Modus schalten.
Zu jeder Metrik erhalten Sie einen Quick-Alarm-Button. Damit können Sie mit nur wenigen Klicks zu jeder Metrik einen Alarm erstellen.

Custom Metriken

In dieser Übersicht sehen Sie alle, von Ihnen angelegten, benutzerdefinierten Metriken.
Klicken Sie auf das Bild, um es zu vergrößern
Mit Hilfe von benutzerdefinierten Metriken können Sie beliebige Daten Ihres Hosts überwachen, die in einem zeitlichen Verlauf darstellbar sind. Das können z.B. Daten aus einer SQL-Datenbank, Backups, Lizenzmetriken einer Software, die Anzahl aktuell eingeloggter Nutzer, die Dauer einzelner Request, Sensordaten, etc. sein. Zu allen benutzerdefinierten Metriken können selbstverständlich Alarme erstellt werden, wenn gewünscht auch via Quick Alarm Button. Sie können auch Start- und Endzeitpunkt der Metriken manuell festlegen.
Um eine benutzerdefinierte Metrik zu erstellen, müssen Sie lediglich ein Plugin anlegen, dass die Daten auf dem entsprechenden Host ausliest. Gehen Sie dazu einfach auf den Punkt Plugins unter Hosts. Beim Erstellen des Plugins können Sie bereits eine entsprechende Vorlage für eine benutzerdefinierte Metrik auswählen.
Klicken Sie auf das Bild, um es zu vergrößern
Anschließend können Sie für das Plugin direkt einen Cronjob auf dem Host definieren, um die Daten regelmäßig zu erfassen. Mehr zum Thema Plugins, erfahren Sie hier.

Software

Hier finden Sie eine Inventur Ihrer Software mit dem Softwarenamen, der Version und der Quelle der Software. So eine Aufstellung kann z.B. beim Softwarelizenz-Management oder bei der Aufstellung eines Verfahrensverzeichnisses nach DSGVO weiterhelfen.
Sie möchten auch Software inventarisieren, die nicht mit einem regulären Installationsprogramm installiert worden ist? Aktiveren Sie die Erweiterte Softwareüberwachung in den Einstellungen des einzelnen Hosts oder über den Policy Manager.
Normalerweise überprüft Enginsight die installierte Software alle 60 Minuten. Wenn Sie Ihr Softwareinventar manuell auf den aktuellen Stand bringen wollen, klicken Sie einfach auf den "Aktualisieren"-Button.
Sie können folgende Alarme auf Software schalten:
    Neue/entfernte Software Erhalten Sie eine Benachrichtigung, wenn Software installiert/deinstalliert wird
    Software ist installiert Erhalten Sie eine Benachrichtigung, wenn die Software installiert ist. Via Tag können Sie so alle Ihre Hosts oder eine bestimmte Gruppe von Hosts darauf prüfen, ob eine bestimmte Software installiert ist.
    Software ist nicht installiert Erhalten Sie eine Benachrichtigung, wenn eine Software nicht installiert ist. Via Tag können Sie so alle Ihre Hosts oder eine bestimmte Gruppe von Hosts darauf prüfen, ob eine bestimmte Software nicht installiert ist.

Autostarts

Unter Autostarts erhalten Sie eine Übersicht über Software, die bei einem Systemneustart Ihres Hosts automatisch gestartet wird.
Ein Autostart beeinflusst einerseits die Performance, kann aber auch aus Sicherheitsperspektive kritisch sein. Software, die auf einem Server oder Client läuft, erhöht immer die Angriffsfläche für mögliche Angriffe. Deshalb sollten auch aus sicherheitstechnischer Abwägung heraus, die Zahl der Autostarts auf die nötige Software beschränkt sein. Bei Servern existieren in der Regel fast keine Autostarts. Auch Schadsoftware, bspw. ein Trojaner, möchte bei jedem Reboot neu gestartet werden und kann daher in der Liste auftauchen.
Sie können Autostarts direkt aus unserer Plattform heraus löschen. Klicken Sie dazu auf das Mülleimer-Icon hinter dem Eintrag.
Neue Autostarts, insbesondere bei Servern, sollten immer auf ihre Notwendigkeit und Legitimität geprüft werden. Mit dem Alarm „Neuer Autostart“ können Sie sich daher benachrichtigen lassen, sofern ein Autostart hinzugefügt wird. Schalten Sie am besten den Alarm via Tag auf alle Ihre überwachten Server.

Dienste

Unter Dienste erhalten Sie eine Übersicht über alle laufenden und gestoppten Dienste Ihres Servers oder Clients und deren Starttype. Sie können die Dienste direkt aus der Plattform heraus starten, neustarten und stoppen.
Ein Dienst/Service ist ein Programm, das beim Start des Computers automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z.B. mit der Installation neuer Software.
Nicht jeder Service, der gestoppt wird, ist als problematisch einzustufen. Deshalb können Sie manuell festlegen, welche Services systemrelevant sind. Standardmäßig werden alle Services als systemrelevant angenommen und eine entsprechende Warnung in der Sidebar sowie der Hostübersicht angezeigt, wenn sie gestoppt werden. Wählen Sie jedoch die Option systemrelevant ab, wird keine Warnung mehr ausgegeben, sollte der Service gestoppt worden sein.

Alarme schalten

Auch auf Dienste lassen sich Alarme schalten. Sie können sich benachrichtigen lassen, sofern ein Dienst ausgeführt bzw. nicht ausgeführt wird. Mit dem Alarm „Systemrelevanter Dienst wird nicht ausgeführt“ können Sie einen gemeinsamen Alarm auf alle systemrelevanten Dienste schalten.
Sollte ein Dienst Fehlalarme produzieren, können Sie ihn auf die Ausnahmeliste setzen, damit er von der Überwachung künftig ignoriert wird.

Erweiterte Dienstüberwachung

Standardmäßig überwacht der Enginsight Pulsar-Agent nur automatisch gestartete Dienste auf den Hosts, da dies für die allermeisten Fälle ausreichend ist. Wollen Sie alle Dienste mit Enginsight überwachen, aktivieren Sie in den erweiterten Einstellungen des Hosts die Option „Erweiterte Dienstüberwachung“.

Verbindungen

Unter Verbindungen finden Sie eine Übersicht der geöffneten Ports Ihrer Server und Clients, die den Status Listen besitzen. Diese sollten Sie regelmäßig kontrollieren, um potenzielle Einfallstore für Hacker zu erkennen oder ungewollt offene Verbindungen aufzuspüren. Sie erhalten Informationen zum Status, der lokalen Adresse (LADDR), der Ziel-Adresse (RADDR) und dem Prozessnamen der geöffneten Ports.
Generell gilt: Je mehr Ports geöffnet sind, desto anfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende Software potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade bei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt bleiben.
Indem Sie eine Verbindung als Systemrelevant kennzeichnen, dokumentieren Sie, dass der offene Port seine Richtigkeit hat. Sie bekommen dann im Menü keine Warnung mehr ausgegeben,
Enginsight detektiert in der Regel automatisch, um welchen Service es sich handelt. Die Information wird genutzt, um mit dem Intrusion Detection System gezielt und ressourcenschonend nach Cyberattacken zu scannen.
Sollte die automatische Erkennung eines Service nicht möglich sein, können Sie den Service manuell nachtragen. So lässt sich die Performance des IDS optimieren.

Alarme schalten

Mit dem Alarm "Neuer offener Port" können Sie sich alarmieren lassen, wenn ein neuer Port geöffnet wird. Wir empfehlen den Alarm via Tag auf alle Ihre überwachten Server zu schalten.
Sollte ein Service Fehlalarme produzieren, können Sie ihn auf die Ausnahmeliste setzen, damit er von der Überwachung künftig ignoriert wird.

Prozesse

Hier finden Sie eine Auflistung über alle auf Ihrem System laufenden Prozesse (inkl. Prozess ID), dem Prozessnamen, etwaigen Unterprozessen und dem Benutzer. Damit ist es auch möglich, Alarme zu erstellen, die bestimmte Prozesse involvieren. Beispielsweise eine Warnung per Email, wenn ein bestimmter Prozess auf Ihrem Host nicht mehr verfügbar ist. Dafür können Sie auch den Quick-Alarm-Button nutzen. Es ist auch möglich, Prozesse direkt aus der Plattform heraus zu schließen (KILL).

Konfigurationen

Hier erhalten Sie eine Checkliste über die Konfigurationen ihres Hosts. Falsch gesetzte Konfigurationen können ein Einfallstor für Hacker darstellen. Sie zu überprüfen und zu korrigieren sollte daher einen zentralen Stellenwert in jeder IT-Sicherheits-Strategie einnehmen.
Für folgende Betriebssysteme liefert Enginsight bereits Konfigurationsrichtlinien:
    Microsoft Windows Server 2008, 2012, 2016, 2019
    Microsoft Windows 10
    Chanonical Ubuntu 16
    Red Hat Enterprise Linux 6, 7
    SUSE Linux Enterprise Server 12
Zu jeder Konfiguration erhalten Sie eine Beschreibung sowie einen Check- und Fix-Text. Klicken Sie dazu auf "Details zur Konfiguration". Für einige Konfigurationen unterstützt Enginsight eine automatische Umsetzung direkt aus der Plattform, klicken Sie dazu einfach auf "AUTOFIX". Um die Konfiguration manuell zu beheben, klicken Sie auf "MANUELL BEHEBEN", vergeben einen Kommentar und bestätigen Ihren Fix. Eine Übersicht über die gefixten Konfigurationen erhalten Sie unter dem Reiter "Behobene Konfigurationen".
Sie können auch eigene Richtlinien erstellen und diese mit Listen Ihren Hosts zuordnen. Alle Informationen dazu, finden Sie hier.

Sicherheitslücken

Unter Sicherheitslücken finden Sie die Ergebnisse unseres CVE-Scanners (Schwachstellen-Scanners).
Zu jeder Sicherheitslücke erhalten Sie den CVE-Score und die ID der Sicherheitslücke. Zu jeder CVE ist eine Quelle verlinkt, bei der Sie tiefgehende Informationen zur Sicherheitslücke erhalten, zum Beispiel die National Vulnerability Database des National Institute of Standards and Technology (NIST).
Wir geben Ihnen außerdem Hinweise zu Zugriff und Auswirkungen.
Unter Aktionen erhalten Sie eine Hilfestellung, um zur aktuellen Version der von der CVE betroffenen Software zu gelangen. Bei Windows-Systemen ist hier bei Windows spezifischen Sicherheitsupdates das entsprechende Update verlinkt. Sofern ein kumulatives Update vorliegt, können Sie es direkt aus der Plattform installieren. Bei Third-Party Software finden Sie einen Link zum Download der aktuellen Version auf der Herstellerwebseite. Bei Linux-Systemen lassen sich sowohl die systemeigenen Updates als auch Third-Party Software direkt aus der Plattform patchen. Mehr Informationen zur Update-Funktion innerhalb der Enginsight-Plattform, finden Sie hier.
Es kann vorkommen, dass Sicherheitslücken permanent angezeigt werden, obwohl sie keine Relevanz besitzen. Dies ist der Fall, wenn in der Original-Software ein CVE vorliegt, der jedoch in der bestimmten Implementierung nicht zum Tragen kommt und daher vom Hersteller nicht gefixt wird. Hiervon sind insbesondere Linux-Systeme (Ubuntu, Debian) betroffen.

Systemevents

Hier erhalten Sie eine Übersicht über alle detektierten Systemevents des einzelnen Hosts. Das sind beispielsweise fehlgeschlagene bzw. erfolgreiche Login-Versuche.
Weitere Informationen zum Feature Systemevents und der Ihnen zu Verfügung stehenden Übersicht der Events auf allen überwachten Hosts erhalten Sie hier.

Netzwerkanomalien

Unter Netzwerkanomalien finden Sie die Analyseergebnisse des Netzwerkverkehrs des einzelnen Hosts. Nutzen Sie die Searchbar, um die Ergebnisse nach Kategorie, Kontinent und Risikolevel zu filtern. Sie können die Auswahl auch auf einen bestimmten Zeitraum einschränken.
Klicken Sie eine Attacke an, um zur Detailansicht zu gelangen.
Es steht Ihnen auch eine Übersicht über die Analyseergebnisse aller überwachter Hosts zu Verfügung. Alle Information dazu und weitere Erläuterungen zum Feature Netzwerkanomalien finden Sie hier.

Updates

Unter Updates finden Sie eine Auflistung derjenigen Updates, welche sich mit Enginsight einspielen lassen. Wählen Sie die gewünschten Updates aus und patchen Sie Ihre Software, indem Sie auf "Pakete aktualisieren" klicken.
Über neue verfügbare Updates können Sie sich mit dem Alarm "Neue Updates verfügbar" informieren lassen. Nutzen Sie dazu einfach den Quick-Alarm-Button.
Mehr Infos zu Updates mit Enginsight finden Sie hier.
Beachten Sie die Möglichkeit von AutoUpdates mit Enginsight.

Machine Learning

Hier finden Sie die Profile der von Ihnen mit dem Machine Learning-Modul überwachten Metriken.

Einstellungen

Nehmen Sie unter Einstellungen Ihre persönlichen Konfigurationen vor.
Um die Einstellungen mehrerer Hosts effektiv zu bearbeiten, können Sie den Policy Manager nutzen. Dort können Sie Policies für folgende Einstellungen definieren: Netzwerkmitschnitt, Mitschnitt sicherheitsrelevanter Ereignisse, Ausführung von Plugins, Shield, API URL anpassen.

Allgemeine Einstellungen

Vergeben Sie einen Alias und eine Beschreibung, um den Host leichter zuordnen zu können.
Nutzen Sie Tags, um Ihre Hosts zu gruppieren. Sie können Tags z.B. für Alarme und den Policy Manager nutzen.

Verantwortlichkeiten

Vergeben Sie Verantwortlichkeiten. Der technische Verantwortliche erhält eine Benachrichtigung, wenn ein Alarm zum entsprechenden Host ausgelöst wird, wenn die Option "Verantwortliche informieren" aktiv ist. Sie können auch Verantwortlichkeiten für die gesamte Organisation festlegen.

Standort

Für Dokumentationszwecke können Sie den Standort des Hosts definieren (Land, Stadt, Straße, Gebäude, Etage, Raum, Kürzel, Hoster).

Erweiterte Einstellungen

In den erweiterten Einstellungen finden Sie die folgenden Einstellungen:
    API URL anpassen: Definieren Sie die API URL, an die der Agent seine Ergebnisse schicken soll. Eine Anpassung kann notwendig sein, wenn sich die API URL verändert. Dies kann z.B. bei Konfigurations-Änderungen von On-Premises-Instanzen der Fall sein.
    Erweiterte Dienstüberwachung: Aktivieren Sie diese Option, um entgegen der Standardeinstellung alle Dienste zu überwachen und nicht nur diejenigen, die automatisch gestartet werden.
    Erweiterte Softwareüberwachung: Lassen Sie Dateien scannen, um mehr Software zu detektieren. So lässt sich auch jene Software inventarisieren, die nicht mit einem regulären Installationsprogramm installiert ist. Das können beispielsweise in andere Applikationen eingebettet Programme oder Portable Apps sein.
    Shield: Legen Sie fest, ob das Shield-Modul Netzwerkverkehr einschränken und Verbindungen blocken darf.
    Benutzerdefinierte Plugins ausführen: Legen Sie fest, ob auf dem Host benutzerdefinierte Plugins ausgeführt werden dürfen.
    Sicherheitsrelevante Ereignisse mitschneiden: Legen Sie fest, ob der Pulsar Agent Zugriff auf Logs erhalten darf. Aktivieren Sie die Option, um Systemevents zu nutzen.
Nutzen Sie den Policy Manager, um die Einstellungen mehrerer Hosts einfacher zu verwalten.

Ausnahmelisten

Spezifische Software, die auf einem Host zum Einsatz kommt, kann durch ihr Verhalten auf dem System unerwünschte Effekte auslösen oder abweichende Konfigurationen benötigen. Ausnahmelisten helfen Ihnen, die Nebeneffekte auszuschalten, insbesondere Fehlalarme zu reduzieren.
Wildcards helfen Ihnen, um die auszuschließenden Items einfacher zu definieren. Kürzen Sie Ihre Eingaben einfach mit einem * ab, zum Beispiel systemd*.
    AutoUpdate: Bestimmen Sie Software, die nicht automatisch aktualisiert werden sollen, d.h. von den AutoUpdates ignoriert werden.
    Dienste: Definieren Sie Dienste, die bei Alarmen und Aktionen nicht berücksichtigt werden sollen. Die Option ist von Bedeutung, sollte ein Dienst beim Alarm "Systemrelevanter Dienst wird nicht ausgeführt" Fehlalarme auslösen.
    Verbindungen: Bestimmte Software öffnet und schließt permanent neue Ports. Dieses Verhalten führt zu Fehlalarmen, wenn Sie auf dem Host den Alarm "Neuer offener Port" aktiviert haben. Tragen Sie den Prozessnamen in die Ausnahmeliste, um die entsprechende Software auszuschließen. Den Prozessnamen erhalten Sie unter Verbindungen.
    Festplatten: Um Festplatten aus der Überwachung auszuschließen (d.h. alle Alarme für diese Festplatte zu unterdrücken), tragen Sie hier die Festplatten ein, die ignoriert werden sollen.

AutoUpdate

Aktivieren Sie die automatisierten Systemupdates, damit Enginsight automatisch aktuelle Softwareversionen auf den Host einspielt.
Sie können die automatisierten Updates auf sicherheitsrelevante Updates beschränken. Feature-Updates werden dann nicht automatisch eingespielt.
Mit Hilfe einer Ausnahmeliste können Sie Updates von der automatischen Aktualisierung ausschließen.
Manche Updates benötigen einen Neustart, um die Installation abzuschließen. Wählen Sie die Option "Nach dem Update das System neustarten", um einen automatischen Neustart durch Enginsight zu triggern, nachdem Updates eingespielt wurden, die einen Neustart benötigen.
Seien Sie vorsichtig und prüfen Sie eingehend, ob ein automatischer Neustart ohne negative Folgen auf dem System möglich ist, bevor Sie die Option "Nach dem Update das System neustarten" aktivieren.
Mit einem Cron-Ausdruck legen Sie fest, wann und wie oft die automatisierten Systemupdates durchgeführt werden sollen.
Nutzen Sie den Policy Manager, um die Einstellungen mehrerer Hosts einfacher zu verwalten

Netzwerkmitschnitt

Um das Intrusion Detection System (IDS) von Enginsight zu nutzen, müssen Sie den Netzwerkmitschnitt aktivieren und festlegen, welches Detection Level Sie nutzen möchten.
Wenn Sie möchten oder Compliance Vorschriften es verlangen, können Sie die IP-Adressen der Angreifer anonymisieren, die bei der Erkennung ermittelt werden.
Nutzen Sie den Policy Manager, um die Einstellungen mehrerer Hosts einfacher zu verwalten.

Berichte

Die Analyseergebnisse von Enginsight lassen sich auch als PDF-Report ausgeben. Klicken Sie dazu einfach auf Report erstellen und Sie erhalten einen aktuellen Überblick über Ihren Host.
Ein Host-Bericht umfasst:
    Metriken und Custom Metriken
    Konfigurationen
    CVEs / Schwachstellen
    Netzwerkaktivitäten
    Updates

Jobs

Hier finden Sie einen Verlauf über alle auf Ihrem Host ausgeführten Skripte. Wenn z. B. der Enginsight Pulsar-Agent auf Ihrem System geupdated wurde oder wenn Sie selbst ein Skript auf einigen Hosts ausgeführt haben, finden Sie hier einen entsprechenden Eintrag. Der Eintrag enthält unter anderem auch eine Logdatei mit der Standardausgabe (stdout) und der Fehlerausgabe (stderr), falls aufgetreten.
Klicken Sie auf das Bild, um es zu vergrößern

Intrusion Detection System

Mit dem in den Pulsar-Agent integrierten Intrusion Detection System können Sie einfach ein hostbasiertes Intrusion Detection System implementieren.

Angriffe

Enginsight unterstützt die Erkennung der folgenden Attacken:
    SYN-Flooding
    ARP-Spoofing
    Ping of Death
    Ping-DDoS
    Blacklist IP Database
    DNS-Spoofing
    Port Scan
      TCP
      UDP
    Bruteforce
      SSH
      MySQL
      MongoDB
      HTTP Basic Authentication
      FTP
      RDP
      RPC
      VNC
      SMB
    Cross Site Scripting
    HTTP Request Corruption
    HTTP Response Splitting
    HTTP Request Smuggling
    Remote Code Execution
    Path Traversal
    SQL Injection
    SSL/TLS Cipher Enumeration
    SSL/TLS Protocol Scan
    Bot-Aktivität
Zusätzlich unterstützt Enginsight die Erkennung von Angriffen, die in den SNORT Community Rules beschrieben sind. Dabei handelt es sich auch um spezifischere Angriffe (z.B. Attacken auf Microsoft IIS oder Exange Server, Zugriffsversuche auf sensible Daten eines Webservers oder CGI-Angriffe).
Beachten Sie, dass Sie erst die Lizenz akzeptieren müssen, um die SNORT Community Rules zu nutzen.

IDS konfigurieren

Um das IDS auf Ihren Servern und Clients mit installiertem Pulsar-Agent optimal zu nutzen, brauchen Sie lediglich drei Einstellungen treffen.

SNORT Community Rules

Um den erweiterten Erkennungsumfang zu nutzen, müssen Sie der Lizenz für die Snort Community Rules für die jeweilige Organisation zuzustimmen.
Das erledigen Sie unter Einstellungen → Organisation → Erweiterte Einstellungen.

Netzwerkmitschnitt aktivieren

Aktivieren Sie den Netzwerkmittschnitt auf allen Hosts, auf denen das IDS aktiv sein soll. Dies können Sie entweder in den Einstellungen des einzelnen Hosts erledigen oder Sie nutzen den Policy Manager.

Detection Level wählen

Alle Regeln zur Erkennung von Cyberattacken haben wir nach Performance Impact sortiert. So können Sie für jeden Host die entsprechende Abwägung zwischen Performance und Sicherheit treffen.
Sie haben die Wahl zwischen fünf Leveln:
    Level 0: Maximale Performance Zugunsten einer maximalen Geräteperformance wird die Erkennungsrate deutlich beschnitten.
    Level 1: Performance vor Sicherheit Die wichtigsten Bedrohungen werden erkannt, wobei der Fokus auf einer guten Geräteperformance liegt. Wir empfehlen dieses Level für Clients und für unter hoher Last stehende Server.
    Level 2: Ausgewogene Performance und Sicherheit Das Level bietet eine Balance zwischen der Erkennung von komplexeren Bedrohungen und der Geräteperformance. Wir empfehlen dieses Level für normal ausgelastete Server.
    Level 3: Sicherheit vor Performance Auch seltene und spezifische Angriffe werden erkannt, Einschränkungen in der Geräteperformance sind aber möglich. Diese Einstellung ist für besonders schützenswerte Geräte oder Netzwerksegmente vorgesehen.
    Level 4: Maximaler Schutz Diese Einstellung bietet die maximale Erkennung von Bedrohungen, kann aber die Geräteperformance wesentlich beeinträchtigen. Daher ist sie nur in Einzelfällen oder für den temporären Einsatz empfehlenswert.
Sie können das gewünschte Level in den Einstellungen des einzelnen Hosts wählen. Es empfiehlt sich jedoch den Policy Manager zu nutzen.
Kategorisieren Sie Ihre Hosts zum Beispiel mit Tags zu Risikolevel und Leistungsreserven und legen Sie anschließend die entsprechenden Policies an.

Netzwerkanomalien

Unter Netzwerkanomalien finden Sie die Analyseergebnisse des Intrusion Detection Systems. Mit der Searchbar können Sie sich die Ergebnisse nach Host, Kategorie, Kontinent und Risikolevel filtern. Sie können die Auswahl auch auf einen bestimmten Zeitraum einschränken.
Mit dem Alarm "Verdächtiger Netzwerkverkehr" können Sie sich über Angriffsszenarien informieren lassen. Das dynamische Blocking des Shield Moduls erlaubt Ihnen Netzwerkattacken zu blockieren.

Stage

Hackerattacken laufen meist nach einem ähnlichen Muster ab und durchlaufen mehrere Stufen (Stages). Nach dem Sammeln von möglichst vielen Informationen versucht der Hacker sich Zugriff zu verschaffen, ihn zu behalten und sich im Netzwerk auszubreiten. Basierend auf dem detektierten Verhalten im Netzwerk, geben wir an, auf welcher Stufe der Angreifer sich bereits befindet, nämlich:
    Information Gathering: Sammeln von grundlegenden Informationen über die IT-Systeme.
    Service Scanning: Gezieltes Suchen nach möglicherweise anfälligen Services.
    Gaining Access: Versuche, Zugriff auf bestimmte Services zu erlangen.
    Persisting Access: Erlangen eines dauerhaften Zugriffs auf die Systeme.
    Infiltrating Network: Ausbreiten der Attacke auf weitere Systeme im Netzwerk.

Detailansicht

Indem Sie eine Attacke anklicken, gelangen Sie zu einer Detailansicht, die Ihnen weitergehende Informationen zum stattgefundenen Angriff liefert. In einem Profil des Angreifers erfährst Sie,
    welche Stufe (Stage) der Angreifer schon erlangt hat.
    welche Hosts er angegriffen hat.
    welche Angriffsmuster er angewendet hat (in deiner und anderen Organisationen).
    ggf. seinen Hostname.
    von wo der Angriff stattgefunden hat.
In einer Verlaufsübersicht können Sie den Ablauf der Attacken nachvollziehen und eine Visualisierung verdeutlicht Ihnen den zeitlichen Verlauf. Die weiterführenden Details zu den einzelnen Events können Sie mittels Searchbar durchsuchen und filtern.

Whitelist

Mit der Whitelist können Sie das IDS mit Blick auf Ihre spezifische IT-Infrastruktur zu optimieren. Überprüfen Sie dazu alle Einträge, die Sie unter Netzwerkanomalien aufgelistet bekommen und entscheiden Sie, ob Sie das Risiko akzeptieren möchten. Das heißt, Sie legen fest, dass es sich um keine Cyberattacke oder keine ernst zu nehmende Bedrohung handelt.

Whitelisteintrag hinzufügen

Um einen Whitelisteintrag hinzuzufügen, haben Sie zwei Möglichkeiten:
    1.
    Navigieren Sie zu Host → Whitelist und klicken Sie Whitelisteintrag hinzufügen. Sie starten mit einer leeren Eingabemaske.
    2.
    Um passgenaue Einträge für detektierte Attacken hinzuzufügen, können Sie unter Host → Netzwerkanomalien bei einem Eintrag auf "Risiko behandeln" klicken. Dann ist die Eingabemaske bereits mit den Daten des detektierten Angriffs vorausgefüllt. Sie können jedoch noch Anpassungen vornehmen, bspw. in der Angriffs- oder Host-Zuordnung.
So legen Sie den einzelnen Eintrag an:
    1.
    Vergeben Sie eine aussagekräftige Beschreibung für die Whitelist.
    2.
    Geben Sie die IP-Adresse(n), die Sie ignorieren lassen in der CIDR-Schreibweise an. So lässt sich sehr effizient das Subnetz definieren, für das die Ausnahmeregel gelten soll. Wollen Sie lediglich eine IP-Adresse zuordnen, wählen Sie die Präfixlänge /32 für IPv4-Adressen bzw. /128 für IPv6-Adressen.
    3.
    Definieren Sie den Angriff. Dabei besteht die Möglichkeit mit Wildcards (*) zurückzugreifen, zum Beispiel: server-webapp* , bruteforce* oder *rdp*.
    4.
    Um die Ausnahmeregel genauer zu spezifizieren, nutzen Sie das Feld Regex. Hier können Sie mit den detektierten Details des IDS arbeiten. So können Sie beispielsweise den Whitelist-Eintrag auf einen speziellen Dienst beschränken.
    5.
    Ordnen Sie die Whitelist entweder einem einzelnen Host (Referenz) zu oder arbeiten Sie mit Tags.
    6.
    Speichern Sie die Änderungen.
Haben Sie auf Ihren Hosts auch das dynamische Blocken des Shield-Moduls aktiv, gelten die erstellten Whitelist-Einträge auch für Ihr Intrusion Prevention System. Schließlich lassen sich nicht detektierte Netzwerkattacken auch nicht mehr blocken. Nutzen Sie Shield, steht Ihnen mit manuellen Regelwerken außerdem eine zweite Möglichkeit zu Verfügung, Ausnahmen hinzuzufügen. Während IDS-Whitelists sich auf Angriffstypen beziehen, lassen sich mit manuellen Regelwerken IP-Adressen oder ganze Subnetze komplett ignorieren.

Neue Angriffsbezeichnungen

Mit der Enginsight Version 3.4.0 haben sich die Bezeichnungen für Angriffe geändert. Der folgenden Tabelle können Sie die alten und neuen Bezeichnungen entnehmen, um alte Whitelisteinträge an das neue System anzupassen:
Alt
Neu
ALL
*
TCP Port Scan
PROTOCOL-TCP port scan
UDP Port Scan
PROTOCOL-UDP port scan
SSL/TLS Cipher Enumeration
PROTOCOL-SSL cipher enumeration
SSL/TLS Protocol Enumeration
PROTOCOL-SSL protocol enumeration
SMB Bruteforce
NETBIOS SMB bruteforce attempt
FTP Bruteforce
PROTOCOL-FTP bruteforce attempt
RDP Bruteforce
PROTOCOL-RDP bruteforce attempt
RPC Bruteforce
PROTOCOL-RPC bruteforce attempt
SSH Bruteforce
PROTOCOL-SSH bruteforce attempt
VNC Bruteforce
PROTOCOL-VNC bruteforce attempt
MySQL Bruteforce
SQL bruteforce attempt
MongoDB Bruteforce
SERVER-MONGODB bruteforce attempt
HTTP Basic Auth Bruteforce
SERVER-WEBAPP HTTP basic auth bruteforce attempt
HTTP Request Corruption
SERVER-WEBAPP HTTP request corruption
HTTP Response Splitting
SERVER-WEBAPP HTTP response splitting
Path Traversal
SERVER-WEBAPP path traversal
Remote Code Execution
SERVER-WEBAPP remote code execution
SQL Injection
SERVER-WEBAPP SQL injection
Uncommon User Agent
SERVER-WEBAPP uncommon user agent
Ping of Death
PROTOCOL-ICMP ping of death
Ping (ICMP) Flood
PROTOCOL-ICMP flood
SYN-Flooding
PROTOCOL-TCP SYN flooding
ARP-Spoofing
PROTOCOL-ARP spoofing
DNS-Spoofing
PROTOCOL-DNS spoofing

Sicherheit

Systemevents

Unter Systemevents erhalten Sie die Ergebnisse und eine Aufbereitung des Mitschnitts der Log-Daten Ihrer Server und Clients durch den Pulsar-Agent. Ist der Mitschnitt in den Einstellungen aktiviert, erhalten Sie hier zum Beispiel eine Übersicht erfolgreicher und fehlgeschlagener Anmeldeversuche.
Um die Ansicht zu durchsuchen und zu filtern, nutzen Sie die Searchbar. Um zum Beispiel alle Anmeldeversuche angezeigt zu bekommen, wählen Sie die Kategorie Logon. Weiter modifizieren können Sie Ihre Auswahl, indem Sie den Status auf failure bzw. success beschränken.
Weiterhin können Sie oben den Zeitraum der angezeigten Systemevents bestimmen oder die Ergebnisse als Liste (.csv) exportieren.
Die Systemevents werden in der SaaS-Plattform für 14 Tage gespeichert.
Beachten Sie, dass der Pulsar-Agent nur jene Systemevents überwachen kann, die auch vom Betriebssystem geloggt werden. Ist beispielsweise bei Windows das Login Auditing deaktiviert, kann auch Enginsight nicht mehr auf die Login-Daten zugreifen. Aktivieren Sie in diesem Fall das Auditing und Sie können die Daten auch mit Enginsight monitoren.

Update Manager

Im Update Manager finden Sie eine Auflistung anstehender Updates auf allen Ihren Hosts. Hier lassen sich mehrere Updates auf mehreren Systemen gemeinsam einspielen. Wählen Sie dafür die gewünschten Updates aus, klicken auf "Updateplan validieren" und bestätigen den Plan, indem Sie auf "Updateplan ausführen" klicken.
Beachten Sie die Möglichkeit von AutoUpdates mit Enginsight.

Windows

Bei Windows-Systemen lassen sich mit dem Update Manager windowsspezifische Kumulative Updates einspielen. Sofern Windows Server Update Services (WSUS) vorhanden ist, wird auf diesen zurückgegriffen.
Updates von Third-party Software lässt sich bisher bei Windows-Systemen nicht mit dem Update Manager installieren.

Linux

Auf Linux-Systemen ist das Einspielen generell aller Patches möglich, auch von Third-party Software.

Automatisierung

Plugins

Hinter dem Punkt Plugins verbirgt sich ein sehr mächtiges Werkzeug. Hier können Sie eigene Skripte erstellen, die sich dann auf von Ihnen ausgewählten Hosts ausführen lassen. Z. B. können Sie dadurch eine Änderung der Firewall-Einstellungen auf allen Systemen gleichzeitig realisieren. Aktuell unterstützen wir die Laufzeitumgebungen Bash (Linux), Python 3 (Linux) und PowerShell (Windows).

Was sind Plugins?

Mit Plugins bezeichnen wir Skripte, die Sie regelmäßig oder als Reaktion auf ein Systemereignis auf Ihren Systemen ausführen können. Sie können Plugins auf via Tags auf mehreren Systemen oder auch nur auf einzelnen Systemen ausführen. Die Skripte können Sie selber schreiben, für bestimmte Zwecke gibt es aber auch schon Vorlagen.

Plugin-Vorlagen

Auf der Enginsight Plattform finden Sie bereits einige Vorlagen für Plugins. Weitere Vorschläge und Ideen finden Sie unter https://github.com/enginsight.

Plugins erstellen

Um ein neues Plugin zu erstellen, klicken Sie im Top Menü auf “Hosts”, anschließend klicken Sie im linken Side-Menü auf “Plugins” und dann auf “Plugin erstellen”.
Klicken Sie auf das Bild, um es zu vergrößern

Plugins ausführen

Plugins lassen sich entweder regelmäßig ausführen, bspw. um Routineaufgaben abzuarbeiten. Oder sie können autonom auf Systemereignisse reagieren.
Regelmäßige automatische Ausführung: Mittels Cronjob
    1.
    Wählen Sie dafür unter 'Cronjob' entweder einen speziellen Host oder Sie wählen alle Geräte, die Sie mit einem speziellen Tag versehen haben, aus.
    2.
    Mittels Cron-Ausdruck legen Sie den Zeitpunkt für die regelmäßige Ausführung fest. Vergessen Sie nicht, das Häkchen bei 'Geplante Ausführung' zu setzen.
    3.
    Legen Sie die gewünschte Zeitzone fest, nach der sich die automatische Ausführung richten soll.
    4.
    Die Erstellung des Plugins schließen Sie ab, indem Sie oben rechts auf 'Neues Plugin erstellen' klicken.
Autonome Reaktion auf Systemereignis: Mittels Alarm
    1.
    Erstellen Sie dazu unter Alarme einen neuen Alarm. Wählen Sie unter Referenz denjenigen Host, Endpunkt oder diejenige agentlose Überwachung (Observation), auf dessen Verhalten mit dem Plugin reagiert werden soll.
    2.
    Legen Sie eine Bedingung für die Ausführung des Plugins fest.
    3.
    Vergeben Sie eine Beschreibung.
    4.
    Legen Sie fest, wer über die Ausführung des Plugins benachrichtigt werden soll.
    5.
    Wählen Sie unter Plugins den Host, auf dem das Plugin ausgeführt werden soll und das von Ihnen erstellte Plugin aus.
    6.
    Speichern Sie Ihren Alarm, indem Sie auf 'Alarm hinzufügen' klicken.

Machine Learning

Das Machine Learning-Modul ist in der Lage die Datenverläufe zu analysieren, zu verstehen und den Normalbetrieb zu prognostizieren. Bei ungewöhnlichen Verläufen kategorisiert es die Abweichung als low, medium oder high und löst, wenn gewünscht, einen Alarm aus.

Metriken

Legen Sie fest, welche Metriken Sie mit dem Machine Learning überwachen möchten. Die Überwachung können Sie entweder einzelnen Server-Metriken zuweisen oder Sie setzen auf die Verwendung von Tags. Wir empfehlen Ihnen Letzteres. Mittels Tags können Sie eine Vielzahl von Server-Metriken mit nur wenigen Klicks dauerhaft und autonom auf Anomalien untersuchen lassen.
Am besten erstellen Sie einen eigenen Tag für die Überwachung durch Machine Learning und ordnen ihn allen Servern zu, deren Metriken Sie überwachen möchten.
Um die Überwachung zu einzurichten, gehen Sie folgendermaßen vor:
    1.
    Klicken Sie auf "+ Metriken".
    2.
    Vergeben Sie eine Beschreibung.
    3.
    Legen Sie unter "Zugeordneten Referenzen" fest, welche Hosts Sie überwachen möchten. Wählen Sie entweder einen einzelnen Host ("Ausschließlich") oder mehrere Hosts via Tags ("Alle mit den Tags").
    4.
    Wählen Sie unter "Metrik" fest, welche Metrik Sie überwachen möchten.
    5.
    Klicken Sie auf "Änderungen speichern". Enginsight beginnt unmittelbar damit, einen Normalverlauf der Metriken zu berechnen.
Damit das Machine Learning-Modul ein Profil zu einer Metrik erstellen kann, müssen über einen Zeitraum von 48 Stunden valide Metrik-Daten vorliegen. Sie können die ML-Überwachung bereits vorher einrichten, erhalten jedoch zunächst lediglich einen Hinweis, dass das Profil erst noch berechnet wird.
Neben der Überwachung der von Enginsight erfassten Standard-Metriken (CPU, RAM, Festplatten, Netzwerk usw.) können Sie auch Ihre eigenes definierten Custom Metriken mit dem Machine Learning-Modul überwachen. So können Sie Enginsight beispielsweise nutzen, um Anomalien im Verhalten von Datenbanken aufzuspüren.

Alarm auf Anomalien schalten

Um sich über Anomalien benachrichtigen zu lassen, können Sie einen Alarm erstellen.
    1.
    Gehen Sie dazu in das Modul Alarme und legen Sie einen neuen Alarm an.
    2.
    Wählen Sie als Referenz entweder einen einzelnen Host oder den von Ihnen angelegten Tag für das Machine Learning. So können Sie einen Alarm auf alle Metriken auf einmal schalten.
    3.
    Wählen Sie die Bedingung "Machine Learning: Ungewöhnliches Verhalten".
    4.
    Legen Sie fest, wer benachrichtigt werden soll.
    5.
    Speichern Sie den Alarm.
Der Alarm wird nur gelöst, wenn das Machine Learning-Modul die Abweichung als "high" klassifiziert.
Last modified 4d ago