Intrusion Detection System

Mit einem Intrusion Detection System (IDS) können Sie verdächtige Aktivitäten und potenzielle Sicherheitsvorfälle frühzeitig erkennen. Es hilft Ihnen, unautorisierte Zugriffe oder Angriffsmuster schnell zu identifizieren, sodass Sie gezielt reagieren und Ihre Systeme effektiv schützen können.

Mit dem in den Pulsar-Agent integrierten Intrusion Detection System können Sie einfach ein hostbasiertes Intrusion Detection System implementieren.

Angriffe

Enginsight unterstützt die Erkennung der folgenden Attacken:

• SYN-Flooding

• ARP-Spoofing

• Ping of Death

• Ping-DDoS

• Blacklist IP Database

• DNS-Spoofing

• Port Scan

  • TCP

  • UDP

• Bruteforce

  • SSH

  • MySQL

  • MongoDB

  • HTTP Basic Authentication

  • FTP

  • RDP

  • RPC

  • VNC

  • SMB

• Cross Site Scripting

• HTTP Request Corruption

• HTTP Response Splitting

• HTTP Request Smuggling

• Remote Code Execution

• Path Traversal

• SQL Injection

• SSL/TLS Cipher Enumeration

• SSL/TLS Protocol Scan

• Bot-Aktivität

Zusätzlich unterstützt Enginsight die Erkennung von Angriffen, die in den SNORT Community Rules beschrieben sind. Dabei handelt es sich auch um spezifischere Angriffe (z.B. Attacken auf Microsoft IIS oder Exange Server, Zugriffsversuche auf sensible Daten eines Webservers oder CGI-Angriffe).

IDS konfigurieren

Um das IDS auf Ihren Servern und Clients mit installiertem Pulsar-Agent optimal zu nutzen, brauchen Sie lediglich zwei Einstellungen treffen.

Netzwerkmitschnitt aktivieren

Aktivieren Sie den Netzwerkmittschnitt auf allen Hosts, auf denen das IDS aktiv sein soll. Dies können Sie entweder in den Einstellungen des einzelnen Hosts erledigen oder Sie nutzen die Policies.

IDS Level bestimmen

Die Angriffserkennung und -blockierung kann entweder über den Autopilot oder direkt in den Host-Einstellungen gesteuert werden. Dies ermöglicht eine präzise Anpassung der Sicherheitsmaßnahmen an individuelle Anforderungen und Kritikalitätsstufen.

Im Autopilot können Sie festlegen, ab welcher Kritikalität Angriffe für bestimmte Hosts oder Hostgruppen automatisch blockiert werden. Dabei ist es erforderlich, die Funktion Empfehlungen überschreiben zu aktivieren, damit der Autopilot diese Einstellung aktiv durchsetzen kann.

Alternativ kann die Konfiguration auch individuell pro Host in den Host-Einstellungen vorgenommen werden.

Einstellen der Angriffserkennungslevel

Die Angriffserkennung basiert auf verschiedenen Sicherheitsleveln, die bestimmen, welche Attacken erkannt und blockiert werden:

• Level 0 – Sehr hohe Eingriffsschwelle Maximale Verfügbarkeit, nur wenige Bedrohungen werden blockiert.

• Level 1 – Verfügbarkeit vor Sicherheit Fokus auf Verfügbarkeit, nur die wichtigsten Bedrohungen werden geblockt.

• Level 2 – Ausgewogene Verfügbarkeit und Sicherheit (Empfohlen) Ideale Balance zwischen Sicherheit und Gerätestabilität.

• Level 3 – Sicherheit vor Verfügbarkeit Blockierung auch seltener Angriffe, mit möglichen Einschränkungen in der Verfügbarkeit.

• Level 4 – Maximaler Schutz Höchste Sicherheitsstufe, jedoch mit häufigen Verfügbarkeitsproblemen – nur für spezielle Einsatzzwecke geeignet.

Dashboard

Das Dashboard bietet Ihnen eine Übersicht der wichtigsten Erkenntnisse Ihres IDSs. Sehen Sie auf einen Blick, wie sich die Bedrohungslandschaft bei Ihnen gestaltet.

Netzwerkanomalien

Hier erwartet Sie eine Auflistung aller detektierten Netzwerkanomalien. Suchen Sie über die Freitextsuche gezielt nach Einträgen und nutzen Sie die Ansichtsfunktion, um einen Zeitraum der Betrachtung zu definieren. Klicken Sie auf den Filter neben einem Eintrag, so gelangen Sie zu allen, die Referenz betreffenden, Einträgen.

Zusätzlich finden Sie hinter jedem Eintrag die Option das Risiko zu behandeln oder dieses aktiv zu blockieren.

Blockieren

Sie können direkt aus der Ansicht heraus Angriffe blockieren. Gehen Sie dazu aauf den Button Blockieren neben einem Eintrag. In dem sich nun öffnenden Fenster sehen Sie alle Informationen, passen Sie diese bei Bedarf an, falls das Regelwerk bspw. auch für weitere Hosts gelten soll. Bestätigen Sie Ihre Wahl indem Sie das manuelle Regelwerk hinzufügen.

Whitelist

Mit Whitelists stellen Sie sicher, dass vertrauenswürdige Aktivitäten, IP-Adressen oder Anwendungen nicht fälschlicherweise als Bedrohung erkannt werden. Dadurch reduziert sich die Anzahl von Fehlalarmen, und Sie können sich auf echte Sicherheitsrisiken konzentrieren. So optimieren Sie Ihre Sicherheitsprozesse und sparen wertvolle Zeit bei der Analyse von Warnungen.

Whitelist hinzufügen

Klicken Sie in der Übersicht auf die entsprechende Schaltfläche um einen neuen Whitelist Eintrag hinzuzufügen.

1. Geben Sie eine kurze Beschreibung ein.

2. Geben Sie unter CIDR die zu whitelistende IP-Adresse mit passendem Netzwerkpräfix an.

3. Geben Sie den entsprechenden Angriff an welcher für die IP gewhitelistet werden soll oder nutzen Sie * um alle Angriffe der entsprechenden IP zu whitelisten.

4. Geben Sie weiterhin einen Regex ein, um spezifische Muster in der Nutzlast von Netzwerkpaketen zu definieren, die als sicher eingestuft und daher nicht als Bedrohung erkannt werden sollen.

1. Definieren Sie anschließend zugeordnete Referenzen indem Sie Hosts festlegen und/oder Ihre Konfiguration an Tags knüpfen.

2. Speichern Sie abschließend Ihre Änderungen durch Klick der entsprechenden Schaltfläche.

Weltkarte

Unter dem Menüpunkt Weltkarte finden Sie eine Live -Ansicht der durch das IDS erfassten Events. Behalten Sie alle Angriffe aktuell im Blick und entnehmen Sie der Ansicht Informationen rund um Angriffe auf Ihre IT sowie die eigene Abwehrfähigkeit.

Klicken Sie aus der Ansicht heraus auf das Icon neben einem aktiven Angriff, so haben Sie die Möglichkeit aus der Ansicht heraus ein manuelles Regelwerk zu erstellen und diesen zu blockieren. Das Resultat können Sie nahezu in Echtzeit auf der Map verfolgen.

Klicken Sie auf den Globus, um den Autorotate Modus zu verlassen. Per scrollen über das Mausrad können Sie zusätzlich in der Ansicht hinein oder hinaus zoomen.