Hostdetails

Übersicht

Hier erhalten Sie eine Übersicht über die wichtigsten Eckdaten und Analyseergebnisse Ihres Hosts. Unter anderem finden Sie hier konkrete Handlungsempfehlungen und das Rating über Sicherheitslücken, Updates, Netzwerkaktivitäten und Konfigurationen (A++, A+, A, B, C, F).

Über die linke Sidebar gelangen Sie zu den Detailansichten der jeweiligen Analysen.

Issues

Eine Auflistung der ausgelösten Alarme des einzelnen Hosts erhalten Sie hier. Die Issue-Übersicht über alle Assets hinweg erhalten Sie unter Issues.

Geräteinformationen

Hier erhalten Sie Systeminformationen, die das Mainboard bereitstellt. Die Informationen dienen Ihnen zur besseren Identifikation des Hosts, zum Beispiel über die Modell-Bezeichnung oder die Seriennummer des Mainboards.

Metriken

Hier finden Sie die klassischen Monitoring-Kurven über CPU, RAM, SWAP, Netzwerk, Festplattenauslastung und -leistung. Für jeden Host wird automatisch die Festplattenanzahl ermittelt und anschließend für jede Festplatte ein eigenes Diagramm für die Auslastung und Leistung erstellt.

Den Start- und Endzeitpunkt der Metriken können Sie manuell festlegen. Sie lassen sich außerdem in einen Live-Modus schalten.

Zu jeder Metrik erhalten Sie einen Quick-Alarm-Button. Damit können Sie mit nur wenigen Klicks zu jeder Metrik einen Alarm erstellen.

Custom Metriken

In dieser Übersicht sehen Sie alle, von Ihnen angelegten, benutzerdefinierten Metriken.

Mit Hilfe von benutzerdefinierten Metriken können Sie beliebige Daten Ihres Hosts überwachen, die in einem zeitlichen Verlauf darstellbar sind. Das können z.B. Daten aus einer SQL-Datenbank, Backups, Lizenzmetriken einer Software, die Anzahl aktuell eingeloggter Nutzer, die Dauer einzelner Request, Sensordaten, etc. sein. Zu allen benutzerdefinierten Metriken können selbstverständlich Alarme erstellt werden, wenn gewünscht auch via Quick Alarm Button. Sie können auch Start- und Endzeitpunkt der Metriken manuell festlegen.

Um eine benutzerdefinierte Metrik zu erstellen, müssen Sie lediglich ein Plugin anlegen, dass die Daten auf dem entsprechenden Host ausliest. Gehen Sie dazu einfach auf den Punkt Plugins unter Hosts. Beim Erstellen des Plugins können Sie bereits eine entsprechende Vorlage für eine benutzerdefinierte Metrik auswählen.

Anschließend können Sie für das Plugin direkt einen Cronjob auf dem Host definieren, um die Daten regelmäßig zu erfassen. Mehr zum Thema Plugins, erfahren Sie hier.

Software

Hier finden Sie eine Inventur Ihrer Software mit dem Softwarenamen, der Version und der Quelle der Software. So eine Aufstellung kann z.B. beim Softwarelizenz-Management oder bei der Aufstellung eines Verfahrensverzeichnisses nach DSGVO weiterhelfen.

Sie möchten auch Software inventarisieren, die nicht mit einem regulären Installationsprogramm installiert worden ist? Aktiveren Sie die Erweiterte Softwareüberwachung in den Einstellungen des einzelnen Hosts oder über den Policy Manager.

Normalerweise überprüft Enginsight die installierte Software alle 60 Minuten. Wenn Sie Ihr Softwareinventar manuell auf den aktuellen Stand bringen wollen, klicken Sie einfach auf den "Aktualisieren"-Button.

Sie können folgende Alarme auf Software schalten:

  • Neue/entfernte Software Erhalten Sie eine Benachrichtigung, wenn Software installiert/deinstalliert wird.

  • Software ist installiert Erhalten Sie eine Benachrichtigung, wenn die Software installiert ist. Via Tag können Sie so alle Ihre Hosts oder eine bestimmte Gruppe von Hosts darauf prüfen, ob eine bestimmte Software installiert ist.

  • Software ist nicht installiert Erhalten Sie eine Benachrichtigung, wenn eine Software nicht installiert ist. Via Tag können Sie so alle Ihre Hosts oder eine bestimmte Gruppe von Hosts darauf prüfen, ob eine bestimmte Software nicht installiert ist.

Autostarts

Unter Autostarts erhalten Sie eine Übersicht über Software, die bei einem Systemneustart Ihres Hosts automatisch gestartet wird.

Ein Autostart beeinflusst einerseits die Performance, kann aber auch aus Sicherheitsperspektive kritisch sein. Software, die auf einem Server oder Client läuft, erhöht immer die Angriffsfläche für mögliche Angriffe. Deshalb sollten auch aus sicherheitstechnischer Abwägung heraus, die Zahl der Autostarts auf die nötige Software beschränkt sein. Bei Servern existieren in der Regel fast keine Autostarts. Auch Schadsoftware, bspw. ein Trojaner, möchte bei jedem Reboot neu gestartet werden und kann daher in der Liste auftauchen.

Sie können Autostarts direkt aus unserer Plattform heraus löschen. Klicken Sie dazu auf das Mülleimer-Icon hinter dem Eintrag.

Neue Autostarts, insbesondere bei Servern, sollten immer auf ihre Notwendigkeit und Legitimität geprüft werden. Mit dem Alarm „Neuer Autostart“ können Sie sich daher benachrichtigen lassen, sofern ein Autostart hinzugefügt wird. Schalten Sie am besten den Alarm via Tag auf alle Ihre überwachten Server.

Dienste

Unter Dienste erhalten Sie eine Übersicht über alle laufenden und gestoppten Dienste Ihres Servers oder Clients und deren Starttype. Sie können die Dienste direkt aus der Plattform heraus starten, neustarten und stoppen.

Ein Dienst/Service ist ein Programm, das beim Start des Computers automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z.B. mit der Installation neuer Software.

Nicht jeder Service, der gestoppt wird, ist als problematisch einzustufen. Deshalb können Sie manuell festlegen, welche Services systemrelevant sind. Standardmäßig werden alle Services als systemrelevant angenommen und eine entsprechende Warnung in der Sidebar sowie der Hostübersicht angezeigt, wenn sie gestoppt werden. Wählen Sie jedoch die Option systemrelevant ab, wird keine Warnung mehr ausgegeben, sollte der Service gestoppt worden sein.

Alarme schalten

Auch auf Dienste lassen sich Alarme schalten. Sie können sich benachrichtigen lassen, sofern ein Dienst ausgeführt bzw. nicht ausgeführt wird. Mit dem Alarm „Systemrelevanter Dienst wird nicht ausgeführt“ können Sie einen gemeinsamen Alarm auf alle systemrelevanten Dienste schalten.

Sollte ein Dienst Fehlalarme produzieren, können Sie ihn auf die Ausnahmeliste setzen, damit er von der Überwachung künftig ignoriert wird.

Erweiterte Dienstüberwachung

Standardmäßig überwacht der Enginsight Pulsar-Agent nur automatisch gestartete Dienste auf den Hosts, da dies für die allermeisten Fälle ausreichend ist. Wollen Sie alle Dienste mit Enginsight überwachen, aktivieren Sie in den erweiterten Einstellungen des Hosts die Option „Erweiterte Dienstüberwachung“.

Verbindungen

Unter Verbindungen finden Sie eine Übersicht der geöffneten Ports Ihrer Server und Clients, die den Status Listen besitzen. Diese sollten Sie regelmäßig kontrollieren, um potenzielle Einfallstore für Hacker zu erkennen oder ungewollt offene Verbindungen aufzuspüren. Sie erhalten Informationen zum Status, der lokalen Adresse (LADDR), der Ziel-Adresse (RADDR) und dem Prozessnamen der geöffneten Ports.

Generell gilt: Je mehr Ports geöffnet sind, desto anfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende Software potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade bei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt bleiben.

Indem Sie eine Verbindung als Systemrelevant kennzeichnen, dokumentieren Sie, dass der offene Port seine Richtigkeit hat. Sie bekommen dann im Menü keine Warnung mehr ausgegeben.

Enginsight detektiert in der Regel automatisch, um welchen Service es sich handelt. Die Information wird genutzt, um mit dem Intrusion Detection System gezielt und ressourcenschonend nach Cyberattacken zu scannen.

Sollte die automatische Erkennung eines Service nicht möglich sein, können Sie den Service manuell nachtragen. So lässt sich die Performance des IDS optimieren.

Alarme schalten

Mit dem Alarm "Neuer offener Port" können Sie sich alarmieren lassen, wenn ein neuer Port geöffnet wird. Wir empfehlen den Alarm via Tag auf alle Ihre überwachten Server zu schalten.

Sollte ein Service Fehlalarme produzieren, können Sie ihn auf die Ausnahmeliste setzen, damit er von der Überwachung künftig ignoriert wird.

Prozesse

Hier finden Sie eine Auflistung über alle auf Ihrem System laufenden Prozesse (inkl. Prozess ID), dem Prozessnamen, etwaigen Unterprozessen und dem Benutzer. Damit ist es auch möglich, Alarme zu erstellen, die bestimmte Prozesse involvieren. Beispielsweise eine Warnung per Email, wenn ein bestimmter Prozess auf Ihrem Host nicht mehr verfügbar ist. Dafür können Sie auch den Quick-Alarm-Button nutzen. Es ist auch möglich, Prozesse direkt aus der Plattform heraus zu schließen (KILL).

Konfigurationen

Hier erhalten Sie eine Checkliste über die Konfigurationen ihres Hosts. Falsch gesetzte Konfigurationen können ein Einfallstor für Hacker darstellen. Sie zu überprüfen und zu korrigieren sollte daher einen zentralen Stellenwert in jeder IT-Sicherheits-Strategie einnehmen.

Für folgende Betriebssysteme liefert Enginsight bereits Konfigurationsrichtlinien:

  • Microsoft Windows Server 2008, 2012, 2016, 2019

  • Microsoft Windows 10

  • Chanonical Ubuntu 16

  • Red Hat Enterprise Linux 6, 7

  • SUSE Linux Enterprise Server 12

Zu jeder Konfiguration erhalten Sie eine Beschreibung sowie einen Check- und Fix-Text. Klicken Sie dazu auf "Details zur Konfiguration". Für einige Konfigurationen unterstützt Enginsight eine automatische Umsetzung direkt aus der Plattform, klicken Sie dazu einfach auf "AUTOFIX". Um die Konfiguration manuell zu beheben, klicken Sie auf "MANUELL BEHEBEN", vergeben einen Kommentar und bestätigen Ihren Fix. Eine Übersicht über die gefixten Konfigurationen erhalten Sie unter dem Reiter "Behobene Konfigurationen".

Sie können auch eigene Richtlinien erstellen und diese mit Listen Ihren Hosts zuordnen. Alle Informationen dazu, finden Sie hier.

Sicherheitslücken

Unter Sicherheitslücken finden Sie die Ergebnisse unseres CVE-Scanners (Schwachstellen-Scanners).

Zu jeder Sicherheitslücke erhalten Sie den CVE-Score und die ID der Sicherheitslücke. Zu jeder CVE ist eine Quelle verlinkt, bei der Sie tiefgehende Informationen zur Sicherheitslücke erhalten, zum Beispiel die National Vulnerability Database des National Institute of Standards and Technology (NIST).

Wir geben Ihnen außerdem Hinweise zu Zugriff und Auswirkungen.

Unter Aktionen erhalten Sie eine Hilfestellung, um zur aktuellen Version der von der CVE betroffenen Software zu gelangen. Bei Windows-Systemen ist hier bei Windows spezifischen Sicherheitsupdates das entsprechende Update verlinkt. Sofern ein kumulatives Update vorliegt, können Sie es direkt aus der Plattform installieren. Bei Third-Party Software finden Sie einen Link zum Download der aktuellen Version auf der Herstellerwebseite. Bei Linux-Systemen lassen sich sowohl die systemeigenen Updates als auch Third-Party Software direkt aus der Plattform patchen. Mehr Informationen zur Update-Funktion innerhalb der Enginsight-Plattform, finden Sie hier.

Es kann vorkommen, dass Sicherheitslücken permanent angezeigt werden, obwohl sie keine Relevanz besitzen. Dies ist der Fall, wenn in der Original-Software ein CVE vorliegt, der jedoch in der bestimmten Implementierung nicht zum Tragen kommt und daher vom Hersteller nicht gefixt wird. Hiervon sind insbesondere Linux-Systeme (Ubuntu, Debian) betroffen.

Systemevents

Hier erhalten Sie eine Übersicht über alle detektierten Systemevents des einzelnen Hosts. Das sind beispielsweise fehlgeschlagene bzw. erfolgreiche Login-Versuche.

Weitere Informationen zum Feature Systemevents und der Ihnen zu Verfügung stehenden Übersicht der Events auf allen überwachten Hosts erhalten Sie hier.

Netzwerkanomalien

Unter Netzwerkanomalien finden Sie die Analyseergebnisse des Netzwerkverkehrs des einzelnen Hosts. Nutzen Sie die Searchbar, um die Ergebnisse nach Kategorie, Kontinent und Risikolevel zu filtern. Sie können die Auswahl auch auf einen bestimmten Zeitraum einschränken.

Klicken Sie eine Attacke an, um zur Detailansicht zu gelangen.

Es steht Ihnen auch eine Übersicht über die Analyseergebnisse aller überwachter Hosts zu Verfügung. Alle Information dazu und weitere Erläuterungen zum Feature Netzwerkanomalien finden Sie hier.

Updates

Unter Updates finden Sie eine Auflistung derjenigen Updates, welche sich mit Enginsight einspielen lassen. Wählen Sie die gewünschten Updates aus und patchen Sie Ihre Software, indem Sie auf "Pakete aktualisieren" klicken.

Über neue verfügbare Updates können Sie sich mit dem Alarm "Neue Updates verfügbar" informieren lassen. Nutzen Sie dazu einfach den Quick-Alarm-Button.

Mehr Infos zu Updates mit Enginsight finden Sie hier.

Beachten Sie die Möglichkeit von AutoUpdates mit Enginsight.

Machine Learning

Hier finden Sie die Profile der von Ihnen mit dem Machine Learning-Modul überwachten Metriken.

Hier erfahren Sie, wie Sie die Überwachung einrichten.

Einstellungen

Nehmen Sie unter Einstellungen Ihre persönlichen Konfigurationen vor.

Um die Einstellungen mehrerer Hosts effektiv zu bearbeiten, können Sie den Policy Manager nutzen.

Allgemeine Einstellungen

Vergeben Sie einen Alias und eine Beschreibung, um den Host leichter zuordnen zu können.

Nutzen Sie Tags, um Ihre Hosts zu gruppieren. Sie können Tags z.B. für Alarme und den Policy Manager nutzen.

Verantwortlichkeiten

Vergeben Sie Verantwortlichkeiten. Der technische Verantwortliche erhält eine Benachrichtigung, wenn ein Alarm zum entsprechenden Host ausgelöst wird, wenn die Option "Verantwortliche informieren" aktiv ist. Sie können auch Verantwortlichkeiten für die gesamte Organisation festlegen.

Standort

Für Dokumentationszwecke können Sie den Standort des Hosts definieren (Land, Stadt, Straße, Gebäude, Etage, Raum, Kürzel, Hoster).

Erweiterte Einstellungen

In den erweiterten Einstellungen finden Sie die folgenden Einstellungen:

  • API URL anpassen: Definieren Sie die API URL, an die der Agent seine Ergebnisse schicken soll. Eine Anpassung kann notwendig sein, wenn sich die API URL verändert. Dies kann z.B. bei Konfigurations-Änderungen von On-Premises-Instanzen der Fall sein.

  • Erweiterte Dienstüberwachung: Aktivieren Sie diese Option, um entgegen der Standardeinstellung alle Dienste zu überwachen und nicht nur diejenigen, die automatisch gestartet werden.

  • Erweiterte Softwareüberwachung: Lassen Sie Dateien scannen, um mehr Software zu detektieren. So lässt sich auch jene Software inventarisieren, die nicht mit einem regulären Installationsprogramm installiert ist. Das können beispielsweise in andere Applikationen eingebettet Programme oder Portable Apps sein.

  • Shield: Legen Sie fest, ob das Shield-Modul Netzwerkverkehr einschränken und Verbindungen blocken darf.

  • Benutzerdefinierte Plugins ausführen: Legen Sie fest, ob auf dem Host benutzerdefinierte Plugins ausgeführt werden dürfen.

  • Sicherheitsrelevante Ereignisse mitschneiden: Legen Sie fest, ob der Pulsar Agent Zugriff auf Logs erhalten darf. Aktivieren Sie die Option, um Systemevents zu nutzen.

Nutzen Sie den Policy Manager, um die Einstellungen mehrerer Hosts einfacher zu verwalten.

Ausnahmelisten

Spezifische Software, die auf einem Host zum Einsatz kommt, kann durch ihr Verhalten auf dem System unerwünschte Effekte auslösen oder abweichende Konfigurationen benötigen. Ausnahmelisten helfen Ihnen, die Nebeneffekte auszuschalten, insbesondere Fehlalarme zu reduzieren.

Wildcards helfen Ihnen, um die auszuschließenden Items einfacher zu definieren. Kürzen Sie Ihre Eingaben einfach mit einem * ab, zum Beispiel systemd*.

  • AutoUpdate: Bestimmen Sie Software, die nicht automatisch aktualisiert werden sollen, d.h. von den AutoUpdates ignoriert werden.

  • Dienste: Definieren Sie Dienste, die bei Alarmen und Aktionen nicht berücksichtigt werden sollen. Die Option ist von Bedeutung, sollte ein Dienst beim Alarm "Systemrelevanter Dienst wird nicht ausgeführt" Fehlalarme auslösen.

  • Verbindungen: Bestimmte Software öffnet und schließt permanent neue Ports. Dieses Verhalten führt zu Fehlalarmen, wenn Sie auf dem Host den Alarm "Neuer offener Port" aktiviert haben. Tragen Sie den Prozessnamen in die Ausnahmeliste, um die entsprechende Software auszuschließen. Den Prozessnamen erhalten Sie unter Verbindungen.

  • Festplatten: Um Festplatten aus der Überwachung auszuschließen (d.h. alle Alarme für diese Festplatte zu unterdrücken), tragen Sie hier die Festplatten ein, die ignoriert werden sollen.

AutoUpdate

Aktivieren Sie die automatisierten Systemupdates, damit Enginsight automatisch aktuelle Softwareversionen auf den Host einspielt.

Sie können die automatisierten Updates auf sicherheitsrelevante Updates beschränken. Feature-Updates werden dann nicht automatisch eingespielt.

Mit Hilfe einer Ausnahmeliste können Sie Updates von der automatischen Aktualisierung ausschließen.

Manche Updates benötigen einen Neustart, um die Installation abzuschließen. Wählen Sie die Option "Nach dem Update das System neustarten", um einen automatischen Neustart durch Enginsight zu triggern, nachdem Updates eingespielt wurden, die einen Neustart benötigen.

Seien Sie vorsichtig und prüfen Sie eingehend, ob ein automatischer Neustart ohne negative Folgen auf dem System möglich ist, bevor Sie die Option "Nach dem Update das System neustarten" aktivieren.

Mit einem Cron-Ausdruck legen Sie fest, wann und wie oft die automatisierten Systemupdates durchgeführt werden sollen.

Nutzen Sie den Policy Manager, um die Einstellungen mehrerer Hosts einfacher zu verwalten

Netzwerkmitschnitt

Um das Intrusion Detection System (IDS) von Enginsight zu nutzen, müssen Sie den Netzwerkmitschnitt aktivieren und festlegen, welches Detection Level Sie nutzen möchten.

Hier erfahren Sie mehr zum Netzwerkmitschnitt und der Erkennung von Netzwerkanomalien.

Wenn Sie möchten oder Compliance Vorschriften es verlangen, können Sie die IP-Adressen der Angreifer anonymisieren, die bei der Erkennung ermittelt werden.

Nutzen Sie den Policy Manager, um die Einstellungen mehrerer Hosts einfacher zu verwalten.

Berichte

Die Analyseergebnisse von Enginsight lassen sich auch als PDF-Report ausgeben. Klicken Sie dazu einfach auf Report erstellen und Sie erhalten einen aktuellen Überblick über Ihren Host.

Ein Host-Bericht umfasst:

  • Metriken und Custom Metriken

  • Konfigurationen

  • CVEs / Schwachstellen

  • Netzwerkaktivitäten

  • Updates

Jobs

Hier finden Sie einen Verlauf über alle auf Ihrem Host ausgeführten Skripte. Wenn z. B. der Enginsight Pulsar-Agent auf Ihrem System geupdated wurde oder wenn Sie selbst ein Skript auf einigen Hosts ausgeführt haben, finden Sie hier einen entsprechenden Eintrag. Der Eintrag enthält unter anderem auch eine Logdatei mit der Standardausgabe (stdout) und der Fehlerausgabe (stderr), falls aufgetreten.

Last updated