Alarme
Wie Sie Alarme nutzen können, um Sicherheit und Automatisierung auf ein neues Level zu heben, erfahren Sie hier.
Last updated
Wie Sie Alarme nutzen können, um Sicherheit und Automatisierung auf ein neues Level zu heben, erfahren Sie hier.
Last updated
Alarme sind ein wichtiger Kernbestandteil der Enginsight Plattform. Mit ihnen können Sie sich warnen lassen, wenn ein bestimmtes Ereignis bzw. Problem in Ihrer IT-Infrastruktur auftritt. Dies kann der Ausfall einer Webseite sein, neu installierte Software, ein bestimmtes Verhalten erfasster Metriken und vieles mehr.
Sie können Alarm auch nutzen, um autonom auf ein Systemereignisse zu reagieren. Via Plugins können Sie dazu ein Skript auf einem ihrer Hosts ausführen oder mit Webhoocks ausgelöste Alarme auch außerhalb der Enginsightplattform nutzen, z.B. für ein Ticketsystem.
In der Übersicht können Sie alle von Ihnen hinzugefügten Alarme einsehen und mit der Searchbar durchsuchen. Sortieren Sie die Alarme außerdem danach, wann die Alarme zuletzt geändert bzw. erstellt wurden.
Sie können der Alarmübersicht außerdem entnehmen...
welche und wieviele Assets überwacht werden.
ob für einen Alarm ein Issue vorliegt.
wer benachrichtigt werden soll, wenn der Alarm ausgelöst wird.
Aus der Übersicht heraus können Sie Alarme auch deaktivieren und löschen.
Unter Issues können Sie sich alle ausgelösten Alarme anzeigen lassen.
Weitere Informationen zu Issues erhalten Sie hier.
Einen neuen Alarm können Sie unter Alarme → Alarm erstellen anlegen. Legen Sie zunächst eine Alarmart fest. Hier bestimmen Sie, ob der Alarm durch ein Event eines Hosts, Endpunkts, einer Observation oder eines Watchdogs ausgelöst werden soll.
Anschließend konfigurieren Sie den Alarm, indem Sie allgemeine Einstellungen vornehmen, die Art der Benachrichtigung festlegen, Automatisierungsmöglichkeiten schalten sowie weitere Einstellungen vornehmen.
Dienste und Prozesse
Dienst wird ausgeführt
Alarmiert, sobald ein ausgewählter Dienst gestartet wurde
Dienst wird nicht ausgeführt
Alarmiert, sobald ein ausgewählter Dienst gestoppt wurde
Prozess wird ausgeführt
Alarmiert, sobald ein ausgewählter Prozess gestartet wurde
Prozess wird nicht ausgeführt
Alarmiert, sobald ein ausgewählter Prozess gestoppt wurde
Systemrelevanter Dienst wird nicht ausgeführt
Alarmiert, sobald ein ausgewählter systemrelevanter Dienst gestartet wurde. Dieser muss vorher als solcher markiert werden.
Ereignisse
Anmeldeversuch eines nicht existierenden Benutzers
Sobald ein Anmeldeversuch eines Benutzernamens oder -kennung erfolgt welcher nicht im System existiert, wird der Alarm ausgelöst.
Ein gesperrter Account wurde aktiviert (Windows)
Alarmiert, wenn ein Benutzeraccount reaktiviert wurde(Event 4722)
Ein gesperrter Admin Account wurde aktiviert (Windows)
Ein Adminaccount wurde reaktiviert (Event 4722, 4732, 4728)
Ein Nutzer hat erhöhte Privilegien erhalten (Windows)
Ein Nutzer hat erhöhte Privilegien (Event 4732, 4728)
Erfolgreicher Anmeldeversuch
Triggert, sobald ein Nutzer sich erfolgreich an einem System angemeldet hat (Event 4624)
Fehlgeschlagener Anmeldeversuch
Sobald ein Nutzer sich nicht erfolgreich angemeldet hat (Event 4625) - Grenzwert kann dabei selbständig festgelegt werden
Neuer Admin angelegt (Windows)
Ein neuer Benutzer wurde angelegt (Event 4720)
Neuer Nutzer angelegt (Windows
Ein neuer Admin wurde angelegt (Event 4720, 4732, 4728)
Festplatten
Alle Festplatten (Verfügbar %)
Alarmiert sobald nur noch n% Speicherplatz zur Verfügung steht (Überwachung aller Festplatten)
Alle Festplatten (Verwendet %)
Alarmiert sobald n% Speicherplatz verwendet wird (Überwachung aller Festplatten).
Festplatte (Verfügbar %): /
Alarmiert sobald nur noch n% Speicherplatz zur Verfügung steht, wobei X automatisch vom System erkannt wird.
Festplatte (Verfügbar %): /boot/efi
Alarmiert sobald n% Speicherplatz auf der EFI-Systempartition verwendet wird.
Festplatte (Verwendet %): /
Alarmiert sobald n% Speicherplatz verwendet wird, wobei X automatisch vom System erkannt wird.
Festplatte (Verwendet %): /boot/efi
Alarmiert sobald n% Speicherplatz auf der EFI-Systempartition verwendet wird.
Festplatte wird entfernt
Alarmiert sobald eine Festplatte entfernt wird.
Neue Festplatte wird erkannt
Alarmiert sobald eine neue Festplatte erkannt wird.
Machine Learning
Ungewöhnliches Verhalten
Alarm wird getriggert, wenn der zu überwachende Wert der Metrik außerhalb des berechneten Normalzustands ist.
Metriken
CPU Benutzer
Alarmiert, wenn die CPU Last der Nutzer einen bestimmten Schwellwert erreicht.
CPU IO Wait
Alarmiert, wenn der Anteil der Last welche die CPU mit dem warten auf Ein-und Ausgabe Operationen verbringt, den eingestellten Schwellwert überschreitet.
CPU Steal
Alarmiert, wenn der Anteil der Last, die eine virtuelle CPU mit dem Warten auf die Host CPU verbringt, den eingestellen Schwellwert überschreitet.
CPU Total
Alarmiert, wenn die CPU Last den eingestellen Schwellwert überschreitet.
Host Temperatur (Alle Sensoren)
Sobald eine bestimmte Temperatur überschritten wird, triggert der Alarm.
Netzwerkverkehr pro Sekunde (ausgehend)
Überschreitet der ausgehende Netzwerkverkehr den eingestellen Grenzwert, wird der Alarm getriggert.
Netzwerkverkehr pro Sekunde (eingehend)
Überschreitet der eingehende Netzwerkverkehr den eingestellen Grenzwert, wird der Alarm getriggert.
RAM (Verfügbar %)
Alarmiert sobald nur noch n% RAM zur Verfügung steht
RAM (Verfügbar MB)
Alarmiert sobald n MB RAM verwendet wird.
RAM (Verwendet %)
Alarmiert sobald nur noch n% RAM zur Verfügung steht.
SWAP (Verfügbar %)
Alarmiert sobald nur noch n% SWAP zur Verfügung steht
SWAP (Verfügbar MB)
Alarmiert sobald n MB SWAP verwendet wird.
SWAP (Verwendet %)
Alarmiert sobald nur noch n% SWAP zur Verfügung steht.
Netzwerkanalyse
Geblockte Netzwerkattacke (Shield)
Alarmiert, sobald das IPS eine eingehende Attacke blockiert hat. Dadurch ist es Ihnen möglich, in Echtzeit zu erkennen ob gerade ein Angriff stattfinden und ggf. Gegenmaßnahmen zu ergreifen.
Verdächtiger Netzwerkkehr
Alarmiert Sie, sobald das IDS eine Netzwerkattacke erkennt. Definieren Sie selbst, ab welcher Kritikalität (HIGH, MEDIUM, LOW) der Alarm getriggert wird.
Plugins
Pluginfehler
Alarmiert sobald ein Plugin nicht ordnungsgemäß funktioniert oder nicht korrekt mit der Host-Anwendung interagiert.
Software
Neue / Entfernte Software
Alarmiert sobald eine beliebige Software installiert oder von dem Host entfernt wird.
Software installiert
Alarmiert sobald eine bestimmte Software auf dem Host installliert wird.
Software ist nicht installiert
Alarmiert sobald eine bestimmte Software auf dem Host nicht installliert wird.
Szenario
Gruppenrichtlinienänderung
Alarmiert, wenn eine Änderung an den Gruppenrichtlinien eines Systems durchgeführt wird.
Host Neustart
Alarmiert sobald der Host neugestartet wird.
Host Neustart ist erforderlich
Alarmiert sobald ein Neustart bei dem Host nötig ist, bspw. Im Falle eines Updates.
Host nicht erreichbar
Alarmiert sobald ein Host über eine definierte Zeitspanne hinweg nicht erreichbar ist.
Neue Infektion
Alarmiert sobald ein System oder Netzwerk von einer Schadsoftware oder einem Virus befallen wurde.
Neuer Autostart
Alarmiert sobald ein Autostart auf dem Host durchgeführt wird.
Neuer offener Port
Alarmiert sobald ein offener Port auf dem Host detektiert wird.
Neue Sicherheitslücke
Alarmiert sobald eine neue Sicherheitslücke auf dem Host detektiert wird.
Neue Sicherheitslücke (CVSS Score)
Alarmiert sobald der CVSS Score einer Sicherheitslücke auf dem Host dem definierten Wert entspricht.
Neue Sicherheitsupdates vefügbar
Alarmiert sobald für den Host neue Sicherheitsupdates verfügbar sind.
Neue Updates verfügbar
Alarmiert sobald für den Host neue Updates verfügbar sind.
Objektzugriff außerhalb der Geschäftszeiten
Nach Definition der üblichen Geschäftszeiten wird bei Zugriff auf ein Objekt außerhalb dieser Zeit ein Alarm getriggert.
Port nicht erreichbar (TCP)
Alarmiert sobald der Zugriff auf einen spezifischen Port für die TCP-Kommunikation nicht möglich ist.
Überwachung der Integrität von Dateien (File Integrity Monitoring)
Alarmiert sobald Änderungen an durch FIM überwachten Ordnern oder Dateien festgestellt werden.
Unautorisierter Objektzugriff
Alarmiert sobald der Zugriff auf ein Objekt oder eine Ressource ohne erforderliche Berechtigung erfolgt.
Über die gesamte Plattform verteilt finden Sie außerdem Quick Alarm-Buttons. Bspw. an Metriken, Prozessen oder Zertifikaten.
Indem Sie einen Quick Alarm-Button anklicken, können Sie unmittelbar entsprechende Alarme schalten.
Legen Sie zuerst eine Referenz fest, das heißt auf welchen Host, Endpunkt, welche Observation oder welchen Watchdog ein Alarm geschaltet werden soll. Sie können Alarme entweder auf einen bestimmten Asset (Ausschließlich) schalten oder via Tags ("Alle mit den Tags") auf mehrere Assets gleichzeitig.
Unter Bedingung legen Sie das Szenario fest, das den Alarm auslösen soll, bspw. eine erhöhte CPU-Auslastung.
Legen Sie nun eine Beschreibung Ihres Alarms fest. Sie können hier entweder einen Titel vergeben, aber auch ganze Schritt-für-Schritt-Anleitungen eingeben, wie auf den Alarm reagiert werden soll. Sollte Ihre Beschreibung länger ausfallen, können Sie zusätzlich einen Alias angeben, um in der Alarmübersicht trotzdem einen griffigen Titel zu sehen.
Unter Benachrichtigungen legen Sie fest, wer per E-Mail oder zusätzliche Benachrichtungswege (Messengerintegration oder SMS) informiert werden soll. Die Alarme tauchen immer für alle Teammitglieder sichtbar in der Issues-Übersicht auf.
Wie oft eine Benachrichtigung verschickt wird, liegt an der gewählten Alarmkategorie.
Sie können entweder einzelne Benutzer wählen oder den Alarm einer Gruppe hinzufügen.
Die zu Enginsight hinzugefügten Teammitglieder lassen sich in Gruppen zusammenfassen. Dadurch wird die Verwaltung von Alarmen deutlich effektiver, da sie sich mit einem Klick einem Personenkreis zuordnen lassen. So können Ihnen etwa Gruppen für bestimmte Abteilungen dabei helfen, dass immer die richtigen Teammitglieder benachrichtigt werden.
Neue Gruppen erstellen und bestehende Gruppen bearbeiten können Sie unter Einstellungen → Gruppen.
Neben den Möglichkeiten sich per Mail oder SMS benachrichtigen zu lassen, arbeiten wir daran verschiedene Messengerdienste zu integrieren. Bislang zählen dazu Slack, Mattermost und Microsoft Teams. Um sich auf diese Weise informieren zu lassen benötigt es lediglich einer einfachen Verlinkung zwischen Ihrem Enginsightaccount und dem Messengerdienst. Hier finden Sie die Anleitungen zur Messengerintegration von Slack, Mattermost und Microsoft Teams.
Microsoft Teams ist ein Instant-Messaging-Dienst zur Kommunikation innerhalb von Arbeitsgruppen. Mit Enginsight ist es möglich, mit wenigen Klicks einen gewünschten Teams Channel mit dem Alarmsystem zu verbinden.
Verlinkung von Teams und Enginsight
Um eine Verbindung eines Teamchannels mit Enginsight einzurichten, wechseln Sie zunächst auf Teams (entweder als App oder im Browser). Gehen Sie dann mithilfe des linken Navigationsmenüs auf Teams. Hier können Sie nun den Channel wählen, in dem Sie durch Alarme benachrichtigt werden wollen. Falls Sie dafür einen neuen Channel anlegen möchten nutzen Sie die Schaltfläche links unten.
Wechseln Sie nun auf den gewünschten Channel. In diesem Beispiel nehmen wir den Allgemein Channel des Enginsight Development Teams. Klicken Sie dann auf die 3 Punkte neben dem Channel und wählen Sie Teams verwalten aus.
Gehen Sie daraufhin auf Apps und klicken Sie dann auf Weitere Apps um diesen Channel für ankommende Webhooks vorzubereiten.
Suchen Sie danach nach Webhook und klicken auf die vorgeschlagene App Incoming Webhooks.
Daraufhin öffnet sich ein Fenster in dem Sie nochmals das Team sehen, zu dem Sie diese App hinzufügen. Sollte das nicht das gewünschte Team sein, wechseln Sie zunächst zum Team in dem Sie benachrichtigt werden wollen und suchen Sie von dort nach Webhook unter den verschiedenen Apps. Klicken Sie dann auf Installieren.
Nun können Sie den Kanal des Teams wählen, in dem sie alarmiert werden wollen. Klicken Sie dann auf Einrichten.
Nun können Sie einen Namen vergeben, der als Absender der ankommenden Alarme angezeigt werden wird. Sie können dann, wenn Sie das wollen, ein Logo hochladen, welches als Absenderbild angezeigt wird. Klicken Sie danach auf Erstellen, um einen Link zu erhalten, den Sie in der Enginsightplattform hinterlegen müssen.
Kopieren Sie den Link und klicken Sie danach auf Fertig. Schon haben Sie alles nötige in Teams eingerichtet und können auf die Enginsightplattform wechseln.
Kopieren Sie sich lediglich den Link und geben Sie Ihn bei allen gewünschten Alarmen in Ihrem Enginsightaccount unter dem Bereich Zusätzliche Benachrichtigung via Microsoft Teams innerhalb der einzelnen Alarme an.
Für ausgelöste und behobene Alarme werden Sie dann folgende Nachrichten erhalten:
Slack ist ein Instant-Messaging-Dienst zur Kommunikation innerhalb von Arbeitsgruppen. Mit Enginsight ist es möglich einen Alarm anzulegen, der Sie zusätzlich zur Mail auch via Slack warnt.
Verlinkung von Slack und Enginsight (automatisch)
Gehen Sie dazu zum gewünschten Alarm, welcher beim Auslösen eine Slackbenachrichtigung auslösen soll. Unter dem Punkt Weitere Optionen finden Sie die Option Zusätzliche Benachrichtigung via Slack. Markieren Sie die Checkbox um den Tab zu öffnen und klicken Sie dann auf Mit Slack verbinden.
Melden Sie sich dann im Popup Fenster in einem beliebigen Ihrer Workspaces an. Sie sollten dann die Möglichkeit haben einen Channel auszuwählen, in dem die Benachrichtigungen erfolgen sollen. Klicken Sie dann auf Autorisieren und schon ist die Verlinkung abgeschlossen.
Sollte die automatische Verlinkung fehlschlagen und kein Slack-Channel gesetzt worden sein, können Sie Slack auch manuell hinzufügen. Die Anleitung dafür finden Sie genau unter diesem Absatz.
Falls Sie Mattermost bereits verwenden, können Sie Ihr Enginsight mit wenigen Klicks mit einem beliebigen Channel verbinden.
Verlinkung von Mattermost und Enginsight
Wechseln Sie dafür zunächst zu Mattermost. Rufen Sie in einem beliebigen Channel das Main Menu auf indem Sie oben links auf Ihren Namen oder das Menüsymbol klicken. Wählen Sie dann Integrations, um eingehende Webhooks freizugeben.
Mattermost Dokumentation zum Thema Incoming Webhooks.
Danach öffnet sich ein neues Fenster. Klicken Sie hier auf Incoming Webhooks.
Nun haben Sie einen Überblick über alle zugelassenen Webhooks. Diese können Sie jederzeit löschen oder editieren. Um einen neuen Webhook anzulegen klicken Sie oben rechts auf Add Incoming Webhook.
Nun können Sie den Webhook benennen, ihm eine kurze Beschreibung geben und den Channel aussuchen, in dem die Alarme gepostet werden sollen.
Das war es auch schon. Kopieren Sie sich lediglich den Link und geben Sie Ihn bei allen gewünschten Alarmen in Ihrem Enginsightaccount unter dem Bereich Zusätzliche Benachrichtigung via Mattermost innerhalb der einzelnen Alarme an.
Automatisierungsmöglichkeiten via Alarme haben sie entweder mit Webhooks oder mittels Plugins.
Webhooks bieten Ihnen die Möglichkeit, ausgelöste Alarme auch außerhalb der Enginsightplattform zu nutzen. Haben Sie in Ihrem Unternehmen beispielsweise einen internen Messenger? Nutzen Sie Webhooks, um Informationen über Alarme direkt in anderen Anwendungen zu nutzen.
Als speziellen Anwendungsfall bietet sich eine Microsoft Teams Integration an. Die Anleitung dazu finden Sie hier.
Unter dem Navigationspunkt Alarme finden Sie auf der linken Seite den Unterpunkt Webhooks. Sollten Sie bisher noch keinen Webhook angelegt haben können Sie auf die Kachel Webhook erstellen in der Mitte des Bildschirms klicken, falls nicht finden sie oben rechts die gleiche Schaltfläche.
Nun können Sie neben einem aussagekräftigen Namen und einer Beschreibung das Ziel, die Methode und den Typ des Inhalts angeben. Weiterhin haben Sie die Möglichkeit Ihrer Webhook benutzerdefinierte HTTP-Header zu übermitteln, was eine flexible Anpassung und Steuerung der HTTP-Anfragen ermöglicht.
Klicken Sie dann auf Webhook hinzufügen, um den Webhook zu erstellen.
Sie können Webhooks bei der Erstellung/Bearbeitung von Alarmen auswählen.
Hier finden Sie Informationen zum Format eines Webhooks:
In diesem Beispiel handelt es sich um einen POST Method Webhook, der bei einem Alarm ausgelöst wurde, welcher die Response Time eines Endpunktes kontrolliert. Unter alert erhalten Sie die interne ID sowie die Bezeichnung des zugehörigen Alarms. Unter scenario befindet sich der Payload mit allen relevanten Funktionen wie z.B. Grenzwert (threshold), gemessenem Wert (value) sowie Informationen zur Art des Alarms (scenario, property, ...). Unter reference finden Sie die Informationen zur Referenz des Alarms. Das Feld resolved gibt an, ob es sich um einen Alarm handelt der gerade ausgelöst oder der behoben wurde. Das Attribut belongsTo definiert die Art der Referenz (host, endpoint, observation).
Mittels Plugins können Sie autonome Reaktionen auf ihren Host in Reaktion auf einen ausgelösten Alarm schalten.
Mehr zum Thema Plugins erfahren Sie hier.
Als weitere Einstellungen können Sie dem Alarm eine Alarmkategorie zuordnen, nämlich entweder "Information", "Warnung" oder "Kritischer Zustand". Davon ist abhängig, wie oft der Alarm neu ausgelöst wird und damit auch, wie oft eine Benachrichtigung verschickt wird.
Kritischer Zustand: 1 Mal pro Tag
Warnung: 1 Mal pro Woche
Information: 1 Mal pro Monat
Mit der Alarm-Option „Verantwortliche informieren“ können Sie die für das Asset festgelegten Verantwortlichen automatisch über ausgelöste Alarme informieren, auch wenn sie nicht manuell als Empfänger bestimmt worden sind.
Ist die Option "Verantwortliche informieren" aktiviert, erhalten die folgenden Teammitglieder eine Benachrichtigung, sofern die Verantwortlichkeiten verteilt sind.
Technischer Verantwortlicher (des einzelnen Assets)
Security Verantwortliche (der Organisation)
Alarme auf Host: Host Verantwortliche (der Organisation)
Alarme auf Endpunkte: Endpunkte Verantwortliche (der Organisation)
Hier erfahren Sie mehr darüber, wie Sie Verantwortlichkeiten für die gesamte Organisation verteilen.
Außerdem können Sie eine weitere Benachrichtigung aktivieren, wenn der Alarm gelöst wurde, das heißt das Alarmszenario nicht mehr vorliegt.
Schließlich können Sie den Alarm auch direkt deaktivieren. Das ermöglicht Ihnen Alarme vorbereiten, ohne sie direkt aktiv zu schalten.