ENGINSIGHT
WebsiteLoginKostenloser Testzugang
Deutsch
Deutsch
  • Überblick
  • Funktionsumfang
  • Bedienung
    • Plattform Übersicht
    • Start Guide
    • Plattform
      • Dashboards
        • Schwachstellenmanagement
        • Operation Centers
        • Meine Dashboards
        • Konfigurationen
      • Issues
      • Hosts (Pulsar-Agent)
        • Pulsar-Agent
        • Hostdetails
        • Policy Manager
        • Softwareinventar
        • Intrusion Detection System
        • File Integrity Monitoring
        • Systemevents
        • Update Manager
        • Plugins
        • Machine Learning
      • Host (Pulsar-Agent) BETA
        • Pulsar-Agent
        • Hostdetails
        • Softwareinventar
        • Policies
        • Plugins
        • Globale Tags
        • Tag Manager
        • Systemevents
        • Schwachstellen Manager
        • Compliance
        • Intrusion Detection System
        • File Integrity Monitoring
        • Advanced Persistent Threats
      • Endpunkte (Observer)
        • Endpunktdetails
        • Domains
        • Zertifikatsmanager
        • Observer
      • Observations
      • Shield
      • Penetrationstests (Hacktor)
        • Pentest durchführen
        • Audits
        • Audit Definitionen
        • Zielsysteme
        • Auth-Providers
        • Hacktor
        • Custom Scripts
      • Discoveries
      • SIEM
        • Data Lake
        • Cockpits
        • Obfuskatoren
        • Workflows
        • Ereignisse
        • Extraktoren
        • Kollektoren
        • Loggernaut
        • Erweiterte Einstellungen
        • KI-Modelle
      • Alarme
      • Einstellungen
      • Organisationen
      • Tags
      • Searchbar
  • On-Premises
    • Anforderungen
    • Installation
      • Automatische Installation
      • Manuelle Installation
      • Load Balancing
      • SIEM
      • Deinstallation
    • Update
    • Konfiguration
      • HTTPS und Zertifikate
      • Lizenzen und Organisationen
      • Mailserver
      • 2-Faktor-Authentifizierung
      • SSO via Office 365
      • Speicherzeiten
      • White Label
      • NGINX Extraktor
      • Field Level Encryption
      • Loggernaut-Konfigurationen
  • Technische Details
    • Systemanforderungen
      • Pulsar: Betriebssysteme
    • Aktuelle Versionsnummern
    • Pentest Vektoren
    • API
  • Partnerbereich
    • Lizenzen und Organisationen
Powered by GitBook
On this page
  • 0 - ToDo`s nach der onPrem Installation
  • 1 - Erste Hosts installieren und einrichten
  • 2 - Penetrationstests einrichten
  • 3 - Webseitenscan einrichten
  • 4 - Inventarisierung der Netzwerksegmente
  • 5 - Alarme einrichten
  • Fortgeschrittene Themen
  • Weitere Policies definieren
  • Pentest-Vorlagen erweitern
  • Spezifische Observer-Einstellungen
  • Weitere Alarme

Was this helpful?

  1. Bedienung

Start Guide

Folgen Sie unserem Best Practice Guide um Enginsight binnen kürzester Zeit grundlegend zu konfigurieren.

PreviousPlattform ÜbersichtNextPlattform

Last updated 12 days ago

Was this helpful?

Der Ausgangspunkt ist eine frisch installierte On-Premises Instanz oder ein neu angelegter SaaS-Account. Folgen Sie nach der erfolgreichen Installation der onPrem bzw. Account Einrichtung in der SaaS den folgenden Schritten.

0 - ToDo`s nach der onPrem Installation

1 - Erste Hosts installieren und einrichten

Sie Hosts schnell und einfach über die bereitgestellten Skripte unter dem Menüpunkt Hosts.

Es ist möglich den Pulsar-Agent per Windows auszurollen.

Best Practice Empfehlung für die ersten Tags:

Vergeben Sie den Tag IDS und den Tag IPS. Weitere Tags könnten sich aus Ihrer Unternehmensstruktur ergeben, wie etwa Abteilungstags (HR, Controlling, etc.) oder Standorttags.

Best Practice Empfehlung für die ersten zwei Policies:

Erstellen Sie für jedes Feature am besten eine eigene Policy, starten Sie mit einer Policy auf den Tag "Server" und aktivieren Sie die Systemeventüberwachung. Erstellen Sie eine weitere Policy auf den Tag "IDS" und aktivieren Sie die Netzwerküberwachung mit dem IDS Level 2.

2 - Penetrationstests einrichten

Best Practice Empfehlung für zwei Konfigurationsvarianten:

Belassen Sie Hacktor auf der Default Konfiguration für einen schnellen Erstscan und um die Top-Findings aufzuzeigen.

Ändern Sie für einen Tiefenscan die Scanfrequenz auf "Low" und erweitern Sie die Portrange auf: 1-65535. Achtung, je nach Anzahl der zu scannenden IP Adressen kann dieser Scan mehrere Tage in Anspruch nehmen.

Best Practice Empfehlung für Zielsysteme

Geben Sie als Zielsysteme die Subnetzmaske des zu scannenden Netzwerksegments ein, z.B.: 192.168.70.0/24. Legen Sie pro Netzwerksegment ein neues Zielsystem an und benennen Sie dieses nach ihrem Zweck z.B. Managment Netz, Server Netz, Client Netz, etc.

Bedenken Sie das Hacktor die zu scannenden IP Adressen auch erreichen muss. Daher haben Sie die Möglichkeit, mehrere Hacktoren in verschiedenen Netzwerkbereichen zu installieren.

Best Practice Empfehlung für die Erstvorlage:

Legen Sie das zu scannende Zielsystem fest und den Hacktor der den Scan durchführen soll. Sie können ansonsten zunächst den Default belassen.

Excludieren Sie ggf. Drucker, wenn sie bereits wissen, dass diese veraltet sind oder nicht konfiguriert wurden, da es ansonsten zu einem unerwartetet Verhalten kommen kann.

Best Practice Empfehlung:

Sie können über die Vorlagen die wiederkehrende Durchführung ebenfalls nutzen, um einen Test etwa einmalig Nachts zu starten. Dies lohnt sich etwa in produktiven kritischen Umgebung.

3 - Webseitenscan einrichten

Best Practice Empfehlung:

Aktiveren Sie alle Module des Observers.

Best Practice Empfehlung:

Geben Sie als URL etwa: https://yourdomain.com ein. Wählen Sie die passende Region aus und belassen Sie die Scanbereiche im Default.

4 - Inventarisierung der Netzwerksegmente

Best Practice Empfehlung:

Fügen Sie Ihre Netzwerksegmente über die Eingabe der CIRD hinzu und vergeben Sie aussagekräftige Namen wie etwa Servernetz, Managementnetz, etc.

Aktivieren Sie die permanente Überwachung, um mit der Inventarisierung zu beginnen.

5 - Alarme einrichten

Best Practice Empfehlung für die ersten Alarme:

  • Neue Sicherheitslücke ab CVSS Score 7 auf den Tag "Host"

  • Verdächtiger Netzwerkverkehr ab dem Grenzwert "HIGH"

  • Fehlgeschlagene Anmeldeversuche

  • Neuer Admin user angelegt

  • Webseite nicht erreichbar

  • Endpunktbewertung verschlechtert

  • Zertifikatsablauf

Fortgeschrittene Themen

Sobald Sie sich mit Enginsight mehr vertraut gemacht haben, empfehlen wir Ihnen sich den folgenden Themenbereichen zu widmen.

Weitere Policies definieren

Pentest-Vorlagen erweitern

Spezifische Observer-Einstellungen

  • Zusätzlich kann ein Observer explizit dahingehend konfiguriert werden, dass er auch interne Ziele, also Ziele die innerhalb seines privaten Netzbereiches liegen, überwachen darf.

Weitere Alarme

  • Mit dem Alarm "Neue/Entfernte Software" können Sie jegliche Änderungen am Softwarestand eines Hosts überwachen.

  • Nutzen Sie den Alarm "Geblockte Attacken", um direkt über einen erfolgreichen Block alarmiert zu werden.

  • Nutzen Sie die beiden Alarm Szenarien "Neuer offener Port" für Server und Webseiten.

  • Lassen Sie sich bei Webseiten über Änderungen der DNS Einträge alarmieren.

Dieser Guide soll Ihnen einen kurzen und schnellen Einstieg in die Enginsight Plattform ermöglichen. Sie sollten sich nun grundsätzlich zurecht finden und einen guten Überblick über die Leitungsfähigkeit von Enginsight haben.

Hacktor

definieren

Audit erstellen

starten

Über die Vorlagen Seite können Sie jetzt einen Pentest jederzeit auf Basis der Vorlage starten. Zusätzlich lohnt es sich die Tests laufen zu lassen

konfigurieren

Legen Sie die erste an

konfigurieren

Definieren Sie die ersten .

Aktivieren Sie (IPS) für die Hosts auf denen verdächtige Netzwerkaktivitäten blockiert werden sollen. Wir empfehlen auch hier einen entsprechenden Tag zu verwenden. Verwenden Sie danach im Shield Menü den Autopilot, um eine zu erstellen. Hierbei Empfehlen wir das Blocking-Level 2.

Aktivieren Sie die . So wird jegliche Software inventarisiert, auch wenn sie nicht mit einem regulären Installationsprogramm installiert wurde.

Automatisieren Sie . Wir empfehlen vor allem die Security relevanten Updates automatisiert zu installieren.

Aktivieren Sie . Das Pluginsystem ist sehr mächtig und ermöglicht es Ihnen regelmäßig oder auch im Zuge definierter Alarme, selbst definierte Plugins auszuführen.

Nutzen Sie , um etwa das Netzwerk auf veraltete lokale Nutzeraccounts zu testen.

Mit Hilfe der erweitern Sie den Blackbox-Scan zu einem Greybox-Scan. Damit steigt vor allem die Qualität der Ergebnisse des Schwachstellenscans.

Die Königsdisziplin ist die Erstellung von. Dies ist vor allem dann sinnvoll, wenn Sie eine spezifische Anwendung individuell testen möchten.

Ihre Observer können als "" Observer agieren. Auf diese Art und Weise kann ein Observer von mehreren Mandanten verwendet werden.

Im Windows-Umfeld sollten Gruppenrichtlinien Änderungen sowie unerlaubte überwacht werden. Diese Szenarien erfordern zusätzlich eine Konfiguration im Log-Verhalten der Server.

Zielsysteme
Vorlagen
Penetrationstest
erweiterte Softwareüberwachung
Updates
Plugins
Auth-Provider
individuellen Testskripten
Alarme
Einstellungen
Zwei-Faktor-Authentifizierung
Policies
Shield
Observer
dedizierte
automatisiert regelmäßig
eigene Passwortlisten
Teammitglieder
Lizenz-Informationen
Installieren
Gruppenrichtlinie
Tags
Konfigurieren
Watchdog
Webseite
Dynamische Regel
Objektzugriffe