# Start Guide Der Ausgangspunkt ist eine frisch installierte On-Premises Instanz oder ein neu angelegter SaaS-Account. Folgen Sie nach der erfolgreichen Installation der onPrem bzw. Account Einrichtung in der SaaS den folgenden Schritten. ## 0 - ToDo\`s nach der onPrem Installation * [x] Ergänzen Sie Ihre Organisations-Informationen in den[ Einstellungen](https://docs.enginsight.com/docs/bedienung/plattform/einstellungen). * [x] Ändern Sie die Email Adresse und Passwort des Standard-Users. * [x] Fügen Sie Ihre [Lizenz-Informationen](https://docs.enginsight.com/docs/on-premises/konfiguration/lizenzen-und-organisationen#kontingente-der-lizenz) ein. * [x] Laden Sie weitere [Teammitglieder](https://docs.enginsight.com/docs/plattform/einstellungen#teammitglieder) ein und gruppieren Sie diese. * [x] Aktivieren Sie die [Zwei-Faktor-Authentifizierung](https://docs.enginsight.com/docs/on-premises/konfiguration/2-faktor) (2FA). ## 1 - Erste Hosts installieren und einrichten [Installieren ](https://docs.enginsight.com/docs/plattform/legacy/hosts-agent-pulsar/pulsar-agent#installation-einen-neuen-host-anlegen)Sie Hosts schnell und einfach über die bereitgestellten Skripte unter dem Menüpunkt Hosts. {% hint style="success" %} Es ist möglich den Pulsar-Agent per Windows [Gruppenrichtlinie](https://docs.enginsight.com/docs/plattform/legacy/hosts-agent-pulsar/pulsar-agent#pulsar-agent-per-windows-gruppenrichtlinie-ausrollen) auszurollen. {% endhint %} * [x] [**Tags**](https://docs.enginsight.com/docs/plattform/legacy/hosts-agent-pulsar/pulsar-agent#tags) **anlagen**\ Tags helfen Ihnen enorm Ihre Assets in Enginsight zu verwalten. Sie richten später auf Basis der Tags Alarme und weitere Funktionsbereiche ein. {% hint style="success" %} Best Practice Empfehlung für die ersten Tags: Vergeben Sie den Tag **IDS** und den Tag **IPS**. Weitere Tags könnten sich aus Ihrer Unternehmensstruktur ergeben, wie etwa Abteilungstags (HR, Controlling, etc.) oder Standorttags. {% endhint %} * [x] **Erste** [**Policies** ](https://docs.enginsight.com/docs/bedienung/plattform/legacy/hosts-agent-pulsar/policy-manager)**anlegen** Mit Policies können Sie auf Basis der vergebenen Tags, **zentral Konfigurationseinstellungen** der Hosts managen. So sorgen Sie zusätzlich dafür, dass auch neue Hosts nur noch die passenden Tags bekommen müssen, um mit den korrekten Konfigurationen versorgt zu werden. {% hint style="success" %} Best Practice Empfehlung für die ersten zwei Policies: Erstellen Sie für jedes Feature am besten eine eigene Policy, starten Sie mit einer Policy auf den Tag "Server" und aktivieren Sie die **Systemeventüberwachung**.\ \ Erstellen Sie eine weitere Policy auf den Tag "IDS" und aktivieren Sie die **Netzwerküberwachung** mit dem IDS Level 2. {% endhint %} ## 2 - Penetrationstests einrichten * [x] **Hacktor** [**Konfigurieren**](https://docs.enginsight.com/docs/plattform/penetrationstests/hacktor#hacktor-konfigurieren) Nachdem Sie den ersten Hacktor erfolgreich installiert haben, ist die Konfiguration entscheidend für die **Dauer** des Scans und die **Qualität** der Ergebnisse. {% hint style="success" %} Best Practice Empfehlung für zwei Konfigurationsvarianten: Belassen Sie Hacktor auf der **Default Konfiguration** für einen **schnellen Erstscan** und um die Top-Findings aufzuzeigen. Ändern Sie für einen **Tiefenscan** die **Scanfrequenz** auf "Low" und erweitern Sie die **Portrange** auf: 1-65535. Achtung, je nach Anzahl der zu scannenden IP Adressen kann dieser Scan mehrere Tage in Anspruch nehmen. {% endhint %} * [x] [**Zielsysteme** ](https://docs.enginsight.com/docs/bedienung/plattform/penetrationstests/zielsysteme)**definieren** Über die Definition der Zielsysteme legen Sie fest welche **IP Adressen**, **Netzwerksegmente** oder **URLs** auditiert werden sollen. {% hint style="success" %} Best Practice Empfehlung für Zielsysteme Geben Sie als Zielsysteme die **Subnetzmaske** des zu scannenden Netzwerksegments ein, z.B.: 192.168.70.0/24. Legen Sie **pro Netzwerksegment** ein neues Zielsystem an und benennen Sie dieses nach ihrem Zweck z.B. Managment Netz, Server Netz, Client Netz, etc. Bedenken Sie das Hacktor die zu scannenden IP Adressen auch **erreichen** muss. Daher haben Sie die Möglichkeit, mehrere Hacktoren in verschiedenen Netzwerkbereichen zu installieren. {% endhint %} * [x] **Audit** [**Vorlagen** ](https://docs.enginsight.com/docs/bedienung/plattform/penetrationstests/vorlagen)**erstellen** Auf Basis einer Vorlage bestimmen Sie **welche Zielsysteme** durch **welchen Hacktor** gescannt werden sollen. {% hint style="success" %} Best Practice Empfehlung für die Erstvorlage: Legen Sie das zu scannende Zielsystem fest und den Hacktor der den Scan durchführen soll. Sie können ansonsten zunächst den **Default** belassen. Excludieren Sie ggf. **Drucker**, wenn sie bereits wissen, dass diese veraltet sind oder nicht konfiguriert wurden, da es ansonsten zu einem unerwartetet Verhalten kommen kann. {% endhint %} * [x] [**Penetrationstest**](https://docs.enginsight.com/docs/bedienung/plattform/penetrationstests/pentest-durchfuehren) **starten** Über die Vorlagen Seite können Sie jetzt einen Pentest jederzeit auf Basis der Vorlage starten. Zusätzlich lohnt es sich die Tests [automatisiert regelmäßig](https://docs.enginsight.com/docs/plattform/penetrationstests/vorlagen#wiederkehrende-durchfuehrung) laufen zu lassen {% hint style="success" %} Best Practice Empfehlung: Sie können über die Vorlagen die **wiederkehrende Durchführung** ebenfalls nutzen, um einen Test etwa einmalig Nachts zu starten. Dies lohnt sich etwa in produktiven kritischen Umgebung. {% endhint %} ## 3 - Webseitenscan einrichten * [x] [**Observer**](https://docs.enginsight.com/docs/plattform/endpunkte/observer#observer-konfigurieren) **konfigurieren** Legen Sie die Observer-Region fest. Die Region sollte den Standort des Observes widerspiegeln, z.B. Wenn der Observer im internen Netzt steht, könnte der Name "intern" lauten. {% hint style="success" %} Best Practice Empfehlung: Aktiveren Sie alle **Module** des Observers. {% endhint %} * [x] **Legen Sie die erste** [**Webseite**](https://docs.enginsight.com/docs/plattform/endpunkte/endpunktdetails#endpunkt-hinzufuegen) **an** Achten Sie bei der **Eingabe der URL** darauf ob Sie die http oder https URL scannen lassen möchten. Im Zweifel sollten Sie die URL immer mit https angeben. {% hint style="success" %} Best Practice Empfehlung: Geben Sie als URL etwa: ein. Wählen Sie die passende Region aus und belassen Sie die Scanbereiche im Default. {% endhint %} ## 4 - Inventarisierung der Netzwerksegmente * [x] [**Watchdog** ](https://docs.enginsight.com/docs/plattform/discoveries#asset-discovery-einrichten)**konfigurieren** Nachdem Sie Watchdog installiert haben, können Sie Ihn verwenden um Netzwerksegmente zu **Inventarisieren**, auf neue Teilnehmer zu Überwachen oder auch um ein Ping, Port oder SNMP **Monitoring** zu realisieren. {% hint style="success" %} Best Practice Empfehlung: Fügen Sie Ihre Netzwerksegmente über die Eingabe der **CIRD** hinzu und vergeben Sie aussagekräftige Namen wie etwa Servernetz, Managementnetz, etc. Aktivieren Sie die **permanente Überwachung**, um mit der Inventarisierung zu beginnen. {% endhint %} ## 5 - Alarme einrichten * [x] **Definieren Sie die ersten** [**Alarme**](#5-alarme-einrichten)**.** Wir empfehlen Alarme möglichst anhand der Tags zu erstellen, da sich so der Konfigurationsaufwand auf ein Minimum reduziert {% hint style="success" %} Best Practice Empfehlung für die ersten Alarme: * Neue Sicherheitslücke ab CVSS Score 7 auf den Tag "Host" * Verdächtiger Netzwerkverkehr ab dem Grenzwert "HIGH" * Fehlgeschlagene Anmeldeversuche * Neuer Admin user angelegt * Webseite nicht erreichbar * Endpunktbewertung verschlechtert * Zertifikatsablauf {% endhint %} ## Fortgeschrittene Themen Sobald Sie sich mit Enginsight mehr vertraut gemacht haben, empfehlen wir Ihnen sich den folgenden Themenbereichen zu widmen. ### Weitere Policies definieren * Aktivieren Sie [Shield](https://docs.enginsight.com/docs/bedienung/plattform/shield) (IPS) für die Hosts auf denen verdächtige Netzwerkaktivitäten blockiert werden sollen. Wir empfehlen auch hier einen entsprechenden Tag zu verwenden. Verwenden Sie danach im Shield Menü den Autopilot, um eine [Dynamische Regel](https://docs.enginsight.com/docs/plattform/shield#dynamisches-blocken) zu erstellen. Hierbei Empfehlen wir das Blocking-Level 2. * Aktivieren Sie die [erweiterte Softwareüberwachung](https://docs.enginsight.com/docs/bedienung/plattform/legacy/hosts-agent-pulsar/hostdetails). So wird jegliche Software inventarisiert, auch wenn sie nicht mit einem regulären Installationsprogramm installiert wurde. * Automatisieren Sie [Updates](https://docs.enginsight.com/docs/bedienung/plattform/legacy/hosts-agent-pulsar/hostdetails). Wir empfehlen vor allem die Security relevanten Updates automatisiert zu installieren. * Aktivieren Sie [Plugins](https://docs.enginsight.com/docs/bedienung/plattform/legacy/hosts-agent-pulsar/plugins). Das Pluginsystem ist sehr mächtig und ermöglicht es Ihnen regelmäßig oder auch im Zuge definierter Alarme, selbst definierte Plugins auszuführen. ### Pentest-Vorlagen erweitern * Nutzen Sie [eigene Passwortlisten](https://docs.enginsight.com/docs/plattform/penetrationstests/vorlagen#eigene-passwortlist), um etwa das Netzwerk auf veraltete lokale Nutzeraccounts zu testen. * Mit Hilfe der [Auth-Provider](https://docs.enginsight.com/docs/bedienung/plattform/penetrationstests/auth-providers) erweitern Sie den Blackbox-Scan zu einem Greybox-Scan. Damit steigt vor allem die Qualität der Ergebnisse des Schwachstellenscans. * Die Königsdisziplin ist die Erstellung von[ individuellen Testskripten](https://docs.enginsight.com/docs/bedienung/plattform/penetrationstests/custom-scripts). Dies ist vor allem dann sinnvoll, wenn Sie eine spezifische Anwendung individuell testen möchten. ### Spezifische Observer-Einstellungen * Ihre Observer können als "[dedizierte](https://docs.enginsight.com/docs/plattform/endpunkte/observer#observer-konfigurieren)" Observer agieren. Auf diese Art und Weise kann ein Observer von mehreren Mandanten verwendet werden. * Zusätzlich kann ein Observer explizit dahingehend konfiguriert werden, dass er auch interne Ziele, also Ziele die innerhalb seines privaten Netzbereiches liegen, überwachen darf. ### Weitere Alarme * Im Windows-Umfeld sollten Gruppenrichtlinien Änderungen sowie unerlaubte [Objektzugriffe](https://docs.enginsight.com/docs/plattform/legacy/hosts-agent-pulsar/systemevents#ueberwachung-von-objektzugriffen-in-gruppenrichtlinien-aktivieren) überwacht werden. Diese Szenarien erfordern zusätzlich eine Konfiguration im Log-Verhalten der Server. * Mit dem Alarm "Neue/Entfernte Software" können Sie jegliche Änderungen am Softwarestand eines Hosts überwachen. * Nutzen Sie den Alarm "Geblockte Attacken", um direkt über einen erfolgreichen Block alarmiert zu werden. * Nutzen Sie die beiden Alarm Szenarien "Neuer offener Port" für Server und Webseiten. * Lassen Sie sich bei Webseiten über Änderungen der DNS Einträge alarmieren. Dieser Guide soll Ihnen einen kurzen und schnellen Einstieg in die Enginsight Plattform ermöglichen. Sie sollten sich nun grundsätzlich zurecht finden und einen guten Überblick über die Leitungsfähigkeit von Enginsight haben.