Pulsar-Agent
Last updated
Last updated
Der Agent überträgt die Daten über eine verschlüsselte Verbindung zur Enginsight Cloud bzw. On-Premises-Installation. Dabei erfolgt die Verbindung ausschließlich einseitig, ausgehend vom Agent. Eine direkte Kommunikation von der Plattform zum Agent ist ausgeschlossen.
Der Agent muss mit Root-Rechten laufen.
Hier erhalten Sie eine Übersicht über die aktuell unterstützten Betriebssysteme.
In diesem Abschnitt erfahren Sie, wie Sie unseren Pulsar-Agent auf Ihrem System installieren können.
Wie das geht, erklären wir auch in unserem Video: "Deine 5 ersten Schritte":
Um einen neuen Host hinzuzufügen, gehen Sie im Top-Menü auf den Reiter “Hosts”. Entweder installieren Sie einen "Server Host" oder einen "Client Host".
Beachten Sie, dass für Server und Clients unterschiedliche Lizenzen nötig sind.
Anschließend wählen Sie bitte Ihr Betriebssystem aus.
Geben Sie bitte den curl Befehl, den Sie nun sehen, in Ihr Terminal ein. Sie benötigen root Zugriff, um den Client zu installieren.
Sie werden nun aufgefordert unser End User License Agreement (EULA) zu akzeptieren. Dieses Dokument finden Sie hier. Mit dem Download unseres Agents erklären Sie sich mit den Geschäftsbedingungen aus dem EULA einverstanden.
Zum Schluss sollten Sie eine Meldung erhalten, dass der Pulsar-Agent erfolgreich installiert wurde.
Führen Sie das Installationsskript als root aus. Drücken Sie dazu: Windows-Taste + R und geben Sie “cmd” ein. Kopieren Sie sich den angegebenen Befehl und fügen Sie diesen im cmd ein und drücken Sie auf Enter.
Sie werden nun aufgefordert unser End User License Agreement (EULA) zu akzeptieren. Dieses Dokument finden Sie hier. Mit dem Download unseres Agents erklären Sie sich mit den Geschäftsbedingungen aus dem EULA einverstanden.
Zum Schluss sollten Sie eine Meldung erhalten, dass der Pulsar-Agent erfolgreich installiert wurde.
Das Enginsight nun korrekt mit Ihrem Gerät kommuniziert, erkennen Sie an folgendem Bildschirm innerhalb der Plattform:
Hier können Sie nun einen technischen und fachlichen Verantwortlichen bestimmen und Tags für den Host vergeben.
Sie können den Pulsar-Agent mit Hilfe eines Startskripts auf mehreren Rechnern einer Domäne ausrollen. Um die Installation per Gruppenrichtlinie einzurichten, erstellen Sie ein Skript, das bei jedem Systemstart überprüft, ob der Agent installiert ist, und falls nicht die Installation ausführt.
1. Kopieren Sie sich das automatische Installationsskript für Windows mit ihrem individuellen Identifier und AccessKey in die Zwischenablage. Verzichten Sie dabei auf die oberste Zeile powershell:
Gehen Sie dazu in der Enginsight Plattform auf Hosts → Server Host erstellen bzw. Client Host erstellen, wählen das Betriebssystem "Windows Server 2008+, Windows 7+" und den Reiter "Automatische Installation".
2. Fügen Sie das kopierte Skript an der markierten Stelle in diese Vorlage ein:
Erstellen Sie für Server- und Clientlizenzen jeweils ein eigenes Skript.
Ihr fertiges Skript mit Ihrem individuellen Identifier und AccessKey (bei On-Premises mit angepasster API) sieht folgendermaßen aus:
3. Speichern Sie das fertige Skript als PowerShell-Skriptdatei mit der Endung .ps1.
4. Öffnen Sie den Gruppenrichtlinien-Editor: gpedit.msc
5. Navigieren Sie für die entsprechende Domäne zu Computerkonfiguration → Windows-Einstellungen → Skripts (Start/Herunterfahren) → Starten.
6. Klicken Sie im Reiter "Skripts" auf "Hinzufügen".
7. Geben Sie als Skriptname powershell.exe ein.
8. Für Skriptparameter nutzen Sie die folgende Vorlage:
Ersetzen Sie den <netzwerkpfad> und die {guid} durch Ihre individuellen Parameter.
Achten Sie darauf, dass der Speicherort des Skripts für alle Rechner in der Domäne zugänglich ist und alle Rechner die Berechtigung besitzen, das Skript auszuführen.
Die hier beschriebenen Schritte gelten für flüchtige virtuelle Desktops (keine persistenten Änderungen am System, ggf. dynamisch auf unterschiedlichen physischen Hosts provisioniert) basierend auf einem Master-Image, deren Nutzerdaten mittels Roaming-Profilen auf einem Netzlaufwerk bereitgestellt werden. Sollten Sie ein abweichendes Setup nutzen, beachten Sie bitte die Hinweise am Ende dieses Abschnitts.
1. Starten Sie Ihr Master Image System.
2. Installieren Sie einen Pulsar-Agent über die Enginsight Plattform: Hosts → Client Host erstellen → Betriebssystem "Windows Server 2008+, Windows 7+" wählen → Skript ausführen (Windows-Taste + R + “cmd”).
3. Öffnen Sie die Konfigurationsdatei des Pulsar-Agent unter folgendem Pfad:
4. Entfernen Sie den _id-Wert und passen Sie die Parameter "environment": "vdi" und "license": "client" an.
Ihre Konfigurations-Datei sieht nun in etwa folgendermaßen aus:
5. Speichern Sie die Konfigurationsdatei ab.
6. Löschen Sie den Host aus der Plattform.
7. Speichern Sie das Master Image ab.
Bei einem erstmaligen Start fügen sich die Benutzer der VDI automatisch als Host hinzu. Die Hosts sind nach den Accountnamen benannt.
Achten Sie darauf ausreichend Client-Lizenzen für alle überwachten virtuellen Desktops zu buchen.
Beachten Sie außerdem, dass der Pulsar im VDI-Betriebsmodus die Config in C:\Users<username>\AppData\Roaming\Enginsight\Pulsar\config.json speichert. So lange das Verzeichnis mit dem Nutzer mitwandert sollten Sie darauf achten, dass es für jeden Benutzer ein Agent gibt.
Zum automatischen Ausrollen von Agents auf mehreren VMs, die von einem Master-Image abstammen, aber der obigen Beschreibung der unterstützten VDI-Infrastruktur nicht entsprechen (z.B. bei fixen VMs pro Nutzer) kann folgende Strategie genutzt werden:
Der Pulsar muss zunächst einmalig im Master-Image installiert werden. Das hierfür genutzte Setup-Skript sollte gespeichert werden, da die dort enthaltenen Parameter für die weiteren Schritte wiederverwendet werden.
Die Dienste "Enginsight Pulsar" und "Enginsight Supervisor" sollten nach erfolgter Installation im Master-Image beendet und deren Starttyp auf "Manuell" gesetzt werden.
Auf dem Master-Image kann nun für jede VM ein neuer Host und eine eigene Konfiguration angelegt werden, indem die bestehende Konfiguration umbenannt und mittels folgendem Aufruf im Programmverzeichnis eine neue erzeugt wird:
Die Platzhalter (...) sind hierbei durch die Werte aus dem eingangs gespeicherten Setup-Skript zu ersetzen. Die Parameter -proxy, -noProxy und -tags können bei Bedarf eingesetzt werden. Mit jedem dieser Aufrufe wird ein neuer Host in der Plattform angelegt und die entsprechende Konfiguration im Programmverzeichnis als config.json gespeichert. Durch Erstellung eines Skripts kann dieser Prozess daher für eine beliebige Anzahl von VMs automatisiert werden. Achten Sie darauf, die Dienste danach wieder zu starten und den Starttyp der Dienste in allen VMs wieder auf "automatisch" zu stellen.
Falls im Unternehmen ein Proxy zum Einsatz kommt, muss dieser angegeben werden. Während der interaktiven Installation wird Enginsight versuchen, den verwendeten Proxy zu erkennen und Sie fragen, ob dieser verwendet werden soll.
Alternativ kann der Proxy auch im Installationsskript direkt angegeben und optional URLs ausgeschlossen werden. Dazu die folgenden Parameter verwenden:
proxy: URL des Proxys, über den die Verbindungen geleitet werden sollen
noProxy: URL(s), für die der Proxy nicht genutzt werden soll
Folgend zwei Beispiele für die interaktive Installation des Pulsar-Agent mit proxy und optionalem noProxy Parameter.
Für die automatische Installation muss der Proxy Parameter bei Bedarf dem Installationsskript mitgegeben werden. Ansonsten versucht Enginsight, den Proxy automatisch zu ermitteln.
Möchten Sie nachträglich die Proxy Parameter des Pulsar-Agent ändern, können Sie dies über die config.json erledigen. Diese finden Sie hier:
Windows: C:\Program Files\Enginsight\Pulsar\config.json
Linux: opt/enginsight/pulsar
Sie können gewünschte Tags gleich bei der Installation mitgeben. Fügen Sie dazu den Parameter tags dem Installationsskript hinzu. Sie können Tags auch jederzeit über die Benutzeroberfläche hinzufügen und anpassen.
Tags sind in der Enginsight-Plattform sehr wichtig und steigern die Effektivität enorm. Sie können mit Tags beispielsweise Alarme gruppieren oder im Policy Manager Einstellungen für mehrere Hosts vornehmen.
Der Enginsight Pulsar-Agent wird von uns laufend aktualisiert. Damit alle (neuen) Funktionen wie gewünscht funktionieren, ist es nötig, dass Sie den Agent stets auf dem aktuellen Stand halten.
In der Host-Übersicht erhalten Sie eine Warnung, sollte der Pulsar-Agent nicht der aktuellen Version entsprechen.
Um den Agent zu aktualisieren haben Sie zwei Möglichkeiten:
Sie können den Agent auf einem einzelnen Host aktualisieren. Klicken Sie dazu den Host an und klicken Sie auf "Agent aktualisieren".
Wollen Sie den Agent auf allen Hosts gleichzeitig auf den aktuellen Stand bringen, klicken Sie in der Hostübersicht auf "Agents aktualisieren". Sie erhalten eine Auflistung, auf welchen Hosts nicht die neuste Version läuft. Klicken Sie auf "Aktualisieren", um die neuste Version des Agents auf allen Hosts auszurollen.
Falls Sie den Agent von einem Ihrer Hosts deinstallieren wollen, können Sie das ganz bequem innerhalb der Enginsight Plattform erledigen. Gehen Sie zunächst auf die Hostübersicht, indem Sie in der Navigationsbar auf Hosts drücken. Suchen Sie den gewünschten Host und klicken Sie erst auf die 3 Punkte innerhalb der Übersichtskachel und dann auf löschen.
Danach müssen Sie die Löschung nochmals bestätigen.
Beachten Sie, dass damit alle Daten des Hosts unwiederbringlich gelöscht werden.
Sollte die normale Deinstallation nicht möglich sein, können Sie den Agent auch manuell direkt auf dem Host deinstallieren.
Öffnen Sie eine PowerShell als Administrator.
Führen Sie das Deinstallationsskript wie folgt aus, um den Pulsar-Agent manuell zu deinstallieren:
Löschen Sie den Host über den gewöhnlichen Weg, um ihn aus der Enginsight Plattform zu entfernen.
Linux
Führen Sie das Deinstallationsskript als root (z.B. via sudo) aus, um den Pulsar-Agent manuell zu deinstallieren:
Löschen Sie den Host über den gewöhnlichen Weg, um ihn aus der Enginsight Plattform zu entfernen.
Sie können die Ausführung von Plugins in der lokalen Konfigurationsdatei des Pulsar-Agents grundsätzlich deaktivieren, sodass Sie sich über die UI der Enginsight Applikation nicht mehr aktivieren lässt.
Seien Sie vorsichtig mit dieser Einstellung. Wir empfehlen ein solches Vorgehen nur in seltenen Ausnahmefällen.
Linux
Öffnen Sie die Konfigurationsdatei des Pulsar-Agents.
2. Fügen Sie die Überschreibung der Plugin-Konfiguration hinzu, sofern die Konfiguration noch nicht angelegt ist. (Ob die Funktion bereits vorhanden ist, hängt davon ab, wann Sie den Pulsar-Agent installiert haben.)
Sollte die Override-Option bereits existieren, setzen Sie einfach den Parameter auf true.
Achten Sie darauf, dass Sie hinter die geschweiften Klammer, welche die API-Konfiguration umschließt, ein Komma hinzufügen. Sonst wird die Override-Konfiguration ignoriert.
3. Starten Sie den Pulsar-Agent neu.
Windows
Öffnen Sie die Konfigurationsdatei des Pulsar-Agents.
2. Fügen Sie die Überschreibung der Plugin-Konfiguration hinzu, sofern die Konfiguration noch nicht angelegt ist. (Ob die Funktion bereits vorhanden ist, hängt davon ab, wann Sie den Pulsar-Agent installiert haben.)
Sollte die Override-Option bereits existieren, setzen Sie einfach den Parameter auf true.
Achten Sie darauf, dass Sie hinter die geschweiften Klammer, welche die API-Konfiguration umschließt, ein Komma hinzufügen. Sonst wird die Override-Konfiguration ignoriert.
3. Starten Sie den Pulsar-Agent neu.
Windows-Taste + R → services.msc → Enginsight Pulsar → Rechtsklick → Alle Aufgaben → Neustart
In der Pulsar-Konfigurationsdatei (pulsar-config.json) finden sich Parameter, die für eine Vielzahl von Komponenten gelten. Diese Komponenten umfassen:
SIEM
Defence: Aktionen, Zustand und Scans
Systemevents
Shield-Aktionen
IDS-Angriffe
Beachten Sie dringend, dass die Parameter in der API-Konfiguration, sofern gesetzt, die entsprechenden Parameter in der Pulsar-Konfiguration nur für SIEM überschreiben.
Öffnen Sie die Konfigurationsdatei des Pulsar-Agents.
Fügen Sie an der entsprechenden Stelle den folgenden Abschnitt hinzu:
3. Starten Sie den Pulsar-Agent neu.
Öffnen Sie die Konfigurationsdatei des Pulsar-Agents.
Fügen Sie an der entsprechenden Stelle den folgenden Abschnitt hinzu:
3. Starten Sie den Pulsar-Agent neu.
Windows-Taste + R → services.msc → Enginsight Pulsar → Rechtsklick → Alle Aufgaben → Neustart
Im Beispiel sehen Sie die von uns genutzten Standardwerte, welche aktiv sind, wenn keine manuellen Anpassungen in dieser Konfiguration vorgenommen werden:
"coldStorageThreshold"
ist die Größe in Bytes, die vom Transaktionslog auf der Festplatte überschritten werden muss, bevor es archiviert (komprimiert) wird. (Standard: 1 GB)
"deletionThreshold"
ist die Gesamtgröße aller archivierten Logs in Bytes, bei deren Überschreitung die älteste Archivdatei gelöscht wird. (Standard: 10 GB)
"deletionAge"
gibt das Maximalalter des ältesten Archivs an. Der Wert kann wie im Beispiel als String angegeben werden. Gültige Zeiteinheiten sind "ns", "us" (oder "µs"), "ms", "s", "m", "h". Alternativ ist die Angabe als Zahl (ohne Anführungszeichen) in Nanosekunden möglich. (Standard: 7 Tage)
