| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Dienst wird ausgeführt | Alarmiert, sobald ein ausgewählter Dienst gestartet wurde. |
| Dienst wird nicht ausgeführt | Alarmiert, sobald ein ausgewählter Dienst gestoppt wurde. |
| Prozess wird ausgeführt | Alarmiert, sobald ein ausgewählter Prozess gestartet wurde. |
| Prozess wird nicht ausgeführt | Alarmiert, sobald ein ausgewählter Prozess gestoppt wurde. |
| Systemrelevanter Dienst wird nicht ausgeführt | Alarmiert, sobald ein ausgewählter systemrelevanter Dienst gestartet wurde. Dieser muss vorher als solcher markiert werden. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Anmeldeversuche eines nicht existierenden Benutzers | Alarmiert, sobald ein Anmeldeversuch durch einen Benutzer (Benutzername oder Benutzerkennung) erfolgt, der nicht im System existiert. |
| Ein gesperrter Account wurde aktiviert (nur Windows) | Alarmiert, sobald ein Benutzerkonto wieder aktiviert wurde(Windows-Event 4722). |
| Ein gesperrter Admin Account wurde aktiviert (nur Windows) | Alarmiert, sobald ein Administrator-Benutzerkonto wieder aktiviert wurde (Windows-Events 4722, 4732, 4728). |
| Ein Nutzer hat erhöhte Privilegien erhalten (nur Windows) | Alarmiert, sobald ein Benutzer mehr Rechte erhalten hat (Windows-Events 4732, 4728). |
| Erfolgreicher Anmeldeversuch | Alarmiert, sobald sich ein Benutzer erfolgreich an einem System angemeldet hat (Windows-Event 4624). |
| Fehlgeschlagener Anmeldeversuch | Alarmiert, sobald sich ein Benutzer nicht erfolgreich an einem System anmelden konnte (Windows-Event 4625). |
| Neuer Admin angelegt (nur Windows) | Alarmiert, sobald ein neuer Benutzer angelegt wurde (Windows-Event 4720). |
| Neuer Nutzer angelegt (nur Windows) | Alarmiert, sobald ein neuer Administrator angelegt wurde (Windows-Events 4720, 4732, 4728). |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Alle Festplatten (% Verfügbar) | Alarmiert, sobald nur noch n% Speicherplatz zur Verfügung steht (Überwachung aller Festplatten). |
| Alle Festplatten (% Verwendet) | Alarmiert, sobald n% Speicherplatz verwendet wird (Überwachung aller Festplatten). |
| Festplatte (% Verfügbar) | Alarmiert, sobald nur noch n% Speicherplatz zur Verfügung steht, wobei die Festplatte automatisch vom System erkannt wird. |
| Festplatte (% Verwendet) | Alarmiert, sobald n% Speicherplatz verwendet wird, wobei die Festplatte automatisch vom System erkannt wird. |
| Festplatte wird entfernt | Alarmiert, sobald eine Festplatte entfernt wird. |
| Neue Festplatte wird erkannt | Alarmiert, sobald eine neue Festplatte erkannt wird. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Ungewöhnliches Verhalten | Alarmiert, sobald eine überwachte Host-Metrik außerhalb des berechneten Normalzustands liegt. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| CPU Benutzer | Alarmiert, sobald die durch Benutzer benötigte CPU-Last einen bestimmten Schwellwert überschreitet. |
| CPU IO Wait | Alarmiert, sobald der Anteil der Last, den die CPU benötigt, um auf eingehende und ausgehende Operationen zu warten, einen bestimmten Schwellwert überschreitet. |
| CPU Steal | Alarmiert, sobald der Anteil der Last, den eine virtuelle CPU benötigt, um auf die Host-CPU zu warten, einen bestimmten Schwellwert überschreitet. |
| CPU Total | Alarmiert, sobald die gesamte CPU-Last einen bestimmten Schwellwert überschreitet. |
| Host Temperatur (Alle Sensoren) | Alarmiert, sobald die Host-Temperatur einen bestimmten Schwellwert überschreitet. |
| Netzwerkverkehr pro Sekunde (ausgehend) | Alarmiert, sobald der ausgehende Netzwerkverkehr pro Sekunde einen bestimmten Schwellwert überschreitet. |
| Netzwerkverkehr pro Sekunde (eingehend) | Alarmiert, sobald der eingehende Netzwerkverkehr pro Sekunde einen bestimmten Schwellwert überschreitet. |
| RAM (Verfügbar %) | Alarmiert, sobald nur noch n% Arbeitsspeicher zur Verfügung steht. |
| RAM (Verfügbar MB) | Alarmiert, sobald n MB Arbeitsspeicher verwendet wird. |
| RAM (Verwendet %) | Alarmiert, sobald n% Arbeitsspeicher verwendet wird. |
| SWAP (Verfügbar %) | Alarmiert, sobald nur noch n% SWAP-Speicher zur Verfügung steht. |
| SWAP (Verfügbar MB) | Alarmiert, sobald n MB SWAP-Speicher verwendet wird. |
| SWAP (Verwendet %) | Alarmiert sobald n% SWAP-Speicher verwendet wird. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Geblockte Netzwerkattacke (Shield) | Alarmiert, sobald das IPS eine eingehende Netzwerkattacke blockiert hat. |
| Verdächtiger Netzwerkverkehr | Alarmiert, sobald das IDS eine mögliche Netzwerkattacke erkennt. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Pluginfehler | Alarmiert, sobald ein Plugin nicht ordnungsgemäß funktioniert oder nicht korrekt mit einer Host-Anwendung interagiert. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Neue/Entfernte Software | Alarmiert, sobald eine beliebige Software auf einem Host installiert oder von einem Host entfernt wird. |
| Software ist installiert | Alarmiert, sobald eine bestimmte Software auf einem Host installiert wurde. |
| Software ist nicht installiert | Alarmiert, sobald eine bestimmte Software auf einem Host nicht installiert wurde. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Gruppenrichtlinienänderung | Alarmiert, sobald eine Änderung an den Gruppenrichtlinien eines Systems durchgeführt wird. |
| Host Neustart | Alarmiert, sobald ein Host neu gestartet wird. |
| Host Neustart erforderlich | Alarmiert, sobald der Neustart eines Hosts erforderlich ist. |
| Host nicht erreichbar | Alarmiert, sobald ein Host über eine bestimmte Zeitspanne hinweg nicht erreichbar ist. |
| Neue Infektion | Alarmiert, sobald ein System oder Netzwerk von einem Virus oder einer anderen Schadsoftware befallen wurde. |
| Neuer Autostart | Alarmiert, sobald auf einem Host ein neuer Autostart durchgeführt wird. |
| Neuer offener Port | Alarmiert, sobald auf einem Host ein offener Port erkannt wird. |
| Neue Sicherheitslücken | Alarmiert, sobald auf einem Host eine neue Sicherheitslücke (CVE) erkannt wurde. |
| Neue Sicherheitslücken (CVSS Score) | Alarmiert, sobald der CVSS-Wert einer Sicherheitslücke auf einem Host einem festgelegten Wert entspricht. |
| Neue Sicherheitsupdates verfügbar | Alarmiert, sobald für einen Host neue Sicherheitsupdates verfügbar sind. |
| Neue Updates verfügbar | Alarmiert, sobald für einen Host neue Updates verfügbar sind. |
| Objektzugriff außerhalb der Geschäftszeiten | Alarmiert, sobald auf einem Host ein Zugriff auf ein Objekt außerhalb der festgelegten Geschäftszeiten stattfindet. |
| Port nicht erreichbar (TCP) | Alarmiert, sobald auf einem Host der Zugriff auf einen bestimmten Port für die TCP-Kommunikation nicht möglich ist. |
| Überwachung der Integrität von Dateien (File Integrity Monitoring) | Alarmiert, sobald auf einem Host Änderungen an überwachten Ordnern oder Dateien festgestellt wurden. |
| Unautorisierter Objektzugriff | Alarmiert, sobald auf einem Host der Zugriff auf ein Objekt oder eine Ressource ohne die erforderliche Berechtigung erfolgt. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Ungültiger CAA-DNS Record | Alarmiert, sobald ein fehlerhafter oder nicht konformer CAA-DNS-Record entdeckt wird. |
| Ungültiger SPF-DNS Record | Alarmiert, sobald ein SPF-DNS-Record nicht den vorgesehenen Standards entspricht. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Datenschutzverstoß | Alarmiert, sobald auf einem Endpunkt die SSL/TLS-Konfiguration nicht den Vorgaben des BSI entspricht. |
| DNS Eintrag geändert | Alarmiert, sobald Einträge im Domain Name System (DNS) geändert wurden. |
| Endpunktbewertung verschlechtert | Alarmiert, sobald die Bewertung eines Endpunkts bspw. durch die Erkennung potenzieller neuer Schwachstellen sinkt. |
| Neuer offener Port | Alarmiert, sobald ein Endpunkt einen neuen Port öffnet. |
| Neue Sicherheitslücke | Alarmiert, sobald auf einem Endpunkt eine neue Sicherheitslücke (CVE) identifiziert wird. |
| Unerwartete Weiterleitung | Alarmiert, sobald ein Endpunkt an ein unerwartetes Ziel weitergeleitet wird. |
| Verbindungsanfragen blockiert | Alarmiert, sobald eine Anfrage von außerhalb des Systems blockiert wird. |
| Webseite nicht erreichbar | Alarmiert, sobald ein Endpunkt nicht geladen oder aufgerufen werden kann. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Response Time | Alarmiert, sobald die Antwortzeit eines Endpunkts einen bestimmten Schwellwert überschreitet. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Tage bis Zertifikatsablauf | Alarmiert, sobald das Ablaufdatum eines SSL/TLS-Zertifikats einen bestimmten Schwellwert überschreitet. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Observations (SNMP) nicht verfügbar | Alarmiert, sobald Monitoring-Ergebnisse über SNMP nicht abgerufen oder eingeholt werden können. |
| Unerwarteter SNMP Status | Alarmiert, sobald der Status eines Geräts, der über SNMP abgerufen wird, nicht dem vorgegebenen oder erwarteten Wert entspricht. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Ping (Host nicht erreichbar) | Alarmiert, sobald ein Host oder Endpunkt über Ping nicht erreichbar ist. |
| Ping (Round Trip Time) | Alarmiert, sobald die Round-Trip-Zeit für einen Ping einen bestimmten Schwellwert überschreitet. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Ports nicht erreichbar | Alarmiert, sobald ein Port eines Hosts oder Endpunkts nicht erreichbar ist. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Neues Gerät im Netzwerk entdeckt | Alarmiert, sobald die Enginsight Komponente Watchdog ein bislang unbekanntes Gerät im Netzwerk entdeckt. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Neues SIEM Ereignis | Alarmiert, sobald im Enginsight SIEM durch einen benutzerdefinierten Workflow ein neues Vorkommnis erkannt wird. |
| Metrikattribut/Szenario | Beschreibung |
|---|---|
| Überwachung von Anomalien im SIEM | Alarmiert, sobald im Enginsight SIEM durch eine KI-basierte Zeitreihenanalyse eine Abweichung von einem definierten Normalzustand festgestellt wurde. |