Start Guide
Folgen Sie unserem Best Practice Guide um Enginsight binnen kürzester Zeit grundlegend zu konfigurieren.
Last updated
Was this helpful?
Folgen Sie unserem Best Practice Guide um Enginsight binnen kürzester Zeit grundlegend zu konfigurieren.
Last updated
Was this helpful?
Der Ausgangspunkt ist eine frisch installierte On-Premises Instanz oder ein neu angelegter SaaS-Account. Folgen Sie nach der erfolgreichen Installation der onPrem bzw. Account Einrichtung in der SaaS den folgenden Schritten.
Sie Hosts schnell und einfach über die bereitgestellten Skripte unter dem Menüpunkt Hosts.
Es ist möglich den Pulsar-Agent per Windows auszurollen.
Best Practice Empfehlung für die ersten Tags:
Vergeben Sie den Tag IDS und den Tag IPS. Weitere Tags könnten sich aus Ihrer Unternehmensstruktur ergeben, wie etwa Abteilungstags (HR, Controlling, etc.) oder Standorttags.
Best Practice Empfehlung für die ersten zwei Policies:
Erstellen Sie für jedes Feature am besten eine eigene Policy, starten Sie mit einer Policy auf den Tag "Server" und aktivieren Sie die Systemeventüberwachung. Erstellen Sie eine weitere Policy auf den Tag "IDS" und aktivieren Sie die Netzwerküberwachung mit dem IDS Level 2.
Best Practice Empfehlung für zwei Konfigurationsvarianten:
Belassen Sie Hacktor auf der Default Konfiguration für einen schnellen Erstscan und um die Top-Findings aufzuzeigen.
Ändern Sie für einen Tiefenscan die Scanfrequenz auf "Low" und erweitern Sie die Portrange auf: 1-65535. Achtung, je nach Anzahl der zu scannenden IP Adressen kann dieser Scan mehrere Tage in Anspruch nehmen.
Best Practice Empfehlung für Zielsysteme
Geben Sie als Zielsysteme die Subnetzmaske des zu scannenden Netzwerksegments ein, z.B.: 192.168.70.0/24. Legen Sie pro Netzwerksegment ein neues Zielsystem an und benennen Sie dieses nach ihrem Zweck z.B. Managment Netz, Server Netz, Client Netz, etc.
Bedenken Sie das Hacktor die zu scannenden IP Adressen auch erreichen muss. Daher haben Sie die Möglichkeit, mehrere Hacktoren in verschiedenen Netzwerkbereichen zu installieren.
Best Practice Empfehlung für die Erstvorlage:
Legen Sie das zu scannende Zielsystem fest und den Hacktor der den Scan durchführen soll. Sie können ansonsten zunächst den Default belassen.
Excludieren Sie ggf. Drucker, wenn sie bereits wissen, dass diese veraltet sind oder nicht konfiguriert wurden, da es ansonsten zu einem unerwartetet Verhalten kommen kann.
Best Practice Empfehlung:
Sie können über die Vorlagen die wiederkehrende Durchführung ebenfalls nutzen, um einen Test etwa einmalig Nachts zu starten. Dies lohnt sich etwa in produktiven kritischen Umgebung.
Best Practice Empfehlung:
Aktiveren Sie alle Module des Observers.
Best Practice Empfehlung:
Geben Sie als URL etwa: https://yourdomain.com ein. Wählen Sie die passende Region aus und belassen Sie die Scanbereiche im Default.
Best Practice Empfehlung:
Fügen Sie Ihre Netzwerksegmente über die Eingabe der CIRD hinzu und vergeben Sie aussagekräftige Namen wie etwa Servernetz, Managementnetz, etc.
Aktivieren Sie die permanente Überwachung, um mit der Inventarisierung zu beginnen.
Best Practice Empfehlung für die ersten Alarme:
Neue Sicherheitslücke ab CVSS Score 7 auf den Tag "Host"
Verdächtiger Netzwerkverkehr ab dem Grenzwert "HIGH"
Fehlgeschlagene Anmeldeversuche
Neuer Admin user angelegt
Webseite nicht erreichbar
Endpunktbewertung verschlechtert
Zertifikatsablauf
Sobald Sie sich mit Enginsight mehr vertraut gemacht haben, empfehlen wir Ihnen sich den folgenden Themenbereichen zu widmen.
Zusätzlich kann ein Observer explizit dahingehend konfiguriert werden, dass er auch interne Ziele, also Ziele die innerhalb seines privaten Netzbereiches liegen, überwachen darf.
Mit dem Alarm "Neue/Entfernte Software" können Sie jegliche Änderungen am Softwarestand eines Hosts überwachen.
Nutzen Sie den Alarm "Geblockte Attacken", um direkt über einen erfolgreichen Block alarmiert zu werden.
Nutzen Sie die beiden Alarm Szenarien "Neuer offener Port" für Server und Webseiten.
Lassen Sie sich bei Webseiten über Änderungen der DNS Einträge alarmieren.
Dieser Guide soll Ihnen einen kurzen und schnellen Einstieg in die Enginsight Plattform ermöglichen. Sie sollten sich nun grundsätzlich zurecht finden und einen guten Überblick über die Leitungsfähigkeit von Enginsight haben.
Hacktor
definieren
Audit erstellen
starten
Über die Vorlagen Seite können Sie jetzt einen Pentest jederzeit auf Basis der Vorlage starten. Zusätzlich lohnt es sich die Tests laufen zu lassen
konfigurieren
Legen Sie die erste an
konfigurieren
Definieren Sie die ersten .
Aktivieren Sie (IPS) für die Hosts auf denen verdächtige Netzwerkaktivitäten blockiert werden sollen. Wir empfehlen auch hier einen entsprechenden Tag zu verwenden. Verwenden Sie danach im Shield Menü den Autopilot, um eine zu erstellen. Hierbei Empfehlen wir das Blocking-Level 2.
Aktivieren Sie die . So wird jegliche Software inventarisiert, auch wenn sie nicht mit einem regulären Installationsprogramm installiert wurde.
Automatisieren Sie . Wir empfehlen vor allem die Security relevanten Updates automatisiert zu installieren.
Aktivieren Sie . Das Pluginsystem ist sehr mächtig und ermöglicht es Ihnen regelmäßig oder auch im Zuge definierter Alarme, selbst definierte Plugins auszuführen.
Nutzen Sie , um etwa das Netzwerk auf veraltete lokale Nutzeraccounts zu testen.
Mit Hilfe der erweitern Sie den Blackbox-Scan zu einem Greybox-Scan. Damit steigt vor allem die Qualität der Ergebnisse des Schwachstellenscans.
Die Königsdisziplin ist die Erstellung von. Dies ist vor allem dann sinnvoll, wenn Sie eine spezifische Anwendung individuell testen möchten.
Ihre Observer können als "" Observer agieren. Auf diese Art und Weise kann ein Observer von mehreren Mandanten verwendet werden.
Im Windows-Umfeld sollten Gruppenrichtlinien Änderungen sowie unerlaubte überwacht werden. Diese Szenarien erfordern zusätzlich eine Konfiguration im Log-Verhalten der Server.