Start Guide
Folgen Sie unserem Best Practice Guide um Enginsight binnen kürzester Zeit grundlegend zu konfigurieren.
Der Ausgangspunkt ist eine frisch installierte On-Premises Instanz oder ein neu angelegter SaaS-Account. Folgen Sie nach der erfolgreichen Installation der onPrem bzw. Account Einrichtung in der SaaS den folgenden Schritten.
- Ändern Sie die Email Adresse und Passwort des Standard-Users.
Installieren Sie Hosts schnell und einfach über die bereitgestellten Skripte unter dem Menüpunkt Hosts.
- Tags anlagen Tags helfen Ihnen enorm Ihre Assets in Enginsight zu verwalten. Sie richten später auf Basis der Tags Alarme und weitere Funktionsbereiche ein.
Best Practice Empfehlung für die ersten Tags:
Vergeben Sie den Tag IDS und den Tag IPS. Weitere Tags könnten sich aus Ihrer Unternehmensstruktur ergeben, wie etwa Abteilungstags (HR, Controlling, etc.) oder Standorttags.
- Mit Policies können Sie auf Basis der vergebenen Tags, zentral Konfigurationseinstellungen der Hosts managen. So sorgen Sie zusätzlich dafür, dass auch neue Hosts nur noch die passenden Tags bekommen müssen, um mit den korrekten Konfigurationen versorgt zu werden.
Best Practice Empfehlung für die ersten zwei Policies:
Erstellen Sie für jedes Feature am besten eine eigene Policy, starten Sie mit einer Policy auf den Tag "Server" und aktivieren Sie die Systemeventüberwachung.
Erstellen Sie eine weitere Policy auf den Tag "IDS" und aktivieren Sie die Netzwerküberwachung mit dem IDS Level 2.
- Nachdem Sie den ersten Hacktor erfolgreich installiert haben, ist die Konfiguration entscheidend für die Dauer des Scans und die Qualität der Ergebnisse.
Best Practice Empfehlung für zwei Konfigurationsvarianten:
Belassen Sie Hacktor auf der Default Konfiguration für einen schnellen Erstscan und um die Top-Findings aufzuzeigen.
Ändern Sie für einen Tiefenscan die Scanfrequenz auf "Low" und erweitern Sie die Portrange auf: 1-65535. Achtung, je nach Anzahl der zu scannenden IP Adressen kann dieser Scan mehrere Tage in Anspruch nehmen.
- Über die Definition der Zielsysteme legen Sie fest welche IP Adressen, Netzwerksegmente oder URLs auditiert werden sollen.
Best Practice Empfehlung für Zielsysteme
Geben Sie als Zielsysteme die Subnetzmaske des zu scannenden Netzwerksegments ein, z.B.: 192.168.70.0/24. Legen Sie pro Netzwerksegment ein neues Zielsystem an und benennen Sie dieses nach ihrem Zweck z.B. Managment Netz, Server Netz, Client Netz, etc.
Bedenken Sie das Hacktor die zu scannenden IP Adressen auch erreichen muss. Daher haben Sie die Möglichkeit, mehrere Hacktoren in verschiedenen Netzwerkbereichen zu installieren.
- Auf Basis einer Vorlage bestimmen Sie welche Zielsysteme durch welchen Hacktor gescannt werden sollen.
Best Practice Empfehlung für die Erstvorlage:
Legen Sie das zu scannende Zielsystem fest und den Hacktor der den Scan durchführen soll. Sie können ansonsten zunächst den Default belassen.
Excludieren Sie ggf. Drucker, wenn sie bereits wissen, dass diese veraltet sind oder nicht konfiguriert wurden, da es ansonsten zu einem unerwartetet Verhalten kommen kann.
- Über die Vorlagen Seite können Sie jetzt einen Pentest jederzeit auf Basis der Vorlage starten. Zusätzlich lohnt es sich die Tests automatisiert regelmäßig laufen zu lassen
Best Practice Empfehlung:
Sie können über die Vorlagen die wiederkehrende Durchführung ebenfalls nutzen, um einen Test etwa einmalig Nachts zu starten. Dies lohnt sich etwa in produktiven kritischen Umgebung.
- Legen Sie die Observer-Region fest. Die Region sollte den Standort des Observes widerspiegeln, z.B. Wenn der Observer im internen Netzt steht, könnte der Name "intern" lauten.
Best Practice Empfehlung:
Aktiveren Sie alle Module des Observers.
- Achten Sie bei der Eingabe der URL darauf ob Sie die http oder https URL scannen lassen möchten. Im Zweifel sollten Sie die URL immer mit https angeben.
Best Practice Empfehlung:
Geben Sie als URL etwa: https://yourdomain.com ein. Wählen Sie die passende Region aus und belassen Sie die Scanbereiche im Default.
- Nachdem Sie Watchdog installiert haben, können Sie Ihn verwenden um Netzwerksegmente zu Inventarisieren, auf neue Teilnehmer zu Überwachen oder auch um ein Ping, Port oder SNMP Monitoring zu realisieren.
Best Practice Empfehlung:
Fügen Sie Ihre Netzwerksegmente über die Eingabe der CIRD hinzu und vergeben Sie aussagekräftige Namen wie etwa Servernetz, Managementnetz, etc.
Aktivieren Sie die permanente Überwachung, um mit der Inventarisierung zu beginnen.
- Wir empfehlen Alarme möglichst anhand der Tags zu erstellen, da sich so der Konfigurationsaufwand auf ein Minimum reduziert
Best Practice Empfehlung für die ersten Alarme:
- Neue Sicherheitslücke ab CVSS Score 7 auf den Tag "Host"
- Verdächtiger Netzwerkverkehr ab dem Grenzwert "HIGH"
- Fehlgeschlagene Anmeldeversuche
- Neuer Admin user angelegt
- Webseite nicht erreichbar
- Endpunktbewertung verschlechtert
- Zertifikatsablauf
Sobald Sie sich mit Enginsight mehr vertraut gemacht haben, empfehlen wir Ihnen sich den folgenden Themenbereichen zu widmen.
- Aktivieren Sie Shield (IPS) für die Hosts auf denen verdächtige Netzwerkaktivitäten blockiert werden sollen. Wir empfehlen auch hier einen entsprechenden Tag zu verwenden. Verwenden Sie danach im Shield Menü den Autopilot, um eine Dynamische Regel zu erstellen. Hierbei Empfehlen wir das Blocking-Level 2.
- Aktivieren Sie die erweiterte Softwareüberwachung. So wird jegliche Software inventarisiert, auch wenn sie nicht mit einem regulären Installationsprogramm installiert wurde.
- Automatisieren Sie Updates. Wir empfehlen vor allem die Security relevanten Updates automatisiert zu installieren.
- Aktivieren Sie Plugins. Das Pluginsystem ist sehr mächtig und ermöglicht es Ihnen regelmäßig oder auch im Zuge definierter Alarme, selbst definierte Plugins auszuführen.
- Nutzen Sie eigene Passwortlisten, um etwa das Netzwerk auf veraltete lokale Nutzeraccounts zu testen.
- Mit Hilfe der Auth-Provider erweitern Sie den Blackbox-Scan zu einem Greybox-Scan. Damit steigt vor allem die Qualität der Ergebnisse des Schwachstellenscans.
- Die Königsdisziplin ist die Erstellung von individuellen Testskripten. Dies ist vor allem dann sinnvoll, wenn Sie eine spezifische Anwendung individuell testen möchten.
- Ihre Observer können als "dedizierte" Observer agieren. Auf diese Art und Weise kann ein Observer von mehreren Mandanten verwendet werden.
- Zusätzlich kann ein Observer explizit dahingehend konfiguriert werden, dass er auch interne Ziele, also Ziele die innerhalb seines privaten Netzbereiches liegen, überwachen darf.
- Im Windows-Umfeld sollten Gruppenrichtlinien Änderungen sowie unerlaubte Objektzugriffe überwacht werden. Diese Szenarien erfordern zusätzlich eine Konfiguration im Log-Verhalten der Server.
- Mit dem Alarm "Neue/Entfernte Software" können Sie jegliche Änderungen am Softwarestand eines Hosts überwachen.
- Nutzen Sie den Alarm "Geblockte Attacken", um direkt über einen erfolgreichen Block alarmiert zu werden.
- Nutzen Sie die beiden Alarm Szenarien "Neuer offener Port" für Server und Webseiten.
- Lassen Sie sich bei Webseiten über Änderungen der DNS Einträge alarmieren.
Dieser Guide soll Ihnen einen kurzen und schnellen Einstieg in die Enginsight Plattform ermöglichen. Sie sollten sich nun grundsätzlich zurecht finden und einen guten Überblick über die Leitungsfähigkeit von Enginsight haben.
Last modified 13d ago