Start Guide
Folgen Sie unserem Best Practice Guide um Enginsight binnen kürzester Zeit grundlegend zu konfigurieren.
Der Ausgangspunkt ist eine frisch installierte On-Premises Instanz oder ein neu angelegter SaaS-Account. Folgen Sie nach der erfolgreichen Installation der onPrem bzw. Account Einrichtung in der SaaS den folgenden Schritten.
0 - ToDo`s nach der onPrem Installation
1 - Erste Hosts installieren und einrichten
Installieren Sie Hosts schnell und einfach über die bereitgestellten Skripte unter dem Menüpunkt Hosts.
Es ist möglich den Pulsar-Agent per Windows Gruppenrichtlinie auszurollen.
Best Practice Empfehlung für die ersten Tags:
Vergeben Sie den Tag IDS und den Tag IPS. Weitere Tags könnten sich aus Ihrer Unternehmensstruktur ergeben, wie etwa Abteilungstags (HR, Controlling, etc.) oder Standorttags.
Best Practice Empfehlung für die ersten zwei Policies:
Erstellen Sie für jedes Feature am besten eine eigene Policy, starten Sie mit einer Policy auf den Tag "Server" und aktivieren Sie die Systemeventüberwachung. Erstellen Sie eine weitere Policy auf den Tag "IDS" und aktivieren Sie die Netzwerküberwachung mit dem IDS Level 2.
2 - Penetrationstests einrichten
Best Practice Empfehlung für zwei Konfigurationsvarianten:
Belassen Sie Hacktor auf der Default Konfiguration für einen schnellen Erstscan und um die Top-Findings aufzuzeigen.
Ändern Sie für einen Tiefenscan die Scanfrequenz auf "Low" und erweitern Sie die Portrange auf: 1-65535. Achtung, je nach Anzahl der zu scannenden IP Adressen kann dieser Scan mehrere Tage in Anspruch nehmen.
Best Practice Empfehlung für Zielsysteme
Geben Sie als Zielsysteme die Subnetzmaske des zu scannenden Netzwerksegments ein, z.B.: 192.168.70.0/24. Legen Sie pro Netzwerksegment ein neues Zielsystem an und benennen Sie dieses nach ihrem Zweck z.B. Managment Netz, Server Netz, Client Netz, etc.
Bedenken Sie das Hacktor die zu scannenden IP Adressen auch erreichen muss. Daher haben Sie die Möglichkeit, mehrere Hacktoren in verschiedenen Netzwerkbereichen zu installieren.
Best Practice Empfehlung für die Erstvorlage:
Legen Sie das zu scannende Zielsystem fest und den Hacktor der den Scan durchführen soll. Sie können ansonsten zunächst den Default belassen.
Excludieren Sie ggf. Drucker, wenn sie bereits wissen, dass diese veraltet sind oder nicht konfiguriert wurden, da es ansonsten zu einem unerwartetet Verhalten kommen kann.
Best Practice Empfehlung:
Sie können über die Vorlagen die wiederkehrende Durchführung ebenfalls nutzen, um einen Test etwa einmalig Nachts zu starten. Dies lohnt sich etwa in produktiven kritischen Umgebung.
3 - Webseitenscan einrichten
Best Practice Empfehlung:
Aktiveren Sie alle Module des Observers.
Best Practice Empfehlung:
Geben Sie als URL etwa: https://yourdomain.com ein. Wählen Sie die passende Region aus und belassen Sie die Scanbereiche im Default.
4 - Inventarisierung der Netzwerksegmente
Best Practice Empfehlung:
Fügen Sie Ihre Netzwerksegmente über die Eingabe der CIRD hinzu und vergeben Sie aussagekräftige Namen wie etwa Servernetz, Managementnetz, etc.
Aktivieren Sie die permanente Überwachung, um mit der Inventarisierung zu beginnen.
5 - Alarme einrichten
Best Practice Empfehlung für die ersten Alarme:
Neue Sicherheitslücke ab CVSS Score 7 auf den Tag "Host"
Verdächtiger Netzwerkverkehr ab dem Grenzwert "HIGH"
Fehlgeschlagene Anmeldeversuche
Neuer Admin user angelegt
Webseite nicht erreichbar
Endpunktbewertung verschlechtert
Zertifikatsablauf
Fortgeschrittene Themen
Sobald Sie sich mit Enginsight mehr vertraut gemacht haben, empfehlen wir Ihnen sich den folgenden Themenbereichen zu widmen.
Weitere Policies definieren
Aktivieren Sie Shield (IPS) für die Hosts auf denen verdächtige Netzwerkaktivitäten blockiert werden sollen. Wir empfehlen auch hier einen entsprechenden Tag zu verwenden. Verwenden Sie danach im Shield Menü den Autopilot, um eine Dynamische Regel zu erstellen. Hierbei Empfehlen wir das Blocking-Level 2.
Aktivieren Sie die erweiterte Softwareüberwachung. So wird jegliche Software inventarisiert, auch wenn sie nicht mit einem regulären Installationsprogramm installiert wurde.
Automatisieren Sie Updates. Wir empfehlen vor allem die Security relevanten Updates automatisiert zu installieren.
Aktivieren Sie Plugins. Das Pluginsystem ist sehr mächtig und ermöglicht es Ihnen regelmäßig oder auch im Zuge definierter Alarme, selbst definierte Plugins auszuführen.
Pentest-Vorlagen erweitern
Nutzen Sie eigene Passwortlisten, um etwa das Netzwerk auf veraltete lokale Nutzeraccounts zu testen.
Mit Hilfe der Auth-Provider erweitern Sie den Blackbox-Scan zu einem Greybox-Scan. Damit steigt vor allem die Qualität der Ergebnisse des Schwachstellenscans.
Die Königsdisziplin ist die Erstellung von individuellen Testskripten. Dies ist vor allem dann sinnvoll, wenn Sie eine spezifische Anwendung individuell testen möchten.
Spezifische Observer-Einstellungen
Ihre Observer können als "dedizierte" Observer agieren. Auf diese Art und Weise kann ein Observer von mehreren Mandanten verwendet werden.
Zusätzlich kann ein Observer explizit dahingehend konfiguriert werden, dass er auch interne Ziele, also Ziele die innerhalb seines privaten Netzbereiches liegen, überwachen darf.
Weitere Alarme
Im Windows-Umfeld sollten Gruppenrichtlinien Änderungen sowie unerlaubte Objektzugriffe überwacht werden. Diese Szenarien erfordern zusätzlich eine Konfiguration im Log-Verhalten der Server.
Mit dem Alarm "Neue/Entfernte Software" können Sie jegliche Änderungen am Softwarestand eines Hosts überwachen.
Nutzen Sie den Alarm "Geblockte Attacken", um direkt über einen erfolgreichen Block alarmiert zu werden.
Nutzen Sie die beiden Alarm Szenarien "Neuer offener Port" für Server und Webseiten.
Lassen Sie sich bei Webseiten über Änderungen der DNS Einträge alarmieren.
Dieser Guide soll Ihnen einen kurzen und schnellen Einstieg in die Enginsight Plattform ermöglichen. Sie sollten sich nun grundsätzlich zurecht finden und einen guten Überblick über die Leitungsfähigkeit von Enginsight haben.
Last updated