Enginsight erlaubt mit seinem sehr umfassenden Featureset die Überwachung Ihrer gesamten IT-Infrastruktur. Wir haben es geschafft, die Bedienung trotzdem intuitiv zu halten. Der Start Guide bringt Ihnen den Aufbau unserer Plattform nahe und macht fünf Vorschläge für Ihre ersten Schritte mit Enginsight.

Rundgang

Enginsight ist in acht Module aufgeteilt, die über das linke Sidemenu erreichbar sind: Dashboard, Issues, Hosts, Endpunkte, Observations, Shield, Penetrationstests, Discoveries und Alarme.

Im Folgenden erfahren Sie, welche Aufgaben den Modulen jeweils zukommen. Ausführliche Informationen zum gesamten Funktionsumfang und der Bedienung finden Sie unter Plattform.

Dashboard

Hier erhalten Sie einen ersten Überblick über Ihre überwachten Systeme und deren Sicherheitszustand.

Vom Dashboard aus gelangen Sie zum Asset Operation Center. Es bietet Ihnen eine Live-Übersicht aller mit Enginsight überwachten Assets und Auskunft darüber, ob alles in Ordnung ist. Mit dem Partner Operation Center behalten Sie verschiedenen Organisationen im Blick.

Issues

Unter Issues erhalten Sie eine Auflistung aller ausgelösten Alarme. Die Liste lässt sich filtern, durchsuchen und einzelne Issues als erledigt markieren. Unter 'Wartungszeiträume' können Sie die Zeiträume festlegen, in denen keine Alarme ausgelöst werden.

Hosts

Der Bereich Hosts dreht sich um Ihre Server und Clients, auf denen Sie den Enginsight Pulsar-Agent installiert haben. So können Sie Ihre Server und Clients dauerhaft von innen überwachen.

Führen Sie mit Enginsight einerseits ein klassisches Monitoring durch. Überwachen Sie etwa Metriken, Ihre Software, Prozesse und Ports. Darüber hinaus führt der Pulsar-Agent Sicherheitsanalysen durch.

Als CVE-Scanner untersucht er Ihr Systems auf bekannte Sicherheitslücken. Durch eine Analyse des Netzwerkverkehrs etablieren Sie mit dem Pulsar-Agent zudem ein hostbasiertes Intrusion Detection System. Um Anomalien Ihrer überwachten Metriken vollkommen automatisiert zu erkennen, können Sie das Machine Learning Feature nutzen. Plugins erlauben Ihnen individuelle Skripte auf Ihren Hosts auszuführen, um so die Administration zu automatisieren.

Endpunkte

Die Überwachung Ihrer Webseiten, Webportale oder Domains erledigen Sie im Modul Endpunkte. Dazu nutzen Sie einen Observer, der entweder im Intra- oder Internet platziert ist. Der Observer liefert Ihnen ein Monitoring von Verfügbarkeit und Weiterleitungen sowie umfangreiche Sicherheitsabschätzungen: beispielsweise Ihrer DNS- und SSL/TLS-Konfiguration. Er erstellt außerdem ein Footprinting des Endpunktes und analysiert alle eingesetzten Technologien auf bekannte Sicherheitslücken. Erfahren Sie zudem, welche Standard-Ports für den Observer erreichbar sind.

Observations

Im Modul Observations können Sie Ihre Assets netzwerkbasiert und ohne Agent überwachen. Installieren Sie dazu einfach einen Watchdog im Netzwerk. Zu Verfügung steht Ihnen ein Ping-Monitoring, ein Port-Monitoring sowie die Überwachung via SNMP.

Shield

Ein installierter Pulsar-Agent auf Ihren Servern und Clients ermöglicht es Ihnen, im Shield-Modul mit dynamischen Regelwerken ein hostbasiertes Intrusion Prevention System (IPS) zu etablieren. Manuelle Regelwerke können Sie nutzen um spezifische Regeln für den Netzwerkverkehr zu definieren.

Penetrationstests

Mit dem Modul Penetrationstests können Sie sich in die Rolle eines Hackers begeben und Ihre Systeme einmalig oder regelmäßig einem Security Audit unterziehen. Dazu installieren Sie die Softwarekomponente Hacktor, welche die Attacke ausführt. Legen Sie die Zielsysteme fest, erstellen Sie eine Vorlage und starten Sie Ihren automatisierten Pentest. Die Ergebnisse erhalten Sie in einem übersichtlichen Audit Reports mit eindeutiger Gefahrenabschätzung.

Discoveries

Um alle Assets im Firmennetzwerk zu inventarisieren, können Sie das Modul Discoveries nutzen. Installieren Sie einen Watchdog im Netzwerk und starten Sie mit der permanenten Überwachung. Die Ergebnisse erhalten Sie entweder in Listenform oder in einer interaktiven Asset Map. Nutzen Sie die Resultate der Asset Discovery auch als Grundlage, um die Zielsysteme für einen automatisierten Pentest festzulegen. So können Sie mit nur einem Klick einen Pentest auf Ihre gesamte IT starten.

Alarme

Damit Sie immer sofort informiert sind, sobald in Ihrer IT-Infrastruktur wichtige Events auftreten, legen Sie im Modul Alarme fest, wann Sie auf welche Art benachrichtigt werden möchten. Zum Beispiel wenn eine neue Sicherheitslücke gefunden, neue Software installiert wird oder ein neuer Port erreichbar ist. Sie können über Webhooks andere Dienste via API einbinden, etwa ein Ticketsystem. Plugins erlauben Ihnen automatisierte Ersthandlungen auf Hosts skripten, die beim Auslösen des Alarms ausgeführt werden. Beispielsweise ein Serverneustart oder das Einspielen einer Konfiguration. Seien Sie kreativ!

5 erste Schritte

1. Host erstellen

Fügen Sie als ersten Schritt einen Host hinzu. Unter einem Host verstehen wir bei Enginsight einen Server oder Client, auf dem ein Enginsight Pulsar-Agent installiert ist, um das Asset von Innen zu überwachen. Die Unterscheidung zwischen Server und Client ist dabei lizenztechnischer Natur. Clientlizenzen sind deutlich günstiger, bieten aber vollen Funktionsumfang. Klicken Sie auf Server- bzw. Client Host erstellen, wählen Sie das gewünschte Betriebssystem und folgen Sie den Anweisungen auf der Plattform. Die Installation dauert nur wenige Augenblicke.

2. Endpunkt hinzufügen

Als zweiten Schritt bietet es sich an einen Endpunkt anzulegen. Unter einem Endpunkt verstehen wir Webseiten, Webportale, Domains oder IP-Adresse, die mit unserem Observer von außen überwacht werden. In unserer SaaS-Variante stehen Ihnen zwei vorinstallierte Observer mit den Standorten Frankfurt und Virgina (USA) zu Verfügung. Sie können nach Belieben weitere Observer an eigenen Standorten hinzufügen. Nutzen Sie Enginsight On-Premises ist die Installation eigener Observer obligatorisch. Eine genaue Anleitung erhalten Sie in der Dokumentation.

Um den Endpunkt hinzuzufügen, müssen Sie nichts weiter tun, als auf Endpunkt hinzufügen zu klicken. Geben Sie die Zieladresse und wenn Sie möchten eine Beschreibung ein. Wählen Sie, was überwacht werden und von wo die Überwachung durchgeführt werden soll.

Am besten lassen Sie zum Start alle Checks über Ihre Unternehmenswebseite laufen.

3. Analysen erkunden

Mit einem Host und einen Endpunkt haben Sie schon jede Menge Analyseergebnisse zu entdecken.

Überprüfen Sie etwa, ob auf Ihrem Host Software mit einer bekannten Sicherheitslücke installiert ist. Wählen Sie dazu den Host aus und klicken Sie auf Sicherheitslücken. Um auf dem Host das Intrusion Detection System zu aktivieren, erlauben Sie in den Einstellungen den Netzwerkmitschnitt und wähle das gewünschte Detection Level.

Auch zu Ihrem Endpunkt sollten Sie bereits aussagekräftige Analysen erhalten. Hier können Sie zum Beispiel überprüfen, ob zu den erkannten, eingesetzten Technologien Sicherheitslücken vorliegen. Untersuchen Sie außerdem, ob Ihre SSL/TLS-Konfiguration der Best Practice entspricht und überprüfen Sie, ob kritische Ports für den Observer erreichbar sind.

4. Berichte erstellen

Für Dokumentationszwecke oder zur internen Kommunikation im Unternehmen, können Sie sich die Analyseergebnisse auch als PDF ausgeben lassen. Wählen Sie hierzu den angelegten Endpunkt oder Host aus, klicken Sie auf Berichte und oben rechts auf 'Report erstellen'. Im Anschluss können Sie die PDF herunterladen.

5. Alarme anlegen

Um einen neuen Alarm anzulegen, gehen Sie in das Modul „Alarme“. Sie können nun den bereits angelegten Endpunkt und Host wählen und erste Alarme schalten. Wir empfehlen von Beginn an Tags zu nutzen, um die Alarme auf eine Gruppe von Hosts und Endpunkten zu schalten.

Für Ihren Host empfehlen wir zum Start die folgenden Alarme:

• Neue/Entfernte Software

• Neue Sicherheitslücke (CVSS Score): bspw. mit Grenzwert größer als 7

• Neuer offener Port (bei Servern)

• Verdächtiger Netzwerkverkehr: mit Grenzwert High (wenn Sie den Mitschnitt des Netzwerkverkehrs aktiviert haben)

Für Ihren Endpunkt empfehlen wir:

• Webseite nicht erreichbar

• Neue Sicherheitslücke

• Neuer offener Port

• Datenschutzverstoß (SSL/TLS entspricht nicht den Empfehlungen des BSI)

• Tage bis Zertifikatsablauf

Wie geht es jetzt weiter?

Nachdem Sie die ersten fünf Schritte abgeschlossen haben, können Sie gleich weiter durchstarten, um Ihre gesamte IT-Infrastruktur in die Überwachung mit Enginsight einzubinden.

• Pulsar-Agent auf weiteren ausrollen Servern und Clients ausrollen Erst wenn Sie den Pulsar-Agent großflächig ausgerollt haben, profitieren Sie in vollem Ausmaß von der neuen Übersicht über Ihre IT durch Enginsight.

• Alle Webseiten hinzufügen Fügen Sie alle Webseiten als Endpunkt hinzu, damit künftig kein Ausfall und keine Sicherheitslücke unbemerkt bleibt.

• Asset Discovery durchführen Installieren Sie einen Watchdog in Ihrem Netzwerk und starten Sie mit der permanenten Überwachung, um ein persistentes Inventar zu erhalten. Zur Anleitung!

• Pentest starten Führen Sie einen Pentest auf Ihre gesamte IT durch, indem Sie die Ergebnisse der Asset Discovery zur Grundlage nehmen. Zur Anleitung!

• Intrusion Prevention System aktivieren Aktivieren Sie das Blocking von Cyberattacken direkt auf Ihren Servern und Clients, auf denen Sie den Pulsar-Agent installiert haben. Zur Anleitung!