# Alarme
## Was ist ein Alarm?
Alarme sind ein wichtiger Kernbestandteil der Enginsight Plattform. Mit ihnen können Sie sich warnen lassen, wenn ein bestimmtes Ereignis bzw. Problem in Ihrer IT-Infrastruktur auftritt. Dies kann der Ausfall einer Webseite sein, neu installierte Software, ein bestimmtes Verhalten erfasster Metriken und vieles mehr.
Sie können Alarm auch nutzen, um autonom auf ein Systemereignisse zu reagieren. Via [Plugins](#plugins) können Sie dazu ein Skript auf einem ihrer Hosts ausführen oder mit [Webhoocks](#webhooks) ausgelöste Alarme auch außerhalb der Enginsightplattform nutzen, z.B. für ein Ticketsystem.
## Alarmübersicht
In der Übersicht können Sie alle von Ihnen hinzugefügten Alarme einsehen und mit der Searchbar durchsuchen. Sortieren Sie die Alarme außerdem danach, wann die Alarme zuletzt geändert bzw. erstellt wurden.
Sie können der Alarmübersicht außerdem entnehmen...
* welche und wieviele Assets überwacht werden.
* ob für einen Alarm ein [Issue](https://docs.enginsight.com/docs/bedienung/plattform/issues) vorliegt.
* wer benachrichtigt werden soll, wenn der Alarm ausgelöst wird.
Aus der Übersicht heraus können Sie Alarme auch deaktivieren und löschen.
## Issues-Übersicht
Unter Issues können Sie sich **alle ausgelösten Alarme** anzeigen lassen.
Weitere Informationen zu Issues [erhalten Sie hier.](https://docs.enginsight.com/docs/bedienung/plattform/issues)
## Einen Alarm anlegen
Einen neuen Alarm können Sie unter Alarme → Alarm erstellen anlegen. Legen Sie zunächst eine **Alarmart** fest. Hier bestimmen Sie, ob der Alarm durch ein Event eines Hosts, Endpunkts, einer Observation oder eines Watchdogs ausgelöst werden soll.
Anschließend konfigurieren Sie den Alarm, indem Sie [allgemeine Einstellungen](#allgemeine-einstellungen) vornehmen, die Art der [Benachrichtigung ](#benachrichtigungen)festlegen, [Automatisierungsmöglichkeiten ](#automatisierung)schalten sowie [weitere Einstellungen](#weitere-einstellungen) vornehmen.
### Auflistung aller Alarme
{% tabs %}
{% tab title="Host" %}
**Dienste und Prozesse**
| Alarm | Erklärung |
| --------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------- |
| Dienst wird ausgeführt | Alarmiert, sobald ein ausgewählter Dienst gestartet wurde |
| Dienst wird nicht ausgeführt | Alarmiert, sobald ein ausgewählter Dienst gestoppt wurde |
| Prozess wird ausgeführt | Alarmiert, sobald ein ausgewählter Prozess gestartet wurde |
| Prozess wird nicht ausgeführt | Alarmiert, sobald ein ausgewählter Prozess gestoppt wurde |
| Systemrelevanter Dienst wird nicht ausgeführt | Alarmiert, sobald ein ausgewählter systemrelevanter Dienst gestartet wurde. Dieser muss vorher als solcher markiert werden. |
**Ereignisse**
| Alarm | Erklärung |
| ------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------- |
| Anmeldeversuch eines nicht existierenden Benutzers | Sobald ein Anmeldeversuch eines Benutzernamens oder -kennung erfolgt welcher nicht im System existiert, wird der Alarm ausgelöst. |
| Ein gesperrter Account wurde aktiviert (Windows) | Alarmiert, wenn ein Benutzeraccount reaktiviert wurde(Event 4722) |
| Ein gesperrter Admin Account wurde aktiviert (Windows) | Ein Adminaccount wurde reaktiviert (Event 4722, 4732, 4728) |
| Ein Nutzer hat erhöhte Privilegien erhalten (Windows) | Ein Nutzer hat erhöhte Privilegien (Event 4732, 4728) |
| Erfolgreicher Anmeldeversuch | Triggert, sobald ein Nutzer sich erfolgreich an einem System angemeldet hat (Event 4624) |
| Fehlgeschlagener Anmeldeversuch | Sobald ein Nutzer sich nicht erfolgreich angemeldet hat (Event 4625) - Grenzwert kann dabei selbständig festgelegt werden |
| Neuer Admin angelegt (Windows) | Ein neuer Benutzer wurde angelegt (Event 4720) |
| Neuer Nutzer angelegt (Windows | Ein neuer Admin wurde angelegt (Event 4720, 4732, 4728) |
**Festplatten**
| Alarm | Erklärung |
| ----------------------------------- | ------------------------------------------------------------------------------------------------------------ |
| Alle Festplatten (Verfügbar %) | Alarmiert sobald nur noch n% Speicherplatz zur Verfügung steht (Überwachung aller Festplatten) |
| Alle Festplatten (Verwendet %) | Alarmiert sobald n% Speicherplatz verwendet wird (Überwachung aller Festplatten). |
| Festplatte (Verfügbar %): / | Alarmiert sobald nur noch n% Speicherplatz zur Verfügung steht, wobei X automatisch vom System erkannt wird. |
| Festplatte (Verfügbar %): /boot/efi | Alarmiert sobald n% Speicherplatz auf der EFI-Systempartition verwendet wird. |
| Festplatte (Verwendet %): / | Alarmiert sobald n% Speicherplatz verwendet wird, wobei X automatisch vom System erkannt wird. |
| Festplatte (Verwendet %): /boot/efi | Alarmiert sobald n% Speicherplatz auf der EFI-Systempartition verwendet wird. |
| Festplatte wird entfernt | Alarmiert sobald eine Festplatte entfernt wird. |
| Neue Festplatte wird erkannt | Alarmiert sobald eine neue Festplatte erkannt wird. |
**Machine Learning**
| Alarm | Erklärung |
| ------------------------ | ------------------------------------------------------------------------------------------------------------- |
| Ungewöhnliches Verhalten | Alarm wird getriggert, wenn der zu überwachende Wert der Metrik außerhalb des berechneten Normalzustands ist. |
**Metriken**
| Alarm | Erklärung |
| --------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------- |
| CPU Benutzer | Alarmiert, wenn die CPU Last der Nutzer einen bestimmten Schwellwert erreicht. |
| CPU IO Wait | Alarmiert, wenn der Anteil der Last welche die CPU mit dem warten auf Ein-und Ausgabe Operationen verbringt, den eingestellten Schwellwert überschreitet. |
| CPU Steal | Alarmiert, wenn der Anteil der Last, die eine virtuelle CPU mit dem Warten auf die Host CPU verbringt, den eingestellen Schwellwert überschreitet. |
| CPU Total | Alarmiert, wenn die CPU Last den eingestellen Schwellwert überschreitet. |
| Host Temperatur (Alle Sensoren) | Sobald eine bestimmte Temperatur überschritten wird, triggert der Alarm. |
| Netzwerkverkehr pro Sekunde (ausgehend) | Überschreitet der ausgehende Netzwerkverkehr den eingestellen Grenzwert, wird der Alarm getriggert. |
| Netzwerkverkehr pro Sekunde (eingehend) | Überschreitet der eingehende Netzwerkverkehr den eingestellen Grenzwert, wird der Alarm getriggert. |
| RAM (Verfügbar %) | Alarmiert sobald nur noch n% RAM zur Verfügung steht |
| RAM (Verfügbar MB) | Alarmiert sobald n MB RAM verwendet wird. |
| RAM (Verwendet %) | Alarmiert sobald nur noch n% RAM zur Verfügung steht. |
| SWAP (Verfügbar %) | Alarmiert sobald nur noch n% SWAP zur Verfügung steht |
| SWAP (Verfügbar MB) | Alarmiert sobald n MB SWAP verwendet wird. |
| SWAP (Verwendet %) | Alarmiert sobald nur noch n% SWAP zur Verfügung steht. |
**Netzwerkanalyse**
| Alarm | Erklärung |
| ---------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Geblockte Netzwerkattacke (Shield) | Alarmiert, sobald das IPS eine eingehende Attacke blockiert hat. Dadurch ist es Ihnen möglich, in Echtzeit zu erkennen ob gerade ein Angriff stattfinden und ggf. Gegenmaßnahmen zu ergreifen. |
| Verdächtiger Netzwerkkehr | Alarmiert Sie, sobald das IDS eine Netzwerkattacke erkennt. Definieren Sie selbst, ab welcher Kritikalität (HIGH, MEDIUM, LOW) der Alarm getriggert wird. |
**Plugins**
| Alarm | Erklärung |
| ------------ | ------------------------------------------------------------------------------------------------------------------- |
| Pluginfehler | Alarmiert sobald ein Plugin nicht ordnungsgemäß funktioniert oder nicht korrekt mit der Host-Anwendung interagiert. |
**Software**
| Alarm | Erklärung |
| ------------------------------ | ------------------------------------------------------------------------------------- |
| Neue / Entfernte Software | Alarmiert sobald eine beliebige Software installiert oder von dem Host entfernt wird. |
| Software installiert | Alarmiert sobald eine bestimmte Software auf dem Host installliert wird. |
| Software ist nicht installiert | Alarmiert sobald eine bestimmte Software auf dem Host nicht installliert wird. |
**Szenario**
| Alarm | Erklärung |
| ------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------ |
| Gruppenrichtlinienänderung | Alarmiert, wenn eine Änderung an den Gruppenrichtlinien eines Systems durchgeführt wird. |
| Host Neustart | Alarmiert sobald der Host neugestartet wird. |
| Host Neustart ist erforderlich | Alarmiert sobald ein Neustart bei dem Host nötig ist, bspw. Im Falle eines Updates. |
| Host nicht erreichbar | Alarmiert sobald ein Host über eine definierte Zeitspanne hinweg nicht erreichbar ist. |
| Neue Infektion | Alarmiert sobald ein System oder Netzwerk von einer Schadsoftware oder einem Virus befallen wurde. |
| Neuer Autostart | Alarmiert sobald ein Autostart auf dem Host durchgeführt wird. |
| Neuer offener Port | Alarmiert sobald ein offener Port auf dem Host detektiert wird. |
| Neue Sicherheitslücke | Alarmiert sobald eine neue Sicherheitslücke auf dem Host detektiert wird. |
| Neue Sicherheitslücke (CVSS Score) | Alarmiert sobald der CVSS Score einer Sicherheitslücke auf dem Host dem definierten Wert entspricht. |
| Neue Sicherheitsupdates vefügbar | Alarmiert sobald für den Host neue Sicherheitsupdates verfügbar sind. |
| Neue Updates verfügbar | Alarmiert sobald für den Host neue Updates verfügbar sind. |
| Objektzugriff außerhalb der Geschäftszeiten | Nach Definition der üblichen Geschäftszeiten wird bei Zugriff auf ein Objekt außerhalb dieser Zeit ein Alarm getriggert. |
| Port nicht erreichbar (TCP) | Alarmiert sobald der Zugriff auf einen spezifischen Port für die TCP-Kommunikation nicht möglich ist. |
| Überwachung der Integrität von Dateien (File Integrity Monitoring) | Alarmiert sobald Änderungen an durch FIM überwachten Ordnern oder Dateien festgestellt werden. |
| Unautorisierter Objektzugriff | Alarmiert sobald der Zugriff auf ein Objekt oder eine Ressource ohne erforderliche Berechtigung erfolgt. |
| {% endtab %} | |
{% tab title="Endpunkte" %}
**DNS**
| Alarm | Erklärung |
| ------------------------- | ------------------------------------------------------------------------------------ |
| Ungültiger CAA DNS-Record | Alarmiert sobald ein fehlerhafter oder nicht konformer CAA DNS-Record entdeckt wird. |
| Ungültiger SPF DNS-Record | Alarmiert sobald ein SPF DNS-Record nicht den vorgesehenen Standards entspricht. |
**Ereignisse**
| Alarm | Erklärung |
| -------------------------------- | ------------------------------------------------------------------------------------------------------------------------ |
| Datenschutzverstoß | Alarmiert, wenn ein Datenschutzverstoß auftritt, z. B. unbefugter Zugriff auf personenbezogene Daten. |
| DNS Eintrag geändert | Alarmiert sobald die Einträge im Domain Name System (DNS) geändert wurden. |
| Endpunktbewertung verschlechtert | Alarmiert sobald der spezifische Endpunkt bspw. durch potenzielle neue Schwachstellen in seiner Endpunktbewertung sinkt. |
| Neuer offener Port | Alarmiert sobald der Endpunkt einen neuen Port öffnet. |
| Neue Sicherheitslücke | Alarmiert sobald eine neue Schwachstelle am Endpunktidentifiziert wird. |
| Unerwartete Weiterleitung | Sobald eine Weiterleitung ein unerwartetes Ziel anschlägt schlägt der Alarm an. |
| Verbindungsanfrage blockiert | Alarmiert sobald eine Anfrage von Außerhalb des Systems blockiert wird. |
| Webseite nicht erreichbar | Alarmiert sobald der spezifische Endpunkt nicht geladen oder aufgerufen werden kann. |
**Metriken**
| Alarm | Erklärung |
| ------------- | --------------------------------------------------------------------------------------- |
| Response Time | Alarmiert sobald die Antwortzeit des Endpunkts den definierten Grenzwert überschreitet. |
**Zertifikat**
| Alarm | Erklärung |
| -------------------------- | ---------------------------------------------------------------------------------------------- |
| Tage bis Zertifikatsablauf | Alarmiert sobald der definierte Grenzwert bis zum Ablaufen des Zertifikats überschritten wird. |
| {% endtab %} | |
{% tab title="Observations" %}
**Referenz (SNMP)**
| Alarm | Erklärung |
| ----------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Observations (SNMP) nicht verfügbar | Alarmiert sobald die Ergebnisse über das SNMP nicht abgerufen oder eingeholt werden können. |
| Unerwarteter SNMP Status | Alarmiert sobald der Status oder die Antwort, die von einem Gerät über SNMP erwartet wird, nicht den vorgegebenen oder erwarteten Parametern entspricht. |
**Referenz (Ping)**
| Alarm | Erklärung |
| ---------------------------- | -------------------------------------------------------------------------------------------------------------------- |
| Ping (Host nicht erreichbar) | Alarmiert, wenn ein Host über Ping nicht erreichbar ist. |
| Ping (Round Trip Time) | Alarmiert, wenn die Round-Trip-Zeit für ein Ping-Anforderung einen im Alarm definierten Schwellenwert überschreitet. |
| {% endtab %} | |
{% tab title="Watchdog" %}
| Alarm | Erklärung |
| -------------------------------- | ------------------------------------------------------------------------ |
| Neues Gerät im Netzwerk entdeckt | Alarmiert sobald ein bislang unbekanntes Gerät in das Netzwerk eintritt. |
| {% endtab %} | |
{% tab title="SIEM Workflow" %}
| Alarm | Erklärung |
| ------------------- | --------------------------------------------------------- |
| Neues SIEM Ereignis | Alarmiert sobald ein neues SIEM Ereignis detektiert wird. |
| {% endtab %} | |
| {% endtabs %} | |
### Quick Alarme
Über die gesamte Plattform verteilt finden Sie außerdem Quick Alarm-Buttons. Bspw. an [Metriken](https://docs.enginsight.com/docs/bedienung/legacy/hosts-agent-pulsar#metriken), [Prozessen ](https://docs.enginsight.com/docs/bedienung/legacy/hosts-agent-pulsar#prozesse)oder [Zertifikaten](https://docs.enginsight.com/docs/bedienung/endpunkte#zertifikat).
Indem Sie einen Quick Alarm-Button anklicken, können Sie unmittelbar entsprechende Alarme schalten.
## Allgemeine Einstellungen
Legen Sie zuerst eine **Referenz** fest, das heißt auf welchen Host, Endpunkt, welche Observation oder welchen Watchdog ein Alarm geschaltet werden soll. Sie können Alarme entweder auf einen bestimmten Asset (Ausschließlich) schalten oder via Tags ("Alle mit den Tags") auf mehrere Assets gleichzeitig.
Unter **Bedingung** legen Sie das Szenario fest, das den Alarm auslösen soll, bspw. eine erhöhte CPU-Auslastung.
Legen Sie nun eine **Beschreibung** Ihres Alarms fest. Sie können hier entweder einen Titel vergeben, aber auch ganze Schritt-für-Schritt-Anleitungen eingeben, wie auf den Alarm reagiert werden soll. Sollte Ihre Beschreibung länger ausfallen, können Sie zusätzlich einen **Alias** angeben, um in der Alarmübersicht trotzdem einen griffigen Titel zu sehen.
## Benachrichtigungen
Unter Benachrichtigungen legen Sie fest, wer per E-Mail oder zusätzliche Benachrichtungswege ([Messengerintegration ](#messengerintegrationen)oder SMS) informiert werden soll. Die Alarme tauchen immer für alle Teammitglieder sichtbar in der [Issues-Übersicht](#issues-uebersicht) auf.
{% hint style="info" %}
Wie oft eine Benachrichtigung verschickt wird, liegt an der gewählten [Alarmkategorie](#weitere-einstellungen).
{% endhint %}
Sie können entweder einzelne Benutzer wählen oder den Alarm einer [Gruppe ](#gruppen)hinzufügen.
### Gruppen
Die zu Enginsight hinzugefügten Teammitglieder lassen sich in Gruppen zusammenfassen. Dadurch wird die Verwaltung von Alarmen deutlich effektiver, da sie sich mit einem Klick einem Personenkreis zuordnen lassen. So können Ihnen etwa Gruppen für bestimmte Abteilungen dabei helfen, dass immer die richtigen Teammitglieder benachrichtigt werden.
Neue Gruppen erstellen und bestehende Gruppen bearbeiten können Sie unter [Einstellungen](https://docs.enginsight.com/docs/bedienung/plattform/einstellungen) → [Gruppen](https://docs.enginsight.com/docs/bedienung/einstellungen#gruppen).
### Messengerintegrationen
Neben den Möglichkeiten sich per Mail oder SMS benachrichtigen zu lassen, arbeiten wir daran verschiedene Messengerdienste zu integrieren. Bislang zählen dazu Slack, Mattermost und Microsoft Teams. Um sich auf diese Weise informieren zu lassen benötigt es lediglich einer einfachen Verlinkung zwischen Ihrem Enginsightaccount und dem Messengerdienst. Hier finden Sie die Anleitungen zur Messengerintegration von [Mattermost ](#mattermost-benachrichtigung)und [Microsoft Teams](#teams-benachrichtigung).
#### Teams Benachrichtigung
Microsoft Teams ist ein Instant-Messaging-Dienst zur Kommunikation innerhalb von Arbeitsgruppen. Mit Enginsight ist es möglich, mit wenigen Klicks einen gewünschten Teams Channel mit dem Alarmsystem zu verbinden.
1. **Eingehende Webhook für Microsoft Teams erstellen** \
Um Ihre Alarme an Teams knüpfen zu können benötigt es die Erstellung einer eingehenden Webhook mittels Workflow in Microsoft Teams. Folgen Sie der Anleitung, um zu erfahren wie Sie eine [**Webhook für Microsoft Teams erstellen**](https://support.microsoft.com/en-us/office/create-incoming-webhooks-with-workflows-for-microsoft-teams-8ae491c7-0394-4861-ba59-055e33f75498).
2. **Anpassen der Alarmkonfiguration**\
Wechseln Sie nun zu Alarmen in der Enginsight Plattform. Wählen Sie den gewünschten Alarm aus und scrollen Sie zu Benachrichtigungen. Aktivieren Sie dort die die "Zusätzliche Benachrichtigung via Microsoft Teams".\
Fügen Sie den zuvor in Teams erzeugten Link anschließend darunter ein.
3. **Konfiguration speichern und Alarm hinzufügen**
#### Mattermost Benachrichtigung
Falls Sie Mattermost bereits verwenden, können Sie Ihr Enginsight mit wenigen Klicks mit einem beliebigen Channel verbinden.
**Verlinkung von Mattermost und Enginsight**
Wechseln Sie dafür zunächst zu **Mattermost**. Rufen Sie in einem beliebigen Channel das *Main Menu* auf indem Sie oben links auf Ihren Namen oder das Menüsymbol klicken. Wählen Sie dann *Integrations*, um eingehende Webhooks freizugeben.
{% hint style="info" %}
[Mattermost Dokumentation](https://docs.mattermost.com/developer/webhooks-incoming.html) zum Thema *Incoming Webhooks.*
{% endhint %}
Danach öffnet sich ein neues Fenster. Klicken Sie hier auf *Incoming Webhooks.*
Nun haben Sie einen Überblick über alle zugelassenen Webhooks. Diese können Sie jederzeit *löschen* oder *editieren*. Um einen neuen Webhook anzulegen klicken Sie oben rechts auf *Add Incoming Webhook*.
Nun können Sie den Webhook benennen, ihm eine kurze Beschreibung geben und den Channel aussuchen, in dem die Alarme gepostet werden sollen.
Das war es auch schon. Kopieren Sie sich lediglich den Link und geben Sie Ihn bei allen gewünschten Alarmen in Ihrem Enginsightaccount unter dem Bereich *Zusätzliche Benachrichtigung via Mattermost* innerhalb der einzelnen Alarme an.
#### SMS Benachrichtigung
Enginsight nutzt für das Versenden von SMS-Benachrichtigungen Amazon SNS (Simple Notification Service). Damit Sie diese Funktion nutzen können, müssen Sie Änderungen an der Enginsight Konfigurationsdatei vornehmen. Im folgenden Artikel zeigen wir Ihnen, welche Schritte dazu nötig sind.
**AWS IAM-Benutzer mit benötigten Zugriffsrechten erstellen**
1. Melden Sie sich bei Ihrem AWS-Account an und navigieren Sie zum IAM (Identity and Access Management).
2. Erstellen Sie einen IAM-Benutzer mit Zugriff auf Amazon SNS. Folgen Sie dazu der [offiziellen AWS-Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html).
3. Erstellen Sie für den neuen Benutzer einen Zugriffsschlüssel (Access Key), der Zugriff auf Drittanbieter-Software gewährt. Diesen **Access Key** sowie den zugehörigen **Secret Access Key** benötigen Sie später für die Anpassung der Enginsight Konfiguration.
**Enginsight Konfiguration anpassen**
1. Loggen Sie sich auf dem Enginsight Applikationsserver ein.
2. Öffnen Sie mit folgendem Befehl die Enginsight Konfigurationsdatei:
```
sudo nano /opt/enginsight/enterprise/conf/services/config.json
```
3. Navigieren Sie zum Abschnitt "sms" und ergänzen ihn wie folgt:
Ersetzen Sie dabei die `<>` Platzhalter wie folgt:
Platzhalter
Beschreibung
<AWSRegion>
Geben Sie die AWS-Region an, von der aus Ihre Amazon SNS-Instanz Nachrichten versendet. Eine Übersicht über alle verfügbaren AWS-Regionen finden Sie in der offiziellen AWS-Dokumentation.
<IAMBenutzerZugriffsschlüssel>
Geben Sie den Access Key an, den Sie für Ihren neu angelegten IAM-Benutzer erstellt haben.
<IAMBenutzerGeheimerZugriffsschlüssel>
Geben Sie den Secret Access Key an, der für Ihren neuen IAM-Benutzer erstellt wurde.
<StandardAbsenderIDAmazonSNS>
Geben Sie die Standard-Absender-ID ein, die Sie in Ihrer Amazon SNS-Instanz finden.
4. Speichern Sie die Konfigurationsdatei (Strg + o) und bestätigen Sie den Speicherprozess. Schließen Sie die Konfigurationsdatei.
**Anpassungen auf dem Applikationsserver übernehmen**
Nun müssen Sie das Setup-Skript für den Applikationsserver noch einmal ausführen, um Ihre Konfigurationsänderungen zu übernehmen.
1. Navigieren Sie dazu mit folgendem Befehl in das Verzeichnis, in dem die Enginsight Konfigurationsdateien liegen:
```
cd /opt/enginsight/enterprise
```
2. Führen Sie nun mit folgendem Befehl das Setup-Skript neu aus und folgen Sie bei Bedarf der Anleitung für das Setup des Applikationsservers:
```
sudo ./setup.sh
```
**Benachrichtigung per SMS in der Benutzeroberfläche aktivieren**
1. Navigieren Sie in der Enginsight Benutzeroberfläche zu **Einstellungen** → **Benutzerkonto** und geben Sie im Bereich **Deine persönlichen Angaben** eine **Handynummer** ein, an die Enginsight im Falle eines Alarms eine SMS senden kann.
2. Wenn Sie jetzt einen neuen Alarm erstellen, können Sie im Bereich **Benachrichtigungen** den Toggle-Button neben **Zusätzliche Benachrichtigung per SMS aktivieren** um eine SMS zu erhalten, wenn der entsprechende Alarm ausgelöst wird.
## Automatisierung
Automatisierungsmöglichkeiten via Alarme haben sie entweder mit [Webhooks ](#webhooks)oder mittels [Plugins](#plugins).
### Webhooks
Webhooks bieten Ihnen die Möglichkeit, ausgelöste Alarme auch außerhalb der Enginsightplattform zu nutzen. Haben Sie in Ihrem Unternehmen beispielsweise einen internen Messenger? Nutzen Sie Webhooks, um Informationen über Alarme direkt in anderen Anwendungen zu nutzen.
{% hint style="info" %}
Als speziellen Anwendungsfall bietet sich eine Microsoft Teams Integration an. Die Anleitung dazu finden Sie [hier](#teams-benachrichtigung).
{% endhint %}
#### Webhook anlegen
Unter dem Navigationspunkt *Alarme* finden Sie auf der linken Seite den Unterpunkt *Webhooks*. Sollten Sie bisher noch keinen Webhook angelegt haben können Sie auf die Kachel *Webhook erstellen* in der Mitte des Bildschirms klicken, falls nicht finden sie oben rechts die gleiche Schaltfläche.
Nun können Sie neben einem aussagekräftigen Namen und einer Beschreibung das Ziel, die Methode und den Typ des Inhalts angeben. Weiterhin haben Sie die Möglichkeit Ihrer Webhook benutzerdefinierte HTTP-Header zu übermitteln, was eine flexible Anpassung und Steuerung der HTTP-Anfragen ermöglicht.
Klicken Sie dann auf *Webhook hinzufügen*, um den Webhook zu erstellen.
{% hint style="info" %}
Sie können Webhooks bei der [Erstellung/Bearbeitung](#einen-neuen-alarm-anlegen) von Alarmen auswählen.
{% endhint %}
#### Format eines Webhooks
Hier finden Sie Informationen zum Format eines Webhooks.
**Beispiel: Webhook für szenariobasierte Alarme**
```go
{
"resolved": false,
"belongsTo": "endpoint",
"alert": {
"name": "Testalarm",
"_id": "123456789abcdefAlert",
"description": "Testalarm"
},
"organisationId": "123456789abcdefOrga",
"organisationName": "Test Orga",
"scenario": {
"name": "endpoint_websiteUnavailable",
"payload": [
{ "key": "scenario", "value": "endpoints_websites.website.total" },
{ "key": "websiteLastAvailable", "value": "2025-08-29T12:39:31Z" }
]
},
"reference": {
"hostname": "https://www.testendpoint.com/",
"_id": "123456789abcdefReference"
}
}
```
**Felder im Überblick**
* **resolved**: `false` = Alarm aktiv, `true` = Alarm behoben
* **belongsTo**: Art der Referenz (`host`, `endpoint`, `observation`).
* **alert**: Enthält den Namen des Alarms, die interne ID sowie die Beschreibung.
* **organisationId / organisationName**: Zugehörige Organisation.
* **scenario**: Informationen zu Szenario-basierten Alarmen
* `name`: Art des Szenarios
* `payload`: Array von Key/Value-Paaren mit weiteren Details (z. B. letzte Verfügbarkeit)
* **`reference`**: Informationen zum betroffenen Objekt (z. B. Hostname)
**Beispiel: Webhook für propertybasierten Alarm**
```go
{
"resolved": false,
"belongsTo": "endpoint",
"alert": {
"name": "Testalarm",
"_id": "123456789abcdefAlert",
"description": "Testalarm"
},
"organisationId": "123456789abcdefOrga",
"organisationName": "Test Orga",
"property": {
"result": 1000,
"expected": 100,
"operator": "gt",
"aggregator": "avg",
"name": "endpoints_websites.website.total"
},
"reference": {
"hostname": "https://www.testendpoint.com/",
"_id": "123456789abcdefReference"
}
}
```
**Felder im Überblick**
* **resolved**: `false` = Alarm aktiv, `true` = Alarm behoben
* **belongsTo**: Typ der Referenz (z. B. `endpoint`)
* **alert**: Name, ID und optionale Beschreibung des Alarms
* **organisationId / organisationName**: Zugehörige Organisation
* **property**: Informationen zu Metrik-basierten Alarmen
* `result`: gemessener Wert
* `expected`: erwarteter Grenzwert
* `operator`: Vergleich (`gt`, `lt`, `eq`)
* `aggregator`: Aggregation (`avg`, `min`, `max`)
* `name`: Kennung der überwachten Metrik
* **reference**: Informationen zum betroffenen Objekt (z. B. Hostname)
#### Dynamische Platzhalter im Custom Payload
Platzhalter müssen immer in doppelt geschweiften Klammern stehen, z. B. {{alert\_severity}} oder {{organisation\_name}}. Sie verwenden diese direkt im Custom Payload (JSON). Beim Auslösen ersetzt Enginsight die Platzhalter durch die echten Werte und sendet den finalen Request-Body an Ihre Webhook-URL.
{% hint style="info" %}
**Hinweis zu Keys und JSON-Struktur** \
Die Namen der JSON-Keys sind frei wählbar. Enginsight behandelt das Custom Payload Template als Text und ersetzt die Platzhalter im Template. Entscheidend ist nur:
* Die Platzhalter stehen im Format {{...}}.
* Der Payload ist nach dem Ersetzen gültiges JSON.
{% endhint %}
**Beispiel: Custom Payload Definition**
```
{
"anyKeyName": "{{alert_severity}}",
"foo": {
"bar": "{{alert_name}}"
}
}
Finaler Payload (Beispiel)
{
"anyKeyName": "warning",
"foo": {
"bar": "Neues SIEM Ereignis"
}
}
```
{% hint style="info" %}
**Beachten Sie bitte:**
* Wenn Ihr Zielsystem Strings erwartet, setzen Sie Platzhalter in Anführungszeichen: "severity": "{{alert\_severity}}".
* Wenn Ihr Zielsystem Boolean oder Zahlen erwartet, nutzen Sie Anführungszeichen nur, wenn das Zielsystem auch Strings akzeptiert.
* Ein Custom Payload Template ersetzt den Standard-Request-Body vollständig. Es wird nicht zusätzlich mitgesendet.
{% endhint %}
**Verfügbare Platzhalter**
| issue\_id | Objekt-ID des Issues/Incidents | string | |
| ---------------------------------------- | ------------------------------------------------------------------------- | ------ | -------------------------------------------------------------------------------------------------------------------------- |
| alert\_name | Titel des Alarms | string | |
| alert\_id | Objekt-ID des Alerts | string | |
| alert\_severity | Schweregrad des Alerts (critical, warning, info) | string | |
| reference\_displayName | Anzeigename des Assets | string | |
| reference\_conditions\[x].groups\['key'] | Wert der Gruppe, z.B. key: gen.username. x muss ein gültiger integer sein | string | Nur SIEM: bezieht sich auf die Keys des SIEM-Workflows, der im Alarm definiert ist. Für andere Alarmtypen nicht verfügbar. |
| reference\_severity | Schweregrad des Workflows (critical, high, medium, low) | string | |
| organisation\_name | Name der Organisation | string | |
| organisation\_id | Objekt-ID der Organisation | string | |
| platform | URL der Enginsightplattform | string | |
| reference\_id | Objekt-ID des Assets | string | |
| reference\_type | Art des Assets | string | |
Der Custom Payload ist der Request-Body des Webhooks. Enginsight sendet einen HTTP-Request (typischerweise POST) an die Webhook-URL und überträgt genau dieses JSON im Body. Wird kein eigenes Template definiert, wird das Standard-Template verwendet.
Beispiel: Webhook für szenariobasierte Alarme
```
{
"resolved": false,
"belongsTo": "endpoint",
"alert": {
"name": "Testalarm",
"_id": "123456789abcdefAlert",
"description": "Testalarm"
},
"organisationId": "123456789abcdefOrga",
"organisationName": "Test Orga",
"scenario": {
"name": "endpoint_websiteUnavailable",
"payload": [
{ "key": "scenario", "value": "endpoints_websites.website.total" },
{ "key": "websiteLastAvailable", "value": "2025-08-29T12:39:31Z" }
]
},
"reference": {
"hostname": "https://www.testendpoint.com/",
"_id": "123456789abcdefReference"
}
}
```
Beispiel: Webhook für propertybasierten Alarm
```
{
"resolved": false,
"belongsTo": "endpoint",
"alert": {
"name": "Testalarm",
"_id": "123456789abcdefAlert",
"description": "Testalarm"
},
"organisationId": "123456789abcdefOrga",
"organisationName": "Test Orga",
"property": {
"result": 1000,
"expected": 100,
"operator": "gt",
"aggregator": "avg",
"name": "endpoints_websites.website.total"
},
"reference": {
"hostname": "https://www.testendpoint.com/",
"_id": "123456789abcdefReference"
}
}
```
**„Severity“ im Payload**
Wenn dein externes Ticket-System ein Feld wie severity erwartet, definierst du es im Custom Payload und setzt den Wert auf {{alert\_severity}}.
Beispiel 1: Severity als eigenes Feld
## Custom Payload Definition (Vorlage in der Webhook-Konfiguration)
```
{
"severity": "{{alert_severity}}",
"alert_id": "{{alert_id}}",
"title": "{{alert_name}}"
}
```
## Finaler Payload (Request-Body, Beispielwert warning)
```
{
"severity": "warning",
"alert_id": "68b1814dd03cfa65ebb3d620",
"title": "Neues SIEM Ereignis"
}
```
Beispiel 2: Severity + Textfeld
## Custom Payload Definition
```
{
"issue_id": "{{issue_id}}",
"severity": "{{alert_severity}}",
"description": "Dieser Alarm hat den Schweregrad {{alert_severity}}"
}
```
## Finaler Payload (Beispiel)
```
{
"issue_id": "69661d75723013f56ba818fc",
"severity": "warning",
"description": "Dieser Alarm hat den Schweregrad warning"
}
```
Beispiel 3: SIEM-Gruppenwerte in den Payload übernehmen (nur SIEM)
## Custom Payload Definition
```
{
"title": "{{alert_name}}",
"severity": "{{alert_severity}}",
"username": "{{reference_conditions[0].groups['gen.username']}}",
"hostname": "{{reference_conditions[0].groups['gen.hostname']}}"
}
```
## Finaler Payload (Beispiel)
```
{
"title": "Neues SIEM Ereignis",
"severity": "warning",
"username": "jane_doe",
"hostname": "test"
}
```
Beispiel: Standard-Request-Body (ohne Custom Payload)
Wenn kein Custom Payload definiert ist, sendet Enginsight den Standard-Request-Body. Beispiel:
## Beispiel
```
{
"issue_id": "69661d75723013f56ba818fc",
"short_description": "Enginsight Alarm",
"title": "Neues SIEM Ereignis",
"alert_id": "68b1814dd03cfa65ebb3d620",
"alert_category": "warning",
"description": "Der Alarm Neues SIEM Ereignis wurde ausgelöst für Playbook Workflow Multi Condition! Details: gen.username: jane_doe, gen.hostname: test, workflow severity: low",
"company": "Enginsight GmbH",
"company:id": "596f52a3f372970001df4e77",
"platform_url": "https://test.enginsight.com",
"asset_id": "6888aea07d0429bcace6a376",
"asset": "Playbook Workflow Multi Condition",
"asset_type_of": "siemWorkflow"
}
```
Beispiel: Standard-Request-Body um Severity ergänzen (mit Custom Payload)
Wenn du in einem Ticket-System ein eigenes Feld severity brauchst, definierst du dafür ein Custom Payload Template. Dann wird der Standard-Request-Body nicht zusätzlich mitgesendet, sondern durch dein Template ersetzt.
## Custom Payload Definition
```
{
"severity": "{{alert_severity}}",
"alert_id": "{{alert_id}}",
"alert_name": "{{alert_name}}",
"description": "Der Alarm {{alert_name}} hat severity {{alert_severity}}"
}
```
Damit ist severity im finalen JSON enthalten und kann im Ticket-System verarbeitet werden.
### Plugins
Mittels Plugins können Sie autonome Reaktionen auf ihren Host in Reaktion auf einen ausgelösten Alarm schalten.
Mehr zum Thema Plugins erfahren Sie [hier.](https://docs.enginsight.com/docs/bedienung/plattform/legacy/hosts-agent-pulsar/plugins)
## Weitere Einstellungen
Als weitere Einstellungen können Sie dem Alarm eine **Alarmkategorie** zuordnen, nämlich entweder "Information", "Warnung" oder "Kritischer Zustand". Davon ist abhängig, wie oft der Alarm neu ausgelöst wird und damit auch, wie oft eine Benachrichtigung verschickt wird.
* Kritischer Zustand: 1 Mal pro Tag
* Warnung: 1 Mal pro Woche
* Information: 1 Mal pro Monat
Mit der Alarm-Option **„Verantwortliche informieren“** können Sie die für das Asset festgelegten Verantwortlichen automatisch über ausgelöste Alarme informieren, auch wenn sie nicht manuell als Empfänger bestimmt worden sind.
{% hint style="info" %}
Ist die Option "Verantwortliche informieren" aktiviert, erhalten die folgenden Teammitglieder eine Benachrichtigung, sofern die Verantwortlichkeiten verteilt sind.
* Technischer Verantwortlicher (des einzelnen Assets)
* Security Verantwortliche (der Organisation)
* Alarme auf Host: Host Verantwortliche (der Organisation)
* Alarme auf Endpunkte: Endpunkte Verantwortliche (der Organisation)
[Hier](https://docs.enginsight.com/docs/bedienung/einstellungen#verantwortlichkeiten) erfahren Sie mehr darüber, wie Sie Verantwortlichkeiten für die gesamte Organisation verteilen.
{% endhint %}
Außerdem können Sie eine **weitere Benachrichtigung** aktivieren, wenn der Alarm gelöst wurde, das heißt das Alarmszenario nicht mehr vorliegt.
Schließlich können Sie den Alarm auch direkt **deaktivieren**. Das ermöglicht Ihnen Alarme vorbereiten, ohne sie direkt aktiv zu schalten.
