Discoveries
Last updated
Last updated
Eine Übersicht aller im Unternehmen vorhandenen Netzwerkgeräte ist elementar. Sie bildet die Grundlage jeglicher Maßnahmen zur Steigerung des Sicherheitsniveaus. Um Ihr Netzwerk automatisch und permanent nach seinen Teilnehmern zu durchsuchen, installieren Sie einen Watchdog, der die Asset Discovery durchführt.
Halten Sie die Softwarekomponente Watchdog stets aktuell und führen regelmäßig Updates durch.
Um eine Asset Discovery durchführen zu können, benötigen Sie einen installierten Watchdog.
Nach der Installation gehen Sie in die Einstellungen des installierten Watchdogs. Gehen Sie dazu auf 'Watchdogs' und klicken den entsprechenden Watchdog einfach an.
Wenn Sie wollen, können Sie einen Alias vergeben.
Um mit der Asset Discovery zu starten, aktivieren Sie die Option "Permanente Überwachung". Der Watchdog untersucht nun dauerhaft den Netzwerkverkehr nach neuen IP-Adressen und übermittelt in fünf Minuten Intervallen seine Zwischenergebnisse. Die ersten Ergebnisse in Inventar und Asset Map erhalten Sie daher nach nur fünf Minuten.
Welche Konfigurationen im Detail möglich sind, erfahren Sie im Abschnitt Watchdogs.
Schalten Sie den Alarm "Neues Gerät im Netzwerk entdeckt" auf Ihren Watchdog, um sich über neue Teilnehmer informieren zu lassen.
Das Inventar sammelt in Listenform alle von der Asset Discovery aufgespürten Assets. Der Übersicht können Sie zudem weitere Details entnehmen: Subnet, Hersteller und Details zum Gerät (sofern hinterlegt), welcher Watchdog das Asset gefunden hat und wann es zuletzt gesehen wurde.
Wie lange Assets im Inventar verbleiben, konfigurieren Sie in den Einstellungen des entsprechenden Watchdogs. Dort finden Sie auch eine Option, alle Assets eines Watchdogs aus dem Inventar zu löschen ("Inventar bereinigen").
Mit der Searchbar können Sie das Inventar durchsuchen und filtern.
Klicken Sie ein Asset an, um das Inventar mit weiteren Informationen anzureichern. Dazu stehen Ihnen mehrere Felder zu Verfügung: Kategorisieren Sie Ihre Assets, vergeben Sie einen Alias und passende Tags, bestimmen Sie die Verantwortlichkeiten und hinterlegen Sie den Standort.
Haben Sie das Asset überprüft und entsprechend dokumentiert, können Sie das Asset als „begutachet“ markieren. Das heißt, Sie haben sich um das Asset gekümmert. Im Inventar erscheint dann ein grünes Symbol vor dem Asset.
Mit dem Button rechts neben der IP-Adresse können Sie in die Asset Map wechseln, sodass Sie sehen, wo sich das Asset befindet.
Direkt aus dem Inventar können Sie zudem einen Ping- und Portcheck von Assets einrichten. Erfahren Sie mehr zu den Möglichkeiten der agentlosen Überwachung unter Observations.
In der Asset Map erhalten Sie eine grafische Aufbereitung der Ergebnisse der Asset Discovery. Die Assets werden nach Subnetzten und/oder Hacktoren gruppiert.
Klicken Sie die Assets an, um weitere Informationen zu erhalten.
Lassen Sie sich Berichte als PDF ausgeben. Klicken sie einfach auf 'Report erstellen' und Sie erhalten eine Übersicht über alle Assets des Inventars in einer PDF.
Sie erhalten eine Übersicht über alle installierten Watchdogs. Der Liste können Sie die Version des Watchdogs entnehmen, den scanbaren Netzbereich, die IPS sowie den Status.
Halten Sie die Softwarekomponente Watchdog stets aktuell und führen regelmäßig Updates durch.
Um einen Watchdog hinzuzufügen reicht es auf den Button Watchdog hinzufügen zu drücken und den Quellcode mit Rootrechten auf einem linuxbetriebenen Server oder Computer auszuführen.
Der Host, auf welchem der Watchdog installiert ist, muss mit den zu überwachenden Systemen kommunizieren können. Überprüfen Sie ggf. Ihre Firewall-Einstellungen und setzen Sie den Watchdog auf eine IDS-Whitelist.
Um ihren Watchdog zu konfigurieren klicken Sie ihn einfach an.
Es kann bis zu 10 Minuten dauern, bis Änderungen an den Einstellungen vom Watchdog übernommen werden.
Vergeben Sie Ihrem Watchdog einen selbst gewählten Namen - einen Alias. So behalten Sie eine bessere Übersicht über ihre Watchdogs.
Aktivieren Sie die Permanente Überwachung, um die Asset Discovery zu starten. In der Folge untersucht der Watchdog dauerhaft den Netzwerkverkehr nach neuen IP-Adressen und übermittelt in 5 Minuten-Intervallen seine Zwischenergebnisse.
Um alle Assets zu erfassen, startet Watchdog in regelmäßigen Abständen einen aktiven Netzwerkscan. Mit einem Funkfeuer (Pings, Port-Scans, etc.) provoziert der Watchdog Netzwerkverbindungen und findet so auch IP-Adressen, die von sich aus keinen Netzwerkverkehr erzeugt haben. Legen Sie fest, wie oft ein aktiver Netzwerkscan durchgeführt werden soll. Je häufiger Sie ihn durchführen lassen, desto schneller werden alle neuen Assets gefunden. Allerdings bedeuten häufig durchgeführte aktive Scans auch eine Belastung für ihr Netzwerk. Standardmäßig legen wir ein Intervall von 60 Minuten fest.
Wie lange vom Watchdog aufgespürte Assets im Inventar verbleiben, liegt ganz bei Ihnen. Sie können die Assets dauerhaft speichern oder eine aktive Inventarbereinigung durchführen. Das heißt, Sie können eine Anzahl an Tagen festlegen, nach der die Einträge aus dem Inventar gelöscht werden, sollte ein Asset in dieser Zeit nicht mehr erreichbar gewesen sein. Wollen Sie alle Inventareinträge eines Watchdogs löschen, steht Ihnen die Option „Inventar bereinigen“ (rechts oben) zu Verfügung.
Unter Netzwerke können Sie Subnetze konfigurieren, die vom Watchdog überwacht werden sollen. Diese Optionen sind für Sie relevant, sollten Sie Ihr Netzwerk segmentiert haben und über die Segmente hinweg eine Asset Discovery durchführen wollen.
Geben Sie dazu die Classless Inter-Domain Routing (CIDR) der einzelnen Subnetze ein. Vergeben Sie Namen und Beschreibung sowie eine Farbe. Die gewählte Farbe des jeweiligen Subnetzes wird in der Asset Map verwendet.
Sollte es sich um ein Virtual Local Area Networks (VLAN) handeln, geben Sie dies bitte an. Der Watchdog passt die Scan-Operationen dann entsprecht an, sodass Sie auch bei VLANs richtigen Ergebnisse erhalten.
Sollte das Linux-Gerät, auf dem Sie den Watchdog installiert haben über mehrere Netzwerkadapter verfügen, können Sie festlegen, welche Netzwerkadapter der Watchdog zur Überwachung nutzen soll. Nutzen Sie dazu einfach den Schieberegler und (de-)aktivieren Sie die gewünschten Netzwerkadapter.
Der Enginsight Watchdog wird von uns laufend aktualisiert. Damit alle (neuen) Funktionen wie gewünscht funktionieren, ist es nötig, dass Sie den Watchdog stets auf dem aktuellen Stand halten.
Gehen Sie auf Discoveries → Watchdogs und prüfen Sie, ob alle Versionsnummern aktuell sind. Es wird Ihnen eine Warnung ausgegeben, sollte eine veraltete Version installiert sein.
Wenn ein Observer nicht über die aktuelle Versionsnummer verfügt, klicken Sie in der rechten Spalte unter Aktionen auf den Update-Button.
Die aktuelle Versionsnummer finden Sie stets hier.
Um aktuelle Logs der Softwarekomponente Watchdog abzurufen haben Sie zwei Möglichkeiten.
Klicken Sie unter Discoveries → Watchdogs auf den 'Logs'-Button.
Nachdem Sie auf den Logs-Button geklickt haben, werden die aktuellen Logs abgerufen. Die Übertragung ist auf 2MB beschränkt.
Wie weit die Logs in die Vergangenheit zurückreichen hängt außerdem von der Konfiguration und der Auslastung des Servers ab.
Haben Sie Zugriff auf den Watchdog-Server können Sie die aktuellen Logs auch selbst auslesen. Am besten speichern Sie sich die Logs selbst in eine .txt
-Datei ab.
Nutzen Sie dazu die unten stehenden Befehle. Passen Sie zuvor den Dateinamen an.
Debian:
CentOS:
Wie weit die Logs in die Vergangenheit zurückreichen, hängt von der Konfiguration und der Auslastung des Servers ab.
Neben der Asset Discovery können Sie den Watchdog auch für unsere agentlose Überwachung (Ping/Port-Monitoring, SNMP) nutzen. Alle Informationen dazu finden Sie unter Observations.