WebsiteLoginKostenloser Testzugang

Intrusion Detection System

Mit einem Intrusion Detection System (IDS) können Sie verdächtige Aktivitäten und potenzielle Sicherheitsvorfälle frühzeitig erkennen. Es hilft Ihnen, unautorisierte Zugriffe oder Angriffsmuster schnell zu identifizieren, sodass Sie gezielt reagieren und Ihre Systeme effektiv schützen können.

Mit dem in den Pulsar-Agent integrierten Intrusion Detection System können Sie einfach ein hostbasiertes Intrusion Detection System implementieren.

Mit der Exportfunktion können Sie sowohl komplette Ansichten als auch gefilterte Ergebnisse direkt aus der Plattform exportieren. So haben Sie die Flexibilität, genau die Daten zu sichern und weiterzuverarbeiten, die für Ihre Analysen oder Berichte relevant sind.

Angriffe

Enginsight unterstützt die Erkennung der folgenden Attacken:

  • SYN-Flooding

  • ARP-Spoofing

  • Ping of Death

  • Ping-DDoS

  • Blacklist IP Database

  • DNS-Spoofing

  • Port Scan

    • TCP

    • UDP

  • Bruteforce

    • SSH

    • MySQL

    • MongoDB

    • HTTP Basic Authentication

    • FTP

    • RDP

    • RPC

    • VNC

    • SMB

  • Cross Site Scripting

  • HTTP Request Corruption

  • HTTP Response Splitting

  • HTTP Request Smuggling

  • Remote Code Execution

  • Path Traversal

  • SQL Injection

  • SSL/TLS Cipher Enumeration

  • SSL/TLS Protocol Scan

  • Bot-Aktivität

Zusätzlich unterstützt Enginsight die Erkennung von Angriffen, die in den SNORT Community Rules beschrieben sind. Dabei handelt es sich auch um spezifischere Angriffe (z.B. Attacken auf Microsoft IIS oder Exange Server, Zugriffsversuche auf sensible Daten eines Webservers oder CGI-Angriffe).

Die verwendeten SNORT Community Rules fallen unter die GPL Lizenz.

IDS konfigurieren

Um das IDS auf Ihren Servern und Clients mit installiertem Pulsar-Agent optimal zu nutzen, brauchen Sie lediglich zwei Einstellungen treffen.

Netzwerkmitschnitt aktivieren

Aktivieren Sie den Netzwerkmittschnitt auf allen Hosts, auf denen das IDS aktiv sein soll. Dies können Sie entweder in den Einstellungen des einzelnen Hosts erledigen oder Sie nutzen die Policies.

Kategorisieren Sie Ihre Hosts zum Beispiel mit Tags zu Risikolevel und Leistungsreserven und legen Sie anschließend die entsprechenden Policies an.

IDS Level bestimmen

Die Angriffserkennung und -blockierung kann entweder über den Autopilot oder direkt in den Host-Einstellungen gesteuert werden. Dies ermöglicht eine präzise Anpassung der Sicherheitsmaßnahmen an individuelle Anforderungen und Kritikalitätsstufen.

Im Autopilot können Sie festlegen, ab welcher Kritikalität Angriffe für bestimmte Hosts oder Hostgruppen automatisch blockiert werden. Dabei ist es erforderlich, die Funktion Empfehlungen überschreiben zu aktivieren, damit der Autopilot diese Einstellung aktiv durchsetzen kann.

Alternativ kann die Konfiguration auch individuell pro Host in den Host-Einstellungen vorgenommen werden.

Einstellen der Angriffserkennungslevel

Die Angriffserkennung basiert auf verschiedenen Sicherheitsleveln, die bestimmen, welche Attacken erkannt und blockiert werden:

  • Level 0 – Sehr hohe Eingriffsschwelle Maximale Verfügbarkeit, nur wenige Bedrohungen werden blockiert.

  • Level 1 – Verfügbarkeit vor Sicherheit Fokus auf Verfügbarkeit, nur die wichtigsten Bedrohungen werden geblockt.

  • Level 2 – Ausgewogene Verfügbarkeit und Sicherheit (Empfohlen) Ideale Balance zwischen Sicherheit und Gerätestabilität.

  • Level 3 – Sicherheit vor Verfügbarkeit Blockierung auch seltener Angriffe, mit möglichen Einschränkungen in der Verfügbarkeit.

  • Level 4 – Maximaler Schutz Höchste Sicherheitsstufe, jedoch mit häufigen Verfügbarkeitsproblemen – nur für spezielle Einsatzzwecke geeignet.

Dashboard

Das Dashboard bietet Ihnen eine Übersicht der wichtigsten Erkenntnisse Ihres IDSs. Sehen Sie auf einen Blick, wie sich die Bedrohungslandschaft bei Ihnen gestaltet.

Netzwerkanomalien

Hier erwartet Sie eine Auflistung aller detektierten Netzwerkanomalien. Suchen Sie über die Freitextsuche gezielt nach Einträgen und nutzen Sie die Ansichtsfunktion, um einen Zeitraum der Betrachtung zu definieren. Klicken Sie auf den Filter neben einem Eintrag, so gelangen Sie zu allen, die Referenz betreffenden, Einträgen.

Zusätzlich finden Sie hinter jedem Eintrag die Option das Risiko zu behandeln oder dieses aktiv zu blockieren.

Blockieren

Sie können direkt aus der Ansicht heraus Angriffe blockieren. Gehen Sie dazu aauf den Button Blockieren neben einem Eintrag. In dem sich nun öffnenden Fenster sehen Sie alle Informationen, passen Sie diese bei Bedarf an, falls das Regelwerk bspw. auch für weitere Hosts gelten soll. Bestätigen Sie Ihre Wahl indem Sie das manuelle Regelwerk hinzufügen.

Whitelist

Mit Whitelists stellen Sie sicher, dass vertrauenswürdige Aktivitäten, IP-Adressen oder Anwendungen nicht fälschlicherweise als Bedrohung erkannt werden. Dadurch reduziert sich die Anzahl von Fehlalarmen, und Sie können sich auf echte Sicherheitsrisiken konzentrieren. So optimieren Sie Ihre Sicherheitsprozesse und sparen wertvolle Zeit bei der Analyse von Warnungen.

Whitelist hinzufügen

Klicken Sie in der Übersicht auf die entsprechende Schaltfläche um einen neuen Whitelist Eintrag hinzuzufügen.

  1. Geben Sie eine kurze Beschreibung ein.

  2. Geben Sie unter CIDR die zu whitelistende IP-Adresse mit passendem Netzwerkpräfix an.

  3. Geben Sie den entsprechenden Angriff an welcher für die IP gewhitelistet werden soll oder nutzen Sie * um alle Angriffe der entsprechenden IP zu whitelisten.

  4. Geben Sie weiterhin einen Regex ein, um spezifische Muster in der Nutzlast von Netzwerkpaketen zu definieren, die als sicher eingestuft und daher nicht als Bedrohung erkannt werden sollen.

Wenn ein Wert im Feld Erweiterter Filter eingetragen ist, gilt die Whitelist nur für Angriffe, die auch ein Payload aufweisen, also nicht für Angriffe wie Portscans oder Bruteforces. Möchten Sie mehrere oder alle Angriffe inklusive solcher ohne Payload whitelisten, dann lassen Sie das Feld Erweiterter Filter leer.

  1. Definieren Sie anschließend zugeordnete Referenzen indem Sie Hosts festlegen und/oder Ihre Konfiguration an Tags knüpfen.

  2. Speichern Sie abschließend Ihre Änderungen durch Klick der entsprechenden Schaltfläche.

IDS gezielt entlasten durch Port- und Subnetz-Filterung

In Netzwerken mit hohem Datenverkehr über einzelne Ports kann ein aktiviertes IDS zu Performanceproblemen führen. Um solche Lastspitzen zu vermeiden, lässt sich der zu überwachende Traffic gezielt eingrenzen. Dies geht durch den Ausschluss bestimmter Ports und/oder durch die Einschränkung auf ausgewählte IP-Bereiche.

Ab Pulsar-Version 6.4.17 steht Ihnen hierfür das Flag -windivert-filter zur Verfügung. Es ermöglicht die Definition individueller Filterregeln in der WinDivert-Syntax, mit denen sich der IDS-Datenstrom bedarfsgerecht steuern lässt.

Gezielte Port-Filterung

Um das IDS von datenintensiven Ports zu entlasten, können diese explizit ausgeschlossen werden. Dies ist insbesondere dann sinnvoll, wenn z. B. Backup-Systeme, Update-Server oder Management-Tools regelmäßig große Datenmengen übertragen.

  1. Dienste beenden Stoppen Sie vor der Konfiguration den Pulsar und Supervisor-Dienst.

  2. Filterregel einrichten Die Konfiguration erfolgt über sc.exe in CMD oder PowerShell. Dabei wird die binpath-Konfiguration des Pulsar-Dienstes geändert, um den gewünschten Filter zu setzen. Beispiel: Ausschluss der WSUS-Ports 5380 und 5381 sc.exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'localPort != 5380 and localPort != 5381'" Beispiel: Ausschluss des Subnetzes 10.0.0.0/24 sc.exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'remoteAddr <= 10.0.0.0 or remoteAddr > 10.0.0.255'"

Der gesamte Filterausdruck muss in einfache Anführungszeichen gesetzt werden. Andernfalls wird nur das erste Wort interpretiert, was zu fehlerhaftem Verhalten führt.

  1. Dienste neustarten Starten Sie Pulsar neu nachdem Sie die Konfiguration entsprechend angepasst haben.

Weitere Maßnahmen zur Entlastung Ihres IDS

Zusätzlich zur gezielten Filterung von Ports und IP-Bereichen stehen Ihnen weitere Möglichkeiten zur Verfügung, um die Performance Ihres IDS zu verbessern:

  1. Pulsar auf Version 6.4.12 oder höher aktualisieren Ab der Version 6.4.12 wurden umfassende Leistungsverbesserungen für das IDS implementiert. Wenn Sie noch eine ältere Version einsetzen, empfehlen wir ein Update – bereits ohne weitere Anpassungen profitieren Sie dadurch von einer stabileren und effizienteren Verarbeitung des Netzwerkverkehrs.

  2. Shield-Whitelistregeln einsetzen Über Shield-Whitelistregeln lassen sich gezielt Ports vom IDS ausnehmen. Diese Regeln greifen auch dann, wenn Shield auf dem betreffenden System nicht aktiviert ist, in diesem Fall wirken sie ausschließlich auf das IDS und helfen, unnötige Verarbeitungslast zu reduzieren.

  3. Npcap installieren und -use-pcap aktivieren Durch die Installation von Npcap und das Setzen des Flags -use-pcap nutzen Sie ein alternatives Capture-Backend. Auf manchen Systemen kann der Npcap-Treiber für eine bessere Performance im IDS sorgen. Wir empfehlen, Npcap dann einzusetzen, wenn IDS- und Shield-Whitelists noch nicht für ausreichende Performanceverbesserungen sorgen und ein WinDivert-Filterausdruck eine höhere Komplexität darstellen würde.

Weltkarte

Unter dem Menüpunkt Weltkarte finden Sie eine Live -Ansicht der durch das IDS erfassten Events. Behalten Sie alle Angriffe aktuell im Blick und entnehmen Sie der Ansicht Informationen rund um Angriffe auf Ihre IT sowie die eigene Abwehrfähigkeit.

Klicken Sie aus der Ansicht heraus auf das Icon neben einem aktiven Angriff, so haben Sie die Möglichkeit aus der Ansicht heraus ein manuelles Regelwerk zu erstellen und diesen zu blockieren. Das Resultat können Sie nahezu in Echtzeit auf der Map verfolgen.

Klicken Sie auf den Globus, um den Autorotate Modus zu verlassen. Per scrollen über das Mausrad können Sie zusätzlich in der Ansicht hinein oder hinaus zoomen.

PreviousComplianceNextFile Integrity Monitoring

Last updated

Was this helpful?