# Wie kann ich Performance-Probleme des Enginsight IDS auf Windows-Systemen verhindern? Mit dem Intrusion Detection System (IDS) von Enginsight kannst du den Netzwerkverkehr auf allen Hosts, auf denen der Enginsight Agent Pulsar installiert wurde, beobachten, um Angriffe, Missbrauch und Verstöße gegen Sicherheitsrichtlinien zu erkennen. In Netzwerken mit hohem Datenverkehr über einzelne Ports kann ein aktiviertes IDS jedoch zu Performance-Problemen führen. Um Lastspitzen zu vermeiden, lässt sich der Traffic, der überwacht werden soll, gezielt filtern. Im Folgenden zeigen wir dir, wie du auf Windows-Systemen mit installiertem Pulsar Filterregeln setzen kannst. *** ## Gezielte Port- und Subnetzfilterung Um das IDS von datenintensiven Ports zu entlasten, können diese explizit ausgeschlossen werden. Dies ist insbesondere dann sinnvoll, wenn z. B. Backup-Systeme, Update-Server oder Management-Tools regelmäßig große Datenmengen übertragen. Ebenso ist es möglich, die Überwachung durch das IDS nur auf ausgewählte IP-Adress-Bereiche zu beschränken. {% hint style="info" %} Ab Pulsar-Version 6.4.17 steht dir hierfür das Flag `-windivert-filter` zur Verfügung. Es ermöglicht die Definition individueller Filterregeln in der WinDivert-Syntax, mit denen sich der IDS-Datenstrom bedarfsgerecht steuern lässt. {% endhint %} Individuelle Filterregeln können wie folgt gesetzt werden: {% stepper %} {% step %} ### Dienste beenden Logge dich auf dem Windows-Host ein, dessen Ports du ausschließen oder über den du das überwachte Subnetz einschränken möchtest. Stoppe den Pulsar und den Supervisor-Dienst über die Windows-Dienste-App `services.msc` oder den Task-Manager. {% endstep %} {% step %} ### Filterregeln einrichten Das Einrichten einer Filterregel kannst du im Windows CMD (Command) über das Service-Controller-Tool `sc.exe` vornehmen, oder in PowerShell. {% hint style="warning" %} **Bitte beachte**: Diese Aktion ändert die binPath-Konfiguration des Pulsars. {% endhint %} Im Folgenden findest du Beispiel-Filterregeln für den Ausschluss eines Ports und eines Subnetzes, jeweils einmal über sc.exe und einmal über PowerShell: #### Beispiel: Ausschluss der WSUS-Ports 5380 und 5381 **Ausschluss über sc.exe** ``` sc.exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'localPort != 5380 and localPort != 5381'" ``` {% hint style="danger" %} **Bitte beachte**: Der gesamte Filterausdruck, hier `'localPort != 5380 and localPort != 5381'`, muss in **einfache Anführungszeichen** gesetzt werden. Anderenfalls wir nur das erste Wort interpretiert, was zu fehlerhaftem Verhalten führt. Der gesamte **binPath**, hier `"C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'localPort != 5380 and localPort != 5381'"`, muss in **doppelte Anführungszeichen** gesetzt werden. {% endhint %} **Ausschluss über PowerShell** ``` Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\Enginsight Pulsar\' -Name ImagePath -Value 'C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter "localPort != 5380 and localPort != 5381"' ``` {% hint style="danger" %} **Bitte beachte**: Der gesamte **Filterausdruck**, hier `"localPort != 5380 and localPort != 5381"`, muss in **doppelte Anführungszeichen** gesetzt werden. Der gesamte **Value**, hier `'C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter "localPort != 5380 and localPort != 5381"'`, muss in **einfache Anführungszeichen** gesetzt werden. {% endhint %} #### Beispiel: Ausschluss des Subnetzes 10.0.0.0/24 **Ausschluss über sc.exe** ``` sc.exe config "Enginsight Pulsar" binpath= "C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'remoteAddr <= 10.0.0.0 or remoteAddr > 10.0.0.255'" ``` {% hint style="danger" %} **Bitte beachte**: Der gesamte **Filterausdruck**, hier `'remoteAddr <= 10.0.0.0 or remoteAddr > 10.0.0.255'`, muss in **einfache Anführungszeichen** gesetzt werden. Anderenfalls wir nur das erste Wort interpretiert, was zu fehlerhaftem Verhalten führt. Der gesamte **binPath**, hier `"C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter 'remoteAddr <= 10.0.0.0 or remoteAddr > 10.0.0.255'"`, muss in **doppelte Anführungszeichen** gesetzt werden. {% endhint %} **Ausschluss über PowerShell** ``` Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\Enginsight Pulsar\' -Name ImagePath -Value 'C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter "remoteAddr < 10.0.0.0 or remoteAddr > 10.0.0.255"' ``` {% hint style="danger" %} **Bitte beachte**: Der gesamte **Filterausdruck**, hier `"remoteAddr < 10.0.0.0 or remoteAddr > 10.0.0.255"`, muss in **doppelte Anführungszeichen** gesetzt werden. Der gesamte **Value**, hier `'C:\Program Files\Enginsight\Pulsar\ngs-pulsar-amd64.exe -windivert-filter "remoteAddr < 10.0.0.0 or remoteAddr > 10.0.0.255"'`, muss in **einfache Anführungszeichen** gesetzt werden. {% endhint %} {% endstep %} {% step %} ### Dienste neu starten Starte den Pulsar und den Supervisor-Dienst über die Windows-Dienste-App `services.msc` oder den Task-Manager neu, nachdem du alle Filterregeln gesetzt hast. {% endstep %} {% endstepper %} *** ## Weitere Maßnahmen zur Entlastung des IDS Zusätzlich zur gezielten Filterung von Ports und IP-Address-Bereichen gibt es noch weitere Möglichkeiten, die Performance deines IDS zu verbessern. ### Pulsar auf Version 6.4.12 oder höher aktualisieren Ab Pulsar-Version 6.4.12 wurden umfassende Leistungsverbesserungen für das IDS implementiert. Wenn du noch eine ältere Version einsetzt, empfehlen wir dringend ein Update. {% hint style="info" %} Generell empfehlen wir, alle Enginsight Komponenten immer auf dem neuesten Stand zu halten, um von Leistungs- und Funktionsverbesserungen und mehr Sicherheit zu profitieren. {% endhint %} ### Manuelles Regelwerk für das IDS erstellen Über die Enginsight Plattform ist es möglich, manuelle Regelwerke zu erstellen, mit denen du Subnetze gezielt von der Überwachung durch das IDS ausnehmen kannst. {% hint style="success" icon="lightbulb-exclamation" %} Mehr Informationen, wie du ein manuelles Regelwerk erstellst, findest du im Enginsight Handbuch: [Anomalie behandeln (Manuelles Regelwerk hinzufügen)](https://docs.enginsight.com/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/netzwerkanomalien#anomalie-behandeln) {% endhint %} ### Npcap installieren und -use-pcap aktivieren Durch die Installation von [Npcap](https://npcap.com/) und das Setzen des Flags `-use-pcap` nutzt du ein alternatives Capture-Backend. Auf manchen Systemen kann der Npcap-Treiber für eine bessere Performance im IDS sorgen. Wir empfehlen, Npcap dann einzusetzen, wenn das Erstellen von manuellen Regelwerken für das IDS noch nicht für ausreichende Performance-Verbesserungen sorgt und ein WinDivert-Filterausdruck eine höhere Komplexität darstellen würde. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/knowledge-base/intrusion-detection-system-ids/wie-kann-ich-performance-probleme-des-enginsight-ids-auf-windows-systemen-verhindern.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.