WebsiteLoginKostenloser Testzugang

Intrusion Detection System

Mit dem in den Pulsar-Agent integrierten Intrusion Detection System können Sie einfach ein hostbasiertes Intrusion Detection System implementieren.

Angriffe

Enginsight unterstützt die Erkennung der folgenden Attacken:

  • SYN-Flooding

  • ARP-Spoofing

  • Ping of Death

  • Ping-DDoS

  • Blacklist IP Database

  • DNS-Spoofing

  • Port Scan

    • TCP

    • UDP

  • Bruteforce

    • SSH

    • MySQL

    • MongoDB

    • HTTP Basic Authentication

    • FTP

    • RDP

    • RPC

    • VNC

    • SMB

  • Cross Site Scripting

  • HTTP Request Corruption

  • HTTP Response Splitting

  • HTTP Request Smuggling

  • Remote Code Execution

  • Path Traversal

  • SQL Injection

  • SSL/TLS Cipher Enumeration

  • SSL/TLS Protocol Scan

  • Bot-Aktivität

Zusätzlich unterstützt Enginsight die Erkennung von Angriffen, die in den SNORT Community Rules beschrieben sind. Dabei handelt es sich auch um spezifischere Angriffe (z.B. Attacken auf Microsoft IIS oder Exange Server, Zugriffsversuche auf sensible Daten eines Webservers oder CGI-Angriffe).

Die verwendeten SNORT Community Rules fallen unter die GPL Lizenz

IDS konfigurieren

Um das IDS auf Ihren Servern und Clients mit installiertem Pulsar-Agent optimal zu nutzen, brauchen Sie lediglich zwei Einstellungen treffen.

Netzwerkmitschnitt aktivieren

Aktivieren Sie den Netzwerkmittschnitt auf allen Hosts, auf denen das IDS aktiv sein soll. Dies können Sie entweder in den Einstellungen des einzelnen Hosts erledigen oder Sie nutzen den Policy Manager.

Detection Level wählen

Alle Regeln zur Erkennung von Cyberattacken haben wir nach Performance Impact sortiert. So können Sie für jeden Host die entsprechende Abwägung zwischen Performance und Sicherheit treffen.

Sie haben die Wahl zwischen fünf Leveln:

  • Level 0: Maximale Performance Zugunsten einer maximalen Geräteperformance wird die Erkennungsrate deutlich beschnitten.

  • Level 1: Performance vor Sicherheit Die wichtigsten Bedrohungen werden erkannt, wobei der Fokus auf einer guten Geräteperformance liegt. Wir empfehlen dieses Level für Clients und für unter hoher Last stehende Server.

  • Level 2: Ausgewogene Performance und Sicherheit Das Level bietet eine Balance zwischen der Erkennung von komplexeren Bedrohungen und der Geräteperformance. Wir empfehlen dieses Level für normal ausgelastete Server.

  • Level 3: Sicherheit vor Performance Auch seltene und spezifische Angriffe werden erkannt, Einschränkungen in der Geräteperformance sind aber möglich. Diese Einstellung ist für besonders schützenswerte Geräte oder Netzwerksegmente vorgesehen.

  • Level 4: Maximaler Schutz Diese Einstellung bietet die maximale Erkennung von Bedrohungen, kann aber die Geräteperformance wesentlich beeinträchtigen. Daher ist sie nur in Einzelfällen oder für den temporären Einsatz empfehlenswert.

Sie können das gewünschte Level in den Einstellungen des einzelnen Hosts wählen. Es empfiehlt sich jedoch den Policy Manager zu nutzen.

Kategorisieren Sie Ihre Hosts zum Beispiel mit Tags zu Risikolevel und Leistungsreserven und legen Sie anschließend die entsprechenden Policies an.

Netzwerkanomalien

Unter Netzwerkanomalien finden Sie die Analyseergebnisse des Intrusion Detection Systems. Mit der Searchbar können Sie sich die Ergebnisse nach Host, Kategorie, Kontinent und Risikolevel filtern. Sie können die Auswahl auch auf einen bestimmten Zeitraum einschränken.

Mit dem Alarm "Verdächtiger Netzwerkverkehr" können Sie sich über Angriffsszenarien informieren lassen. Das dynamische Blocking des Shield Moduls erlaubt Ihnen Netzwerkattacken zu blockieren.

Stage

Hackerattacken laufen meist nach einem ähnlichen Muster ab und durchlaufen mehrere Stufen (Stages). Nach dem Sammeln von möglichst vielen Informationen versucht der Hacker sich Zugriff zu verschaffen, ihn zu behalten und sich im Netzwerk auszubreiten. Basierend auf dem detektierten Verhalten im Netzwerk, geben wir an, auf welcher Stufe der Angreifer sich bereits befindet, nämlich:

  • Information Gathering: Sammeln von grundlegenden Informationen über die IT-Systeme.

  • Service Scanning: Gezieltes Suchen nach möglicherweise anfälligen Services.

  • Gaining Access: Versuche, Zugriff auf bestimmte Services zu erlangen.

  • Persisting Access: Erlangen eines dauerhaften Zugriffs auf die Systeme.

  • Infiltrating Network: Ausbreiten der Attacke auf weitere Systeme im Netzwerk.

Detailansicht

Indem Sie eine Attacke anklicken, gelangen Sie zu einer Detailansicht, die Ihnen weitergehende Informationen zum stattgefundenen Angriff liefert. In einem Profil des Angreifers erfährst Sie,

  • welche Stufe (Stage) der Angreifer schon erlangt hat.

  • welche Hosts er angegriffen hat.

  • welche Angriffsmuster er angewendet hat (in deiner und anderen Organisationen).

  • ggf. seinen Hostname.

  • von wo der Angriff stattgefunden hat.

In einer Verlaufsübersicht können Sie den Ablauf der Attacken nachvollziehen und eine Visualisierung verdeutlicht Ihnen den zeitlichen Verlauf. Die weiterführenden Details zu den einzelnen Events können Sie mittels Searchbar durchsuchen und filtern.

Whitelist

Mit der Whitelist können Sie das IDS mit Blick auf Ihre spezifische IT-Infrastruktur zu optimieren. Überprüfen Sie dazu alle Einträge, die Sie unter Netzwerkanomalien aufgelistet bekommen und entscheiden Sie, ob Sie das Risiko akzeptieren möchten. Das heißt, Sie legen fest, dass es sich um keine Cyberattacke oder keine ernst zu nehmende Bedrohung handelt.

Whitelisteintrag hinzufügen

Um einen Whitelisteintrag hinzuzufügen, haben Sie zwei Möglichkeiten:

  1. Navigieren Sie zu Host → Whitelist und klicken Sie Whitelisteintrag hinzufügen. Sie starten mit einer leeren Eingabemaske.

  2. Um passgenaue Einträge für detektierte Attacken hinzuzufügen, können Sie unter Host → Netzwerkanomalien bei einem Eintrag auf "Risiko behandeln" klicken. Dann ist die Eingabemaske bereits mit den Daten des detektierten Angriffs vorausgefüllt. Sie können jedoch noch Anpassungen vornehmen, bspw. in der Angriffs- oder Host-Zuordnung.

So legen Sie den einzelnen Eintrag an:

  1. Vergeben Sie eine aussagekräftige Beschreibung für die Whitelist.

  2. Geben Sie die IP-Adresse(n), die Sie ignorieren lassen in der CIDR-Schreibweise an. So lässt sich sehr effizient das Subnetz definieren, für das die Ausnahmeregel gelten soll. Wollen Sie lediglich eine IP-Adresse zuordnen, wählen Sie die Präfixlänge /32 für IPv4-Adressen bzw. /128 für IPv6-Adressen.

  3. Definieren Sie den Angriff. Dabei besteht die Möglichkeit mit Wildcards (*) zurückzugreifen, zum Beispiel: server-webapp* , bruteforce* oder *rdp*.

  4. Um die Ausnahmeregel genauer zu spezifizieren, nutzen Sie das Feld "Erweiterter Filter". Hier können Sie mit den detektierten Details des IDS arbeiten. So können Sie beispielsweise den Whitelist-Eintrag auf einen speziellen Dienst beschränken. Dabei besteht die Möglichkeit mit Wildcards (*) zurückzugreifen, zum Beispiel: chrom* oder example.com*.

Wenn ein Wert im Feld "Erweiterter Filter" eingetragen ist, gilt die Whitelist nur für Angriffe, die auch ein Payload aufweisen, also nicht für Angriffe wie Portscans oder Bruteforces. Möchten Sie mehrere oder alle Angriffe inklusive solcher ohne Payload whitelisten, dann lassen Sie das Feld "Erweiterter Filter" leer.

  1. Legen Sie fest, für welche Hosts der Whitlisteintrag gelten soll. Wählen Sie entweder einzelne Hosts ("Ausschließlich") oder nutzen Tags.

  2. Speichern Sie die Änderungen.

Haben Sie auf Ihren Hosts auch das dynamische Blocken des Shield-Moduls aktiv, gelten die erstellten Whitelist-Einträge auch für Ihr Intrusion Prevention System. Schließlich lassen sich nicht detektierte Netzwerkattacken auch nicht mehr blocken. Nutzen Sie Shield, steht Ihnen mit manuellen Regelwerken außerdem eine zweite Möglichkeit zu Verfügung, Ausnahmen hinzuzufügen. Während IDS-Whitelists sich auf Angriffstypen beziehen, lassen sich mit manuellen Regelwerken IP-Adressen oder ganze Subnetze komplett ignorieren.

Mehr zum Thema Intrusion Detection and Prevention mit Enginisght finden Sie hier.

IDS gezielt entlasten durch Port- und Subnetz-Filterung

In Netzwerken mit hohem Datenverkehr über einzelne Ports kann ein aktiviertes IDS zu Performanceproblemen führen. Um solche Lastspitzen zu vermeiden, lässt sich der zu überwachende Traffic gezielt eingrenzen. Dies geht durch den Ausschluss bestimmter Ports und/oder durch die Einschränkung auf ausgewählte IP-Bereiche.

Ab Pulsar-Version 6.4.17 steht Ihnen hierfür das Flag -windivert-filter zur Verfügung. Es ermöglicht die Definition individueller Filterregeln in der WinDivert-Syntax, mit denen sich der IDS-Datenstrom bedarfsgerecht steuern lässt.

Gezielte Port-Filterung

Um das IDS von datenintensiven Ports zu entlasten, können diese explizit ausgeschlossen werden. Dies ist insbesondere dann sinnvoll, wenn z. B. Backup-Systeme, Update-Server oder Management-Tools regelmäßig große Datenmengen übertragen.

  1. Dienste beenden Stoppen Sie vor der Konfiguration den Pulsar und Supervisor-Dienst.

  2. Filterregel einrichten Die Konfiguration erfolgt über sc.exe in CMD oder PowerShell. Dabei wird die binpath-Konfiguration des Pulsar-Dienstes geändert, um den gewünschten Filter zu setzen. Beispiel: Ausschluss der WSUS-Ports 5380 und 5381 sc.exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'localPort != 5380 and localPort != 5381'" Beispiel: Ausschluss des Subnetzes 10.0.0.0/24 sc.exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'remoteAddr <= 10.0.0.0 or remoteAddr > 10.0.0.255'"

Der gesamte Filterausdruck muss in einfache Anführungszeichen gesetzt werden. Andernfalls wird nur das erste Wort interpretiert, was zu fehlerhaftem Verhalten führt.

  1. Dienste neustarten Starten Sie Pulsar neu nachdem Sie die Konfiguration entsprechend angepasst haben.

Weitere Maßnahmen zur Entlastung Ihres IDS

Zusätzlich zur gezielten Filterung von Ports und IP-Bereichen stehen Ihnen weitere Möglichkeiten zur Verfügung, um die Performance Ihres IDS zu verbessern:

  1. Pulsar auf Version 6.4.12 oder höher aktualisieren Ab der Version 6.4.12 wurden umfassende Leistungsverbesserungen für das IDS implementiert. Wenn Sie noch eine ältere Version einsetzen, empfehlen wir ein Update – bereits ohne weitere Anpassungen profitieren Sie dadurch von einer stabileren und effizienteren Verarbeitung des Netzwerkverkehrs.

  2. Shield-Whitelistregeln einsetzen Über Shield-Whitelistregeln lassen sich gezielt Ports vom IDS ausnehmen. Diese Regeln greifen auch dann, wenn Shield auf dem betreffenden System nicht aktiviert ist, in diesem Fall wirken sie ausschließlich auf das IDS und helfen, unnötige Verarbeitungslast zu reduzieren.

  3. Npcap installieren und -use-pcap aktivieren Durch die Installation von Npcap und das Setzen des Flags -use-pcap nutzen Sie ein alternatives Capture-Backend. Auf manchen Systemen kann der Npcap-Treiber für eine bessere Performance im IDS sorgen. Wir empfehlen, Npcap dann einzusetzen, wenn IDS- und Shield-Whitelists noch nicht für ausreichende Performanceverbesserungen sorgen und ein WinDivert-Filterausdruck eine höhere Komplexität darstellen würde.

Weltkarte

Unter dem Menüpunkt Weltkarte finden Sie eine Live -Ansicht der durch das IDS erfassten Events. Eine Auflistung auf der linken Seite zeigt Ihnen aktuelle Angriffe mit Zuordnung der Kritikalität inklusive betroffener IP-Adressen und dem Land, aus welchem der Angriff gestartet wurde.

Auf der rechten Seite finden Sie einen Globus, auf dem Angriffe in Echtzeit visualisiert werden und Sie auf den ersten Blick über die Lokalität gestarteter Angriffe in Kenntnis setzt.

Klicken Sie auf Autorotate, um eine sich drehende Ansicht des Globus zu erhalten oder bewegen Sie diesen, um genauer auf ein Land zu schauen. Per scrollen über das Mausrad können Sie zusätzlich in der Ansicht hinein oder hinaus zoomen.

PreviousSoftwareinventarNextFile Integrity Monitoring

Last updated

Was this helpful?