# Hostdetails
## Dashboard
Das Host Detail Dashboard bietet eine kompakte Übersicht aller relevanten Informationen zu einem Host und ermöglicht es, den aktuellen Sicherheitsstatus sowie möglichen Handlungsbedarf auf einen Blick zu erkennen.
Die Navigation ist in zwei Bereiche unterteilt: Das vertikale Menü enthält alle Funktionen und Einstellungen, die den Host direkt betreffen, während das horizontale Menü Informationen auflistet, die sich passiv auf den Host beziehen, also Elemente, die auf diesen Host referenzieren.
{% tabs %}
{% tab title="Übersicht" %}
Die wichtigsten Informationen, einschließlich Echtzeitüberwachung und Festplattenstatus, sind zentral im Dashboard zusammengefasst, sodass alle hostbezogenen Daten schnell abrufbar sind.
{% endtab %}
{% tab title="Policies" %}
Sehen Sie auf einen Bick, alle [Policies](https://docs.enginsight.com/docs/bedienung/plattform/host-pulsar-agent/policy-manager), welche auf den gewählten Host referenzieren.
{% endtab %}
{% tab title="Shieldrules" %}
Hier finden Sie eine Übersicht aller, auf den Host zutreffender [Shield-Regeln](https://docs.enginsight.com/docs/bedienung/plattform/shield).
{% endtab %}
{% endtabs %}
## Geräteinformation
Die Ansicht unter Geräteinformationen bietet Ihnen einen detaillierten Einblick in die Hard- und Softwareausstattung Ihrer Systeme. Hier finden Sie alle relevanten Informationen zu Betriebssystem, Firmware, Hardware und Netzwerkschnittstellen auf einen Blick. Diese Übersicht hilft Ihnen, den Zustand Ihrer Geräte besser zu verstehen, potenzielle Sicherheitsrisiken frühzeitig zu erkennen und gezielt Maßnahmen zur Systemhärtung zu ergreifen.
## Issues
Eine Auflistung der ausgelösten Alarme des einzelnen Hosts erhalten Sie hier. Die Issue-Übersicht über alle Assets hinweg erhalten Sie unter [Issues](https://docs.enginsight.com/docs/bedienung/legacy/hosts-agent-pulsar/hostdetails#issues).
Nutzen Sie die ausgebaute Filterfunktion sowie die Freitextsuche, um sich entsprechende Ergebnisse ausgeben zu lassen.
## Einstellungen
Nehmen Sie unter Einstellungen Ihre persönlichen Konfigurationen vor.
{% hint style="info" %}
Um die Einstellungen mehrerer Hosts effektiv zu bearbeiten, können Sie den [Policy Manager](https://docs.enginsight.com/docs/bedienung/plattform/hosts-agent-pulsar/policy-manager) nutzen.
{% endhint %}
**Allgemeine Einstellungen**
1. Vergeben Sie einen Alias und eine Beschreibung, um den Host leichter zuordnen zu können.
2. Nutzen Sie [Tags](https://docs.enginsight.com/docs/bedienung/plattform/tags), um Ihre Hosts zu gruppieren. Sie können Tags z.B. für [Alarme](https://docs.enginsight.com/docs/bedienung/plattform/alarme) und den [Policy Manager](https://docs.enginsight.com/docs/bedienung/plattform/hosts-agent-pulsar/policy-manager) nutzen.
3. Legen Sie anschließend einen technischen und einen fachlichen Verantwortlichen fest.
4. Falls der Host über eine öffentlich erreichbare IP verfügt, erkennt die API bei der Erstellung automatisch den ungefähren Standort und hebt diesen visuell auf einer Karte hervor. Zusätzlich können detaillierte geografische Daten wie Hoster, Land, Stadt, Straße, Gebäude, Etage und Raum erfasst werden, um eine präzisere Standortverwaltung zu ermöglichen. Diese Informationen sind besonders relevant für Compliance-Anforderungen und erleichtern eine standortbasierte Steuerung.
**Core Features**
Entscheiden Sie direkt aus der Ansicht heraus, welche Features Sie für den Host aktivieren möchten, zur Auswahl stehen hier:
* IDS
* IPS
* Advanced Persistent Threats
* File Integrity Monitoring
* Das Erfassen von Logeinträgen als SIEM Kollektor
* Das ausführen Benutzerdefinierte Plugins
**Erweiterte Einstellungen**
Nutzen Sie die erweiterten Einstellungen, um das [IDS](https://docs.enginsight.com/docs/bedienung/plattform/host-pulsar-agent/intrusion-detection-system) auf diesem Host zu aktivieren sowie automatisierte Systemupdates zu erlauben und Einstellungen an dem Tray Icon vorzunehmen.
**Intrusion Detection Level**
Erlauben Sie die Analyse Ihres Netzwerkverkehrs durch das **Enginsight IDS** auf dem Host. Legen Sie unter **IP-Anonymisierung** fest, ob sämtliche IP-Adressen bei der Erkennung anonymisiert werden sollen und bestimmen Sie das **Erkennungslevel des IDS**.
**Automatisierte Systemupdates**
Aktivieren Sie die automatische Installation aller Systemupdates durch **automatisierte Systemupdates**. Beschränken Sie die Updaterate auf **ausschließlich sicherheitsrelevante Updates** oder legen Sie fest, dass **nach dem Update das System neustarten** soll, wenn dies benötigt wird.
Wählen Sie die Option **Automatisierte Systemupdates**, so können Sie im Folgenden Zeiträume für die automatisierte Ausführung festlegen, sowie explizit **Auszuschließende Updates** definieren.
**Sonstiges**
Erlauben Sie die **erweiterte Softwareüberwachung** im täglichen Turnus. Entschieden Sie unter erweiterte Dienstüberwachung, ob sämtliche Dienste in die Überwachung mit aufgenommen werden sollen. Legen Sie fest, ob der Pulsar Agent zugriff auf Logs erhalten darf, indem Sie **Sicherheitsrelevante Ereignisse mitschneiden** aktivieren. Weiterhin können Sie im Folgenden Ressourcen von den Erfassungen ausschließen.
**Tray Icon**
Aktivieren Sie das **Enginsight Tray Icon**, über welches Sie manuell Aktionen ausführen können der legen Sie fest, dass Sie Informationen zur Sicherheitslage in **Benachrichtigungen anzeigen** lassen wollen.
Um Ihre Konfiguration zu sichern, klicken Sie abschließend auf **Änderungen speichern**.
## Monitoring
{% hint style="info" %}
Mit der Exportfunktion können Sie sowohl komplette Ansichten als auch gefilterte Ergebnisse direkt aus der Plattform exportieren. So haben Sie die Flexibilität, genau die Daten zu sichern und weiterzuverarbeiten, die für Ihre Analysen oder Berichte relevant sind.
{% endhint %}
### Metriken
Hier finden Sie die klassischen Monitoring-Kurven über CPU, RAM, SWAP, Netzwerk, Festplattenauslastung und -leistung. Für jeden Host wird automatisch die Festplattenanzahl ermittelt und anschließend für jede Festplatte ein eigenes Diagramm für die Auslastung und Leistung erstellt.
Den Start- und Endzeitpunkt der Metriken können Sie manuell festlegen. Weiterhin erhalten Sie die Möglichkeit die Ansicht mit dem entsprechenden Button zu exportieren, wählen Sie hier zwischen den Ergebnissen Ihrer aktuellen Suche oder ausgewählten Einträgen.
### Custom Metriken
Erstellen Sie unter [Plugins](https://docs.enginsight.com/docs/bedienung/plattform/plugins#plugins-erstellen) neue Custom Metriken, indem Sie diese einem Host zuordnen. Die Ergebnisse für Ihren Host erhalten Sie hier.
### Software
Hier finden Sie eine Übersicht Ihrer installierten Softwares.
Enginsight überprüft die installierte Software standardmäßig alle 60 Minuten. Um das Softwareinventar manuell zu aktualisieren, klicken Sie auf den **Aktualisieren**-Button.
Nutzen Sie die folgenden Alarme, um Ihre Softwares zu überwachen:
* **Neue/entfernte Software**\
Benachrichtigung bei Installation oder Deinstallation von Software.
* **Software ist installiert**\
Benachrichtigung, wenn eine bestimmte Software auf einem Host installiert ist. Über Tags können alle Hosts oder spezifische Gruppen überprüft werden.
* **Software ist nicht installiert**\
Benachrichtigung, wenn eine bestimmte Software nicht auf einem Host installiert ist. Tags ermöglichen die Überprüfung aller Hosts oder spezifischer Gruppen.
### Dienste
Unter Dienste erhalten Sie eine Übersicht über alle laufenden und gestoppten Dienste Ihres Servers oder Clients sowie weitere Details. Sie können die Dienste direkt aus der Plattform mit den jeweiligen Buttons im oberen rechten Bildrand heraus starten, neustarten und stoppen. Auch hier können Sie Listen exportieren und leicht Compliance nachweise schaffen.
{% hint style="info" %}
Ein Dienst/Service ist ein Programm, das beim Start des Computers automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z.B. mit der Installation neuer Software.
{% endhint %}
#### Alarme für Dienste
Es können Alarme für Dienste gesetzt werden, um benachrichtigt zu werden, wenn ein Dienst ausgeführt oder nicht ausgeführt wird. Mit dem Alarm „Systemrelevanter Dienst wird nicht ausgeführt“ lässt sich ein gemeinsamer Alarm für alle systemrelevanten Dienste aktivieren.
{% hint style="info" %}
Sollte ein Dienst Fehlalarme produzieren, können Sie ihn auf die [Ausnahmeliste](https://docs.enginsight.com/docs/bedienung/plattform/hosts-agent-pulsar/hostdetails#ausnahmelisten) setzen, damit er von der Überwachung künftig ignoriert wird.
{% endhint %}
#### Erweiterte Dienstüberwachung
Standardmäßig überwacht der Enginsight Pulsar-Agent nur automatisch gestartete Dienste auf den Hosts, da dies für die allermeisten Fälle ausreichend ist. Wollen Sie alle Dienste mit Enginsight überwachen, aktivieren Sie in den erweiterten Einstellungen des Hosts die Option **Erweiterte Dienstüberwachung**.
### Prozesse
Hier finden Sie eine Auflistung über alle auf Ihrem System laufenden Prozesse inkl. CPU und RAM Auslastung, etwaigen Unterprozessen, dem Benutzernamen und der Prozess ID. Damit ist es auch möglich, Alarme zu erstellen, die bestimmte Prozesse involvieren. Beispielsweise eine Warnung per E-Mail, wenn ein bestimmter Prozess auf Ihrem Host nicht mehr verfügbar ist. Dafür können Sie auch den Quick-Alarm-Button nutzen. Es ist auch möglich, Prozesse direkt aus der Plattform heraus zu schließen (KILL).
### Verbindungen
Unter Verbindungen finden Sie eine Übersicht der geöffneten Ports auf Ihren Servern und Clients. Diese Übersicht ermöglicht es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, wie unerwünschte offene Verbindungen oder Einfallstore für Angriffe.
{% hint style="warning" %}
Generell gilt: Je mehr Ports geöffnet sind, desto anfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende Software potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade bei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt bleiben.
{% endhint %}
Indem Sie eine Verbindung als Systemrelevant kennzeichnen, dokumentieren Sie, dass der offene Port seine Richtigkeit hat. Sie bekommen dann im Menü keine Warnung mehr ausgegeben.
Enginsight detektiert in der Regel automatisch, um welchen Service es sich handelt. Die Information wird genutzt, um mit dem Intrusion Detection System gezielt und ressourcenschonend nach Cyberattacken zu scannen.
Sollte die automatische Erkennung eines Service nicht möglich sein, können Sie den Service manuell nachtragen. So lässt sich die Performance des IDS optimieren.
{% hint style="warning" %}
Bitte beachten Sie, dass das automatische Blockieren über den Autopiloten bei der Verwendung eines Reverse-Proxy nur korrekt funktioniert, wenn auch für den Dienst/die Dienste hinter dem Reverse-Proxy der korrekte Service erkannt oder gewählt wurde. Dies kann insbesondere bei der Verwendung nicht standardmäßiger Ports z.B. für HTTP nötig sein.
{% endhint %}
#### Alarme schalten
Mit dem Alarm **Neuer offener Port** können Sie sich alarmieren lassen, wenn ein neuer Port geöffnet wird. Wir empfehlen den Alarm via Tag auf alle Ihre überwachten Server zu schalten.
{% hint style="info" %}
Sollte ein Service Fehlalarme produzieren, können Sie ihn auf die [Ausnahmeliste](https://docs.enginsight.com/docs/bedienung/plattform/hosts-agent-pulsar/hostdetails#ausnahmelisten) setzen, damit er von der Überwachung künftig ignoriert wird.
{% endhint %}
### Jobs
Hier finden Sie einen Verlauf über alle auf Ihrem Host ausgeführten Skripte. Wenn Sie bspw. selbst ein Skript auf einigen Hosts ausgeführt haben oder der Pulsar Skripte ausgeführt hat, finden Sie hier einen entsprechenden Eintrag. Der Eintrag enthält unter anderem auch eine Logdatei mit der Standardausgabe (stdout) und der Fehlerausgabe (stderr), falls aufgetreten.
## Schwachstellenmanagement
Das Schwachstellenmanagement ist ein leistungsstarkes Tool, das Ihnen hilft, Sicherheitslücken schnell zu erkennen und zu beheben. Es bietet eine detaillierte Übersicht über Vulnerabilitäten, einschließlich des Schweregrads und CVSS-Scores, sodass Sie sofort wissen, welche Lücken kritisch sind.
### Sicherheitslücken
Erhalten Sie eine Übersicht vorliegender Vulnerabilitäten. Am Anfang des Eintrags finden Sie eine Einordnung des Schweregrades. Weiter finden Sie den offiziellen CVSS-Score (Common Vulnerability Scoring System), dev vorliegenden CVE (Common Vulnerable Exposure) sowie, wenn vorhanden einen EPSS Score und zugehörige Software.
Durch Klick auf einen CVE Identifier gelangen Sie in unsere [Schwachstellendatenbank](https://cve.enginsight.com/) auf einen aktuellen Artikel zu der gewählten Vulnerability.
Exportieren Sie die Ergebnisse Ihrer aktuellen Suche oder markieren Sie über die Checkboxen Einträge, welche Sie aus der Plattform exportieren möchten.
**Sicherheitslücken appeasen**
Nutzen Sie die Multiedit Funktion, um mehrere Einträge mit nur einem Klick zu appeasen. Weiterhin können Sie im Overlay auswählen, ob die spezifischen CVEs ausgewählt werden sollen oder aber alle zugehörigen der folgenden Common Plattform Enumeration.
**Ausnahmebehandlung hinzufügen**
1. Markieren Sie eine oder mehrere Sicherheitslücken über die Checkboxen und klicken Sie anschließend auf **Unterdrücken**, im oberen rechten Bildrand. Daraufhin können Sie **Ausnahmebehandlung hinzufügen** wählen. Anschließend öffnet sich das Overlay:
2. Wählen Sie die Kategorie **Unterdrücken**.
3. Geben Sie bei Bedarf ein **Kommentar** ein, welches anschließend an alle ausgewählten und dem Typ entsprechenden Sicherheitslücken angehangen wird.
4. Unter **Scope** ist nun die **Allgemeine Ausnahmebehandlung** per Default gewählt.
5. Bestätigen Sie Ihre Eingabe durch Klick auf **Unterdrücken**.
**Unterdrücken**
1. Markieren Sie einzelne Sicherheitslücken und klicken Sie anschließend auf **Unterdrücken**, im oberen rechten Bildrand. Anschließend öffnet sich das folgende Overlay:
2. Geben Sie bei Bedarf ein **Kommentar** ein, welches anschließend an die gewählten Sicherheitslücken angehangen wird.
3. Wählen Sie die Kategorie **Spezifische CVEs**. Darunter finden Sie alle zuvor ausgewählten CVEs aufgelistet.
4. Bestätigen Sie Ihre Eingabe durch Klick auf **Unterdrücken**.
### Updates
Unter Updates finden Sie eine Auflistung derjenigen Updates, welche sich mit Enginsight einspielen lassen. Wählen Sie die gewünschten Updates aus und patchen Sie Ihre Software, indem Sie auf **Updates Installieren** klicken.
Hierbei liefert jede Update-Aktion eine valide Rückmeldung, die zur Senkung des Risikoscores beiträgt, da das Update ausgelöst wird – unabhängig davon, ob der Host in diesem Moment online oder offline ist.
{% hint style="info" %}
Über neue verfügbare Updates können Sie sich mit dem Alarm **Neue Updates verfügbar** informieren lassen.
{% endhint %}
Mehr Infos zu Updates mit Enginsight finden Sie unter [Update Manager](https://docs.enginsight.com/docs/bedienung/plattform/host-pulsar-agent/schwachstellen-manager).
{% hint style="info" %}
Beachten Sie weiterhin auch die Möglichkeit von AutoUpdates mit Enginsight über den [Policy Manager](https://docs.enginsight.com/docs/bedienung/plattform/policy-manager#automatisches-os-updates) oder aber in den [Host Einstellungen](#einstellungen).
{% endhint %}
### Updateverlauf
Hier erwartet Sie die Liste aller Updateverläufe, egal ob ein Update aussteht, gerade durchgeführt wird oder bereits fertiggestellt wurde. All das sehen Sie in dieser Übersicht.
## Compliance
Der Punkt Compliance fasst Ihnen alle den Host betreffenden automatischen und organisatorischen Systemhärtungen zusammen und bietet Ihnen eine ausführliche Übersicht über den aktuellen Stand Ihres Hosts.
### Automatische Systemhärtung
Die Einträge umfassen Informationen rund um den Schweregrad und den Status Ihrer Checks, sowie betroffene Checklisten und den Risikowert. Nutzen Sie die Freitextsuche, sowie die Filterfunktion, um schnell Einträge aus der Liste ausfindig zu machen.
Um Einträge direkt zu übernehmen wählen Sie einen oder mehrere direkt aus der Liste ein und klicken Sie auf **Übernehmen**, hieraufhin öffnet sich das folgende Fenster, in welchem Ihnen alle ausgewählten Controls aufgelistet werden. Klicken Sie anschließend auf **Übernehmen**, um diese für Ihren Host zu aktivieren.
### Organisatorische Systemhärtung
Hier finden Sie alle den Host betreffenden organisatorischen Systemhärtungen inklusive Schweregrad, den betreffenden Control und den Status Ihrer Checks, sowie Verantwortlichkeiten, Infos über die Auditierung und den Risikowert. Nutzen Sie die Freitextsuche, sowie die Filterfunktion, um schnell Einträge aus der Liste ausfindig zu machen. Eine ausführliche Anleitung wie Sie Checklists und Controls anlegen erhalten Sie [**hier**](https://docs.enginsight.com/docs/bedienung/plattform/compliance#organisatorische-systemhartung).
Um einen oder mehrere Einträge gleichzeitig zu **auditieren**, klicken Sie auf die entsprechende Schaltfläche. Daraufhin öffnet sich das folgende Fenster, in welchem Sie ein **Kommentar** anfügen können sowie **externe Referenzen** hinterlegen können. Darunter finden Sie eine Sammlung aller betroffener Controls. Setzen Sie einen Haken, wenn das **Control erfüllt** wurde und entscheiden Sie, ob dies **für alle betroffenen Hosts übernommen** werden soll.
## Intrusion Detection System
Das Intrusion Detection System (IDS) ist ein unverzichtbares Tool für die Sicherheitsüberwachung, das automatisch Netzwerkanomalien erkennt und sofort Alarm schlägt.
### Netzwerkanomalien
Unter Netzwerkanomalien finden Sie die Analyseergebnisse des Intrusion Detection Systems. Suchen Sie gezielt nach Einträgen indem Sie den gewünschten Zeitraum definieren. Die Freitextsuche ermöglicht es Ihnen außerdem schnell Einträge ausfindig zu machen. Behandeln Sie direkt aus der Ansicht heraus Risiken oder nutzen Sie die Exportfunktion, um Ergebnisse aus der Plattform zu ziehen.
{% hint style="info" %}
Mit dem Alarm **Verdächtiger Netzwerkverkehr** können Sie sich über Angriffsszenarien informieren lassen. Das [dynamische Blocking](https://docs.enginsight.com/docs/bedienung/plattform/shield#dynamisches-blocken) des [Shield](https://docs.enginsight.com/docs/bedienung/plattform/shield) Moduls erlaubt Ihnen Netzwerkattacken zu blockieren.
{% endhint %}
## File Integrity Monitoring
FIM (File Integrity Monitoring) ist eine Sicherheitslösung, die Änderungen an Dateien und Systemkonfigurationen überwacht, um Sie zu unterstützen Manipulationen oder unautorisierte Änderungen zu erkennen. Es hilft Ihnen dabei verdächtige Aktivitäten frühzeitig zu identifizieren und Sicherheitsvorfälle zu verhindern.
{% hint style="danger" %}
Damit FIM auf Ihrem Host Logs erfassen kann ist es unabdingbar, dass Sie die Funktion File Integrity Monitoring unter den Host Einstellungen erlauben, andernfalls bleibt diese Ansicht leer.
{% endhint %}
### Dateioperationen
Hier finden Sie alle, durch File Integrity Monitoring erfassten Logs, die diesen Host betreffen. Ändern Sie den Zeitpunkt Ihrer Betrachtung, um gezielt nach Einträgen zu suchen und nutzen Sie die Übersicht, um stets einen Überblick Ihrer Integrität zu bewahren.
## Advanced Persistent Threats
Advanced Persistent Threats (APTs) sind gezielte, langanhaltende Angriffe, die klassische Sicherheitslösungen oft nicht erkennen. Die hostbasierte Erkennungsansicht ermöglicht Ihnen eine tiefe Analyse direkt am Host und bringt alle verdächtigen Findings an einem Ort zusammen.
### Erkennung
Hier finden Sie eine Auflistung aller Findings auf Ihrem Host rund um Advanced Persistent Threats. Das obere Diagramm gibt Ihnen Aufschlüsse über die Häufung von Findings im zeitlichen Verlauf, während Sie darunter eine Liste aller spezifischen Einträge erhalten.
Weiterhin gelangen Sie durch Klick auf einen Eintrag in die Bedrohungsansicht, wo Sie alle Details zur detektierten Auffälligkeit ausführlich prüfen können.
#### Whitelist hinzufügen
Direkt aus der Ansicht heraus haben Sie die Möglichkeit eine Detektion zu whitelisten. Klicken Sie hierfür auf den entsprechenden Button hinter dem Eintrag, worauf sich ein Fenster öffnet.\
Geben Sie hier **Namen** und eine kurze **Beschreibung** für die Whitelist an, definieren Sie den oder die **zugeordneten Hosts** und fügen Sie anschließend **Dateipfade** hinzu. Speichern Sie Ihre Konfiguration indem Sie die **Whitelist hinzufügen**.
