Hostdetails
Last updated
Was this helpful?
Last updated
Was this helpful?
Das Host Detail Dashboard bietet eine kompakte Übersicht aller relevanten Informationen zu einem Host und ermöglicht es, den aktuellen Sicherheitsstatus sowie möglichen Handlungsbedarf auf einen Blick zu erkennen.
Die Navigation ist in zwei Bereiche unterteilt: Das vertikale Menü enthält alle Funktionen und Einstellungen, die den Host direkt betreffen, während das horizontale Menü Informationen auflistet, die sich passiv auf den Host beziehen, also Elemente, die auf diesen Host referenzieren.
Die wichtigsten Informationen, einschließlich Echtzeitüberwachung und Festplattenstatus, sind zentral im Dashboard zusammengefasst, sodass alle hostbezogenen Daten schnell abrufbar sind.
Die Ansicht unter Geräteinformationen bietet Ihnen einen detaillierten Einblick in die Hard- und Softwareausstattung Ihrer Systeme. Hier finden Sie alle relevanten Informationen zu Betriebssystem, Firmware, Hardware und Netzwerkschnittstellen auf einen Blick. Diese Übersicht hilft Ihnen, den Zustand Ihrer Geräte besser zu verstehen, potenzielle Sicherheitsrisiken frühzeitig zu erkennen und gezielt Maßnahmen zur Systemhärtung zu ergreifen.
Eine Auflistung der ausgelösten Alarme des einzelnen Hosts erhalten Sie hier. Die Issue-Übersicht über alle Assets hinweg erhalten Sie unter Issues.
Nutzen Sie die ausgebaute Filterfunktion sowie die Freitextsuche, um sich entsprechende Ergebnisse ausgeben zu lassen.
Nehmen Sie unter Einstellungen Ihre persönlichen Konfigurationen vor.
Um die Einstellungen mehrerer Hosts effektiv zu bearbeiten, können Sie den Policy Manager nutzen.
Allgemeine Einstellungen
Vergeben Sie einen Alias und eine Beschreibung, um den Host leichter zuordnen zu können.
Nutzen Sie Tags, um Ihre Hosts zu gruppieren. Sie können Tags z.B. für Alarme und den Policy Manager nutzen.
Legen Sie anschließend einen technischen und einen fachlichen Verantwortlichen fest.
Falls der Host über eine öffentlich erreichbare IP verfügt, erkennt die API bei der Erstellung automatisch den ungefähren Standort und hebt diesen visuell auf einer Karte hervor. Zusätzlich können detaillierte geografische Daten wie Hoster, Land, Stadt, Straße, Gebäude, Etage und Raum erfasst werden, um eine präzisere Standortverwaltung zu ermöglichen. Diese Informationen sind besonders relevant für Compliance-Anforderungen und erleichtern eine standortbasierte Steuerung.
Core Features
Entscheiden Sie direkt aus der Ansicht heraus, welche Features Sie für den Host aktivieren möchten, zur Auswahl stehen hier:
IDS
IPS
Advanced Persistent Threats
File Integrity Monitoring
Das Erfassen von Logeinträgen als SIEM Kollektor
Das ausführen Benutzerdefinierte Plugins
Erweiterte Einstellungen
Nutzen Sie die erweiterten Einstellungen, um das IDS auf diesem Host zu aktivieren sowie automatisierte Systemupdates zu erlauben und Einstellungen an dem Tray Icon vorzunehmen.
Intrusion Detection Level
Erlauben Sie die Analyse Ihres Netzwerkverkehrs durch das Enginsight IDS auf dem Host. Legen Sie unter IP-Anonymisierung fest, ob sämtliche IP-Adressen bei der Erkennung anonymisiert werden sollen und bestimmen Sie das Erkennungslevel des IDS.
Automatisierte Systemupdates
Aktivieren Sie die automatische Installation aller Systemupdates durch automatisierte Systemupdates. Beschränken Sie die Updaterate auf ausschließlich sicherheitsrelevante Updates oder legen Sie fest, dass nach dem Update das System neustarten soll, wenn dies benötigt wird.
Sonstiges
Erlauben Sie die erweiterte Softwareüberwachung im täglichen Turnus. Entschieden Sie unter erweiterte Dienstüberwachung, ob sämtliche Dienste in die Überwachung mit aufgenommen werden sollen. Legen Sie fest, ob der Pulsar Agent zugriff auf Logs erhalten darf, indem Sie Sicherheitsrelevante Ereignisse mitschneiden aktivieren. Weiterhin können Sie im Folgenden Ressourcen von den Erfassungen ausschließen.
Tray Icon
Aktivieren Sie das Enginsight Tray Icon, über welches Sie manuell Aktionen ausführen können der legen Sie fest, dass Sie Informationen zur Sicherheitslage in Benachrichtigungen anzeigen lassen wollen.
Um Ihre Konfiguration zu sichern, klicken Sie abschließend auf Änderungen speichern.
Mit der Exportfunktion können Sie sowohl komplette Ansichten als auch gefilterte Ergebnisse direkt aus der Plattform exportieren. So haben Sie die Flexibilität, genau die Daten zu sichern und weiterzuverarbeiten, die für Ihre Analysen oder Berichte relevant sind.
Hier finden Sie die klassischen Monitoring-Kurven über CPU, RAM, SWAP, Netzwerk, Festplattenauslastung und -leistung. Für jeden Host wird automatisch die Festplattenanzahl ermittelt und anschließend für jede Festplatte ein eigenes Diagramm für die Auslastung und Leistung erstellt.
Den Start- und Endzeitpunkt der Metriken können Sie manuell festlegen. Weiterhin erhalten Sie die Möglichkeit die Ansicht mit dem entsprechenden Button zu exportieren, wählen Sie hier zwischen den Ergebnissen Ihrer aktuellen Suche oder ausgewählten Einträgen.
Hier finden Sie eine Übersicht Ihrer installierten Softwares.
Enginsight überprüft die installierte Software standardmäßig alle 60 Minuten. Um das Softwareinventar manuell zu aktualisieren, klicken Sie auf den Aktualisieren-Button.
Nutzen Sie die folgenden Alarme, um Ihre Softwares zu überwachen:
Neue/entfernte Software Benachrichtigung bei Installation oder Deinstallation von Software.
Software ist installiert Benachrichtigung, wenn eine bestimmte Software auf einem Host installiert ist. Über Tags können alle Hosts oder spezifische Gruppen überprüft werden.
Software ist nicht installiert Benachrichtigung, wenn eine bestimmte Software nicht auf einem Host installiert ist. Tags ermöglichen die Überprüfung aller Hosts oder spezifischer Gruppen.
Unter Dienste erhalten Sie eine Übersicht über alle laufenden und gestoppten Dienste Ihres Servers oder Clients sowie weitere Details. Sie können die Dienste direkt aus der Plattform mit den jeweiligen Buttons im oberen rechten Bildrand heraus starten, neustarten und stoppen. Auch hier können Sie Listen exportieren und leicht Compliance nachweise schaffen.
Ein Dienst/Service ist ein Programm, das beim Start des Computers automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z.B. mit der Installation neuer Software.
Es können Alarme für Dienste gesetzt werden, um benachrichtigt zu werden, wenn ein Dienst ausgeführt oder nicht ausgeführt wird. Mit dem Alarm „Systemrelevanter Dienst wird nicht ausgeführt“ lässt sich ein gemeinsamer Alarm für alle systemrelevanten Dienste aktivieren.
Sollte ein Dienst Fehlalarme produzieren, können Sie ihn auf die Ausnahmeliste setzen, damit er von der Überwachung künftig ignoriert wird.
Standardmäßig überwacht der Enginsight Pulsar-Agent nur automatisch gestartete Dienste auf den Hosts, da dies für die allermeisten Fälle ausreichend ist. Wollen Sie alle Dienste mit Enginsight überwachen, aktivieren Sie in den erweiterten Einstellungen des Hosts die Option Erweiterte Dienstüberwachung.
Hier finden Sie eine Auflistung über alle auf Ihrem System laufenden Prozesse inkl. CPU und RAM Auslastung, etwaigen Unterprozessen, dem Benutzernamen und der Prozess ID. Damit ist es auch möglich, Alarme zu erstellen, die bestimmte Prozesse involvieren. Beispielsweise eine Warnung per E-Mail, wenn ein bestimmter Prozess auf Ihrem Host nicht mehr verfügbar ist. Dafür können Sie auch den Quick-Alarm-Button nutzen. Es ist auch möglich, Prozesse direkt aus der Plattform heraus zu schließen (KILL).
Unter Verbindungen finden Sie eine Übersicht der geöffneten Ports auf Ihren Servern und Clients. Diese Übersicht ermöglicht es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, wie unerwünschte offene Verbindungen oder Einfallstore für Angriffe.
Generell gilt: Je mehr Ports geöffnet sind, desto anfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende Software potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade bei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt bleiben.
Indem Sie eine Verbindung als Systemrelevant kennzeichnen, dokumentieren Sie, dass der offene Port seine Richtigkeit hat. Sie bekommen dann im Menü keine Warnung mehr ausgegeben.
Enginsight detektiert in der Regel automatisch, um welchen Service es sich handelt. Die Information wird genutzt, um mit dem Intrusion Detection System gezielt und ressourcenschonend nach Cyberattacken zu scannen.
Sollte die automatische Erkennung eines Service nicht möglich sein, können Sie den Service manuell nachtragen. So lässt sich die Performance des IDS optimieren.
Bitte beachten Sie, dass das automatische Blockieren über den Autopiloten bei der Verwendung eines Reverse-Proxy nur korrekt funktioniert, wenn auch für den Dienst/die Dienste hinter dem Reverse-Proxy der korrekte Service erkannt oder gewählt wurde. Dies kann insbesondere bei der Verwendung nicht standardmäßiger Ports z.B. für HTTP nötig sein.
Mit dem Alarm Neuer offener Port können Sie sich alarmieren lassen, wenn ein neuer Port geöffnet wird. Wir empfehlen den Alarm via Tag auf alle Ihre überwachten Server zu schalten.
Sollte ein Service Fehlalarme produzieren, können Sie ihn auf die Ausnahmeliste setzen, damit er von der Überwachung künftig ignoriert wird.
Hier finden Sie einen Verlauf über alle auf Ihrem Host ausgeführten Skripte. Wenn Sie bspw. selbst ein Skript auf einigen Hosts ausgeführt haben oder der Pulsar Skripte ausgeführt hat, finden Sie hier einen entsprechenden Eintrag. Der Eintrag enthält unter anderem auch eine Logdatei mit der Standardausgabe (stdout) und der Fehlerausgabe (stderr), falls aufgetreten.
Das Schwachstellenmanagement ist ein leistungsstarkes Tool, das Ihnen hilft, Sicherheitslücken schnell zu erkennen und zu beheben. Es bietet eine detaillierte Übersicht über Vulnerabilitäten, einschließlich des Schweregrads und CVSS-Scores, sodass Sie sofort wissen, welche Lücken kritisch sind.
Erhalten Sie eine Übersicht vorliegender Vulnerabilitäten. Am Anfang des Eintrags finden Sie eine Einordnung des Schweregrades. Weiter finden Sie den offiziellen CVSS-Score (Common Vulnerability Scoring System), dev vorliegenden CVE (Common Vulnerable Exposure) sowie, wenn vorhanden einen EPSS Score und zugehörige Software.
Durch Klick auf einen CVE Identifier gelangen Sie in unsere Schwachstellendatenbank auf einen aktuellen Artikel zu der gewählten Vulnerability.
Exportieren Sie die Ergebnisse Ihrer aktuellen Suche oder markieren Sie über die Checkboxen Einträge, welche Sie aus der Plattform exportieren möchten.
Sicherheitslücken appeasen
Nutzen Sie die Multiedit Funktion, um mehrere Einträge mit nur einem Klick zu appeasen. Weiterhin können Sie im Overlay auswählen, ob die spezifischen CVEs ausgewählt werden sollen oder aber alle zugehörigen der folgenden Common Plattform Enumeration.
Ausnahmebehandlung hinzufügen
Markieren Sie eine oder mehrere Sicherheitslücken über die Checkboxen und klicken Sie anschließend auf Unterdrücken, im oberen rechten Bildrand. Daraufhin können Sie Ausnahmebehandlung hinzufügen wählen. Anschließend öffnet sich das Overlay:
Wählen Sie die Kategorie Unterdrücken.
Geben Sie bei Bedarf ein Kommentar ein, welches anschließend an alle ausgewählten und dem Typ entsprechenden Sicherheitslücken angehangen wird.
Unter Scope ist nun die Allgemeine Ausnahmebehandlung per Default gewählt.
Bestätigen Sie Ihre Eingabe durch Klick auf Unterdrücken.
Unterdrücken
Markieren Sie einzelne Sicherheitslücken und klicken Sie anschließend auf Unterdrücken, im oberen rechten Bildrand. Anschließend öffnet sich das folgende Overlay:
Geben Sie bei Bedarf ein Kommentar ein, welches anschließend an die gewählten Sicherheitslücken angehangen wird.
Wählen Sie die Kategorie Spezifische CVEs. Darunter finden Sie alle zuvor ausgewählten CVEs aufgelistet.
Bestätigen Sie Ihre Eingabe durch Klick auf Unterdrücken.
Unter Updates finden Sie eine Auflistung derjenigen Updates, welche sich mit Enginsight einspielen lassen. Wählen Sie die gewünschten Updates aus und patchen Sie Ihre Software, indem Sie auf Updates Installieren klicken.
Hierbei liefert jede Update-Aktion eine valide Rückmeldung, die zur Senkung des Risikoscores beiträgt, da das Update ausgelöst wird – unabhängig davon, ob der Host in diesem Moment online oder offline ist.
Über neue verfügbare Updates können Sie sich mit dem Alarm Neue Updates verfügbar informieren lassen.
Mehr Infos zu Updates mit Enginsight finden Sie unter Update Manager.
Beachten Sie weiterhin auch die Möglichkeit von AutoUpdates mit Enginsight.
Hier erwartet Sie die Liste aller Updateverläufe, egal ob ein Update aussteht, gerade durchgeführt wird oder bereits fertiggestellt wurde. All das sehen Sie in dieser Übersicht.
Der Punkt Compliance fasst Ihnen alle den Host betreffenden automatischen und organisatorischen Systemhärtungen zusammen und bietet Ihnen eine ausführliche Übersicht über den aktuellen Stand Ihres Hosts.
Die Einträge umfassen Informationen rund um den Schweregrad und den Status Ihrer Checks, sowie betroffene Checklisten und den Risikowert. Nutzen Sie die Freitextsuche, sowie die Filterfunktion, um schnell Einträge aus der Liste ausfindig zu machen.
Um Einträge direkt zu übernehmen wählen Sie einen oder mehrere direkt aus der Liste ein und klicken Sie auf Übernehmen, hieraufhin öffnet sich das folgende Fenster, in welchem Ihnen alle ausgewählten Controls aufgelistet werden. Klicken Sie anschließend auf Übernehmen, um diese für Ihren Host zu aktivieren.
Hier finden Sie alle den Host betreffenden organisatorischen Systemhärtungen inklusive Schweregrad, den betreffenden Control und den Status Ihrer Checks, sowie Verantwortlichkeiten, Infos über die Auditierung und den Risikowert. Nutzen Sie die Freitextsuche, sowie die Filterfunktion, um schnell Einträge aus der Liste ausfindig zu machen. Eine ausführliche Anleitung wie Sie Checklists und Controls anelgen erhalten Sie hier.
Um einen oder mehrere Einträge gleichzeitig zu auditieren, klicken Sie auf die entsprechende Schaltfläche. Daraufhin öffnet sich das folgende Fenster, in welchem Sie ein Kommentar anfügen können sowie externe Referenzen hinterlegen können. Darunter finden Sie eine Sammlung aller betroffener Controls. Setzen Sie einen Haken, wenn das Control erfüllt wurde und entscheiden Sie, ob dies für alle betroffenen Hosts übernommen werden soll.
Das Intrusion Detection System (IDS) ist ein unverzichtbares Tool für die Sicherheitsüberwachung, das automatisch Netzwerkanomalien erkennt und sofort Alarm schlägt.
Unter Netzwerkanomalien finden Sie die Analyseergebnisse des Intrusion Detection Systems. Suchen Sie gezielt nach Einträgen indem Sie den gewünschten Zeitraum definieren. Die Freitextsuche ermöglicht es Ihnen außerdem schnell Einträge ausfindig zu machen. Behandeln Sie direkt aus der Ansicht heraus Risiken oder nutzen Sie die Exportfunktion, um Ergebnisse aus der Plattform zu ziehen.
Mit dem Alarm Verdächtiger Netzwerkverkehr können Sie sich über Angriffsszenarien informieren lassen. Das dynamische Blocking des Shield Moduls erlaubt Ihnen Netzwerkattacken zu blockieren.
FIM (File Integrity Monitoring) ist eine Sicherheitslösung, die Änderungen an Dateien und Systemkonfigurationen überwacht, um Sie zu unterstützen Manipulationen oder unautorisierte Änderungen zu erkennen. Es hilft Ihnen dabei verdächtige Aktivitäten frühzeitig zu identifizieren und Sicherheitsvorfälle zu verhindern.
Damit FIM auf Ihrem Host Logs erfassen kann ist es unabdingbar, dass Sie die Funktion File Integrity Monitoring unter den Host Einstellungen erlauben, andernfalls bleibt diese Ansicht leer.
Hier finden Sie alle, durch File Integrity Monitoring erfassten Logs, die diesen Host betreffen. Ändern Sie den Zeitpunkt Ihrer Betrachtung, um gezielt nach Einträgen zu suchen und nutzen Sie die Übersicht, um stets einen Überblick Ihrer Integrität zu bewahren.
Advanced Persistent Threats (APTs) sind gezielte, langanhaltende Angriffe, die klassische Sicherheitslösungen oft nicht erkennen. Die hostbasierte Erkennungsansicht ermöglicht Ihnen eine tiefe Analyse direkt am Host und bringt alle verdächtigen Findings an einem Ort zusammen.
Hier finden Sie eine Auflistung aller Findings auf Ihrem Host rund um Advanced Persistent Threats. Das obere Diagramm gibt Ihnen Aufschlüsse über die Häufung von Findings im zeitlichen Verlauf, während Sie darunter eine Liste aller spezifischen Einträge erhalten.
Weiterhin gelangen Sie durch Klick auf einen Eintrag in die Bedrohungsansicht, wo Sie alle Details zur detektierten Auffälligkeit ausführlich prüfen können.
Direkt aus der Ansicht heraus haben Sie die Möglichkeit eine Detektion zu whitelisten. Klicken Sie hierfür auf den entsprechenden Button hinter dem Eintrag, worauf sich ein Fenster öffnet. Geben Sie hier Namen und eine kurze Beschreibung für die Whitelist an, definieren Sie den oder die zugeordneten Hosts und fügen Sie anschließend Dateipfade hinzu. Speichern Sie Ihre Konfiguration indem Sie die Whitelist hinzufügen.
