# Start Guide

Du hast Enginsight neu installiert oder einen Enginsight SaaS-Zugang erhalten und möchtest nun loslegen, weißt aber nicht, wo du anfangen sollst.

In unserem Start Guide möchten wir dir deshalb ein paar Hilfestellungen geben, die dir helfen sollen, dich auf der Enginsight Plattform zurechtzufinden.

***

## 0 – Bei der Enginsight Plattform anmelden

{% stepper %}
{% step %}

### Erstmalig anmelden

Melde dich, falls du dies noch nicht getan hast, mit den [vorläufigen Login-Daten](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-plattform/automatische-installation/applikationsserver.md#vorlaufige-login-daten-fur-die-benutzeroberflache), die dir nach Installation und Setup des Applikationsservers zur Verfügung stehen, an der Enginsight Benutzeroberfläche an.

Wenn du dies bereits getan hast, verwende deine benutzerdefinierten Anmeldedaten für den [Login](/docs/manual/grundlagen/login.md).
{% endstep %}

{% step %}

### Mit dem allgemeinen Layout vertraut machen

Nach der Anmeldung wird dir die Home-Seite der Enginsight Plattform angezeigt. Dies ist die Ansicht **Dashboard** → [Übersicht](/docs/manual/bedienung-der-plattform/dashboard/ubersicht.md).

Nimm dir zunächst ein bisschen Zeit, um dich mit dem [allgemeinen Layout](/docs/manual/grundlagen/allgemeines-layout.md) der Benutzeroberfläche vertraut zu machen.
{% endstep %}

{% step %}

### Zwei-Faktor-Authentifizierung einrichten

Um die Sicherheit deiner Enginsight Instanz zu erhöhen, solltest du eine [Zwei-Faktor-Authentifizierung einrichten](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/weitere-konfigurationen/zwei-faktor-authentifizierung.md), falls du dies noch nicht getan hast.
{% endstep %}
{% endstepper %}

***

## 1 – Erste Einstellungen in der Enginsight Plattform vornehmen

{% stepper %}
{% step %}

### Benutzerkonto-Einstellungen ergänzen

<i class="fa-compass">:compass:</i> Navigiere zu **Einstellungen** → [Benutzerkonto](/docs/manual/administration/einstellungen/benutzerkonto.md), um die Einstellungen für dein Nutzerprofil einzusehen und benutzerspezifische Konfigurationen anzupassen.

* Ergänze deine [persönlichen Angaben](/docs/manual/administration/einstellungen/benutzerkonto.md#deine-personlichen-angaben) wie gewünscht. Achte darauf, dass du die korrekte E-Mail-Adresse einträgst, um unter anderem Alarm-Benachrichtigungen erhalten zu können. Hinterlege auf jeden Fall auch die korrekte **Zeitzone** deines Benutzerkontos, da dies Auswirkungen auf die Anzeige von Daten über die gesamte Enginsight Plattform hinweg sowie die Berichterstellung und Alarmerkennung hat.
* Ändere das [Passwort](/docs/manual/administration/einstellungen/benutzerkonto.md#passwort) für dein Benutzerkonto, falls du dies noch nicht getan hast.
* Aktiviere unter [Erweiterte Einstellungen](/docs/manual/administration/einstellungen/benutzerkonto.md#erweiterte-einstellungen) die Option **Zwei-Faktor-Authentifizierung bei Login**, falls du dies noch nicht getan hast.
  {% endstep %}

{% step %}

### Organisations-Einstellungen ergänzen

<i class="fa-compass">:compass:</i> Navigiere zu **Einstellungen** → [Organisation](/docs/manual/administration/einstellungen/organisation.md), um die Einstellungen für deine Organisation einzusehen und organisationsspezifische Konfigurationen anzupassen.

* Ergänze deine [Angaben zur Organisation](/docs/manual/administration/einstellungen/organisation.md#angaben-zur-organisation) wie gewünscht. Hinterlege neben der Adresse deiner Organisation auch die **Zeitzone**, in der sich deine Organisation befindet.
* Hinterlege, wenn du die SaaS-Version von Enginsight nutzt, auch deine [Rechnungsadresse](/docs/manual/administration/einstellungen/organisation.md#rechnungsadresse).
* Aktiviere unter [Erweiterte Einstellungen](/docs/manual/administration/einstellungen/organisation.md#erweiterte-einstellungen) die Option **Zwei-Faktor-Authentifizierung für alle Teammitglieder**, falls du dies noch nicht getan hast.

Mehr Informationen zu Organisationen in Enginsight findest du auch im Kapitel [Organisationsmanagement](/docs/manual/administration/organisationsmanagement.md).
{% endstep %}

{% step %}

### Erste Teammitglieder einladen

<i class="fa-compass">:compass:</i> Navigiere zu **Einstellungen** → [Teammitglieder](/docs/manual/administration/einstellungen/teammitglieder.md), um Benutzer deiner Organisation zu verwalten, und [füge erste Teammitglieder hinzu](/docs/manual/administration/einstellungen/teammitglieder/teammitglieder-hinzufugen.md).

{% hint style="info" icon="square-check" %}
Wir empfehlen, den neuen Teammitgliedern bereits die passenden [Systemrollen](/docs/manual/administration/berechtigungsmanagement.md#systemrollen) zuzuweisen.
{% endhint %}
{% endstep %}

{% step %}

### Benutzergruppen erstellen

<i class="fa-compass">:compass:</i> Navigiere zu **Einstellungen** → [Gruppen](/docs/manual/administration/einstellungen/gruppen.md), um [neue Benutzergruppen zu erstellen](#benutzergruppen-erstellen).

{% hint style="info" icon="square-check" %}
Wir empfehlen, Teammitglieder in Benutzergruppen zu gruppieren, um beispielsweise Benachrichtigungen über Alarme an Gruppen statt an einzelne Teammitglieder versenden zu können. Gruppen sind allerdings unabhängig von den [Berechtigungen](/docs/manual/administration/berechtigungsmanagement.md) der einzelnen Teammitglieder. Berechtigungen werden stets über [Rollen](/docs/manual/administration/einstellungen/rollen.md) definiert.&#x20;
{% endhint %}
{% endstep %}
{% endstepper %}

***

## 2 – Host-Überwachung einrichten

{% stepper %}
{% step %}

### Erste Hosts hinzufügen

Ein Host ist bei Enginsight ein Server oder Client, auf dem der Enginsight Agent Pulsar installiert wurde, um den Host von innen heraus zu überwachen.

<i class="fa-compass">:compass:</i> Navigiere zu **Hosts** → **Übersicht**, um erste Hosts hinzuzufügen.

* Lege erste Hosts an, indem du auf ihnen jeweils den Enginsight Agenten [Pulsar installierst](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-komponenten/pulsar.md). Beachte dabei unbedingt die [Systemanforderungen für den Pulsar](/docs/manual/installation-und-konfiguration/systemanforderungen/pulsar.md).
* Wenn du Pulsare auf mehr als einem Host auf einmal installieren möchtest, kannst du dies ebenfalls tun. Verschiedene Möglichkeiten findest du in unserer Knowledge Base:
  * [Wie kann ich den Enginsight Pulsar per Windows-Gruppenrichtlinie ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-per-windows-gruppenrichtlinie-ausrollen)
  * [Wie kann ich den Enginsight Pulsar automatisiert in flüchtigen Windows-VDI-Umgebungen ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-automatisiert-in-fluchtigen-windows-vdi-umgebungen-ausrollen)
  * [Wie kann ich den Enginsight Pulsar manuell auf mehreren Windows-VMs gleichzeitig ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-manuell-auf-mehreren-windows-vms-gleichzeitig-ausrollen)
  * [Wie kann ich den Enginsight Pulsar automatisch auf mehreren Windows-Systemen gleichzeitig ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-automatisch-auf-mehreren-windows-systemen-gleichzeitig-ausrollen)
    {% endstep %}

{% step %}

### Globale Tags anlegen

[Globale Tags](/docs/manual/bedienung-der-plattform/hosts/management/globale-tags.md) sind benutzerdefinierte Tags, die du global, also über die gesamte Enginsight Plattform hinweg, für Gruppen von Assets (Hosts und Endpunkten) gleichermaßen verwenden kannst. Sie helfen dir bspw., Einstellungen für mehrere Assets auf einmal vorzunehmen oder Alarme für mehrere Assets auf einmal einzurichten.

<i class="fa-compass">:compass:</i> Navigiere zu **Hosts** → **Management** → **Globale Tags**, um [globale Tags hinzuzufügen](/docs/manual/bedienung-der-plattform/hosts/management/globale-tags/globalen-tag-hinzufugen.md).

{% hint style="info" icon="square-check" %}
Wir empfehlen, zunächst Tags für verwendete Host-Betriebssysteme sowie für die Erkennungsgrade des [Intrusion Detection Systems (IDS)](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system.md) und das [Intrusion Prevention System (IPS) Shield](/docs/manual/bedienung-der-plattform/shield.md) anzulegen.
{% endhint %}
{% endstep %}

{% step %}

### Erste Policies anlegen

Mithilfe von [Policies](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager.md) hast du die Möglichkeit, verschiedene Einstellungen für mehrere Hosts auf einmal zentral festzulegen und zu verwalten. Diese Einstellungen können dann durch das Hinzufügen eines entsprechenden Tags auch auf neu hinzugefügten Hosts ausgerollt werden.

&#x20;<i class="fa-compass">:compass:</i> Navigiere zu **Hosts** → **Management** → **Policy Manager**, um eine [neue Policy zu erstellen](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md).

{% hint style="info" icon="square-check" %}
Wir empfehlen, zunächst folgende zwei Policies zu erstellen:

* Eine Policy mit dem zugeordneten Tag **Server**, in der die Option [Erweiterte Einstellungen](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#erweiterte-einstellungen) → **Sicherheitsrelevante Ereignisse mitschneiden** aktiviert ist. Erst durch die Aktivierung dieser Option können dir unter **Hosts** → **Management** → [Systemevents](/docs/manual/bedienung-der-plattform/hosts/management/systemevents.md) Ergebnisse angezeigt werden.
* Eine Policy mit dem zugeordneten Tag **IDS** (oder ähnlich), in der die Option [Enginsight Intrusion Detection System (IDS)](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-intrusion-detection-system-ids) mit dem **Erkennungsgrad 2** aktiviert ist. Erst durch die Aktivierung dieser Option können dir unter **Hosts** → **Intrusion Detection System** → [Netzwerkanomalien](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/netzwerkanomalien.md) Ergebnisse angezeigt werden.
* Eine Policy mit dem zugeordneten Tag **IPS** oder **Shield** (oder ähnlich), in der die Option [Enginsight Shield (IPS)](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-shield-ips) aktiviert ist.

Zudem empfehlen wir generell, für jedes Feature von Enginsight eine eigene Policy anzulegen.
{% endhint %}
{% endstep %}

{% step %}

### Erste Netzwerkattacken automatisch blocken

[Shield](/docs/manual/bedienung-der-plattform/shield.md) ist das Intrusion Prevention System (IPS) von Enginsight. Mit dem Shield-Feature kannst du den Netzwerkverkehr sowie Netzwerkattacken, die durch das [Enginsight Intrusion Detection System (IDS)](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system.md) erkannt wurden, auf allen Hosts, auf denen ein Pulsar installiert wurde, individuell blockieren.&#x20;

Die sogenannten [Autopiloten](/docs/manual/bedienung-der-plattform/shield/dynamisches-blocken/autopilot.md) sind dabei die automatischen Shield-Regelwerke der Enginsight Plattform.&#x20;

<i class="fa-compass">:compass:</i> Navigiere zu **Shield** → **Dynamisches Blocken** → **Autopilot**, um einen [neuen Autopilot hinzuzufügen](/docs/manual/bedienung-der-plattform/shield/dynamisches-blocken/autopilot/autopilot-hinzufugen.md).

Ordne Hosts über die passenden Tags zu und setze den [Blockierungsgrad des Intrusion Prevention Systems](/docs/manual/bedienung-der-plattform/shield/dynamisches-blocken/autopilot/autopilot-hinzufugen.md#blockierungsgrad-des-intrusion-prevention-systems) auf **Level 2: Ausgewogene Verfügbarkeit und Sicherheit**.

{% hint style="warning" icon="square-check" %}
Wir empfehlen, Shield-Regelwerke **in mehreren Schritte einzuführen** und die Leistungsreserven des Applikationsservers zu monitoren. Abhängig davon, wie viele Netzwerkanomalien erkannt und geblockt werden, kann durch Shield die CPU- und Speicherauslastung des Applikationsservers stark ansteigen.
{% endhint %}
{% endstep %}
{% endstepper %}

***

## 3 – Endpunkt-Überwachung einrichten

Ein [Endpunkt](/docs/manual/bedienung-der-plattform/endpunkte.md) ist bei Enginsight eine interne oder externe Webseite oder Domain, die mit der Enginsight Komponente **Observer** von unterschiedlichen Regionen aus überwacht wird.

Dazu gehört unter anderem die Überprüfung der Gültigkeit von SSL/TLS-Zertifikaten, die Überprüfung auf Sicherheitslücken, Schadsoftware und Compliance mit spezifischen Sicherheitsrichtlinien, sowie das Monitoring von Verfügbarkeit und Performance.

{% stepper %}
{% step %}

### Erste Observer installieren

Um einen Endpunkt überwachen zu können, musst du mindestens einen [Observer installieren](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-komponenten/observer.md). Du kannst auch mehrere Observer für die Überwachung eines Endpunkts von verschiedenen Standorten bzw. Regionen aus installieren. Beachte dabei unbedingt die [Systemanforderungen für den Observer](/docs/manual/installation-und-konfiguration/systemanforderungen/komponentenserver-hacktor-watchdog-observer.md#zusatzliche-anforderungen-observer).

<i class="fa-compass">:compass:</i> Navigiere zu **Endpunkte** → **Erforderliche Services** → [Observer](/docs/manual/bedienung-der-plattform/endpunkte/erforderliche-services/observer.md), um einen neuen Observer hinzuzufügen.

{% hint style="info" icon="square-check" %}
Wir empfehlen, die **Region** des Observers immer so anzugeben, dass sie entweder den Netzwerkstandort (z.B. **Intern**) oder die tatsächliche Region (z.B. **EU-Central**) widerspiegelt.

Zudem empfehlen wir, die Optionen **Als dedizierten Observer betreiben** und **Erlaube interne Ziele** immer *beide* zu aktivieren.
{% endhint %}
{% endstep %}

{% step %}

### Erste Endpunkte hinzufügen

<i class="fa-compass">:compass:</i> Navigiere zu **Endpunkte** → **Übersicht**, um einen [neuen Endpunkt hinzuzufügen](/docs/manual/bedienung-der-plattform/endpunkte/ubersicht/endpunkt-hinzufugen.md).

Achte bei der Eingabe der **URL**, die gescannt werden soll, darauf, ob es sich um eine URL handelt, die mit http\:// oder mit https\:// beginnt.

{% hint style="info" icon="square-check" %}
Wir empfehlen, die URL immer wie folgt anzugeben: **<https://mydomain.com>**.
{% endhint %}
{% endstep %}
{% endstepper %}

***

## 4 – Netzwerk inventarisieren

Die agentenlose Inventarisierung aller Netzwerkgeräte, die in der IT-Infrastruktur eines Unternehmens vorhanden sind, wird bei Enginsight auch Discovery genannt. [Discoveries](/docs/manual/bedienung-der-plattform/discoveries.md) werden mit der Enginsight Komponente **Watchdog** durchgeführt.

{% stepper %}
{% step %}

### Erste Watchdogs installieren

Um dein Netzwerk inventarisieren zu können, musst du mindestens einen [Watchdog in einem Subnetz installieren](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-komponenten/watchdog.md). Beachte dabei unbedingt die [Systemanforderungen für den Watchdog](/docs/manual/installation-und-konfiguration/systemanforderungen/komponentenserver-hacktor-watchdog-observer.md#zusatzliche-anforderungen-watchdog).

<i class="fa-compass">:compass:</i> Navigiere zu **Discoveries** → **Erforderliche Services** → [Watchdogs](/docs/manual/bedienung-der-plattform/discoveries/erforderliche-services/watchdogs.md), um einen neuen Watchdog hinzuzufügen.

Gib deinem Watchdog einen aussagekräftigen Namen, definiere ein [Subnetz in CIDR-Notation](/docs/manual/anhang/angabe-von-ip-adressbereichen-und-subnetzen.md) und aktiviere die Option **Permanente Überwachung**, um mit der Inventarisierung zu beginnen.

{% hint style="warning" icon="square-check" %}
Wir empfehlen dringend, die Scanzeit, die standardmäßig im Feld **Aktiver Netzwerkscan nach (Minuten)** für den initialen Scan vordefiniert ist **nicht** herunterzusetzen! Ein aktiver Netzwerkscan bedeutet eine hohe Netzwerkbelastung und kann ein System schnell überlasten.&#x20;
{% endhint %}
{% endstep %}

{% step %}

### Inventar begutachten

<i class="fa-compass">:compass:</i> Navigiere zu **Discoveries** → [Inventar](/docs/manual/bedienung-der-plattform/discoveries/inventar.md), um eine Auflistung aller gefundenen Netzwerkgeräte anzuzeigen und zu validieren.&#x20;
{% endstep %}
{% endstepper %}

***

## 5 – Penetrationstests einrichten

Ein [Penetrationstest](/docs/manual/bedienung-der-plattform/penetrationstests.md) ist ein geplanter und kontrolliert durchgeführter automatisierter Angriff auf die eigenen Systeme, um Schwachstellen gezielt aufzudecken. Penetrationstests werden mit der Enginsight Komponente **Hacktor** durchgeführt.&#x20;

Du kannst Penetrationstests sowohl auf Hosts mit installiertem Pulsar als auch innerhalb kompletter Netzwerkbereiche durchführen. Darüber hinaus lassen sich auch Systeme als Ziel definieren, die bereits durch einen Watchdog im Netzwerk überwacht werden. &#x20;

{% stepper %}
{% step %}

### Erste Hacktore installieren

Um einen Penetrationstest durchführen zu können, musst du mindestens einen [Hacktor in dem Subnetz installieren](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-komponenten/hacktor.md), das du auditieren möchtest. Beachte dabei unbedingt die [Systemanforderungen für den Hacktor](/docs/manual/installation-und-konfiguration/systemanforderungen/komponentenserver-hacktor-watchdog-observer.md#systemanforderungen-komponentenserver).

<i class="fa-compass">:compass:</i> Navigiere zu **Penetrationstests** → **Erforderliche Services** → [Hacktors](/docs/manual/bedienung-der-plattform/penetrationstests/erforderliche-services/hacktors.md), um einen neuen Hacktor hinzuzufügen.

{% hint style="info" icon="square-check" %}
Wir empfehlen, die Standard-Einstellungen des Hacktors so zu belassen, wie sie sind, oder die Option **Frequenz** sogar auf **Low** zu setzen. Dies erhöht zwar die Gesamtdauer eines Penetrationstests, kann aber die Überlastung des Systems verhindern, falls nicht genug Leistungsreserven zur Verfügung stehen.
{% endhint %}
{% endstep %}

{% step %}

### Erste Zielsysteme definieren

Die Angabe eines [Zielsystems](/docs/manual/bedienung-der-plattform/penetrationstests/management/zielsysteme.md) bietet dir die Möglichkeit, Gruppen von Zielen zusammenzufassen, auf denen ein Penetrationstest durchgeführt werden soll. Du kannst Ziele über die Angabe von IP-Adressen, Host-Namen, IP-Adressbereichen, Subnetzen, Watchdogs oder Endpunkten definieren.

<i class="fa-compass">:compass:</i> Navigiere zu **Penetrationstests** → **Management** → **Zielsysteme**, um ein [neues Zielsystem hinzuzufügen](/docs/manual/bedienung-der-plattform/penetrationstests/management/zielsysteme/zielsystem-hinzufugen.md).

{% hint style="info" icon="square-check" %}
Wir empfehlen, für einen Audit **nicht mehr als 1.000** IP-Adressen anzugeben.

Zudem empfehlen wir, zunächst zu prüfen, ob es für dein Netzwerk nicht sinnvoller ist, das **Asset-Inventar eines Watchdogs** für die Durchführung eines Penetrationstests heranzuziehen.&#x20;

Da der Hacktor jede einzelne IP-Adresse anpingt, wird ein Penetrationstest in einem kompletten Subnetz wesentlich länger dauern. Zudem werden die Ergebnisse des Tests viele Offline-Ziele enthalten, da in den meisten Fällen nur kleine Teile eines Subnetzes wirklich verwendet werden.

Beachte zudem, dass du immer einen IP-Adressbereich **oder** einen Watchdog angeben solltest, um Dopplungen bei einem Netzwerkscan zu vermeiden!
{% endhint %}
{% endstep %}

{% step %}

### Erste Audit-Vorlagen erstellen

[Audit-Definitionen](/docs/manual/bedienung-der-plattform/penetrationstests/management/audit-definitionen.md) bieten dir die Möglichkeit, wiederverwendbare Vorlagen für deine Penetrationstests zu erstellen und so vergleichbare Ergebnisse über mehrere Audit-Durchläufe hinweg sicherzustellen.

<i class="fa-compass">:compass:</i> Navigiere zu **Penetrationstests** → **Management** → **Audit-Definition**, um eine [neue Audit-Vorlage zu erstellen](/docs/manual/bedienung-der-plattform/penetrationstests/management/audit-definitionen/audit-definition-hinzufugen.md).

Gib deiner Audit-Vorlage einen aussagekräftigen Namen, wähle das Zielsystem aus, dass gescannt werden soll, und gib den Hacktor an, der den Penetrationstest durchführen soll.

{% hint style="warning" icon="square-check" %}
Wir empfehlen dringend, zunächst noch **keine wiederkehrende Ausführung** zu definieren, sondern den auf der erstellten Audit-Vorlage durchgeführten Penetrationstest eng zu überwachen.&#x20;

Die Durchführung von Penetrationstests während eines Audits kann die **Verfügbarkeit deiner Systeme beeinträchtigen**, je nachdem, wieviele IP-Adressen durch den Hacktor gescannt werden.

Beachte zudem, dass bei der Durchführung eines Penetrationstests je nach Stabilität deiner IT-Infrastruktur **ein kompletter Systemausfall nie ganz ausgeschlossen** werden kann!
{% endhint %}
{% endstep %}

{% step %}

### Penetrationstest starten

Nun kannst du deinen ersten [Penetrationstest-Audit starten](/docs/manual/bedienung-der-plattform/penetrationstests/management/audit-definitionen.md#penetrationstest-audit-starten).&#x20;

Alle abgeschlossenen Audits findest du unter **Penetrationstest** → [Audits](/docs/manual/bedienung-der-plattform/penetrationstests/audits.md). Dort kannst du auf einen Audit klicken, um in dessen [Detailansicht](/docs/manual/bedienung-der-plattform/penetrationstests/audits/audit-detailansichten.md) zu navigieren, wo du alle Ergebnisse und Analysen des durchgeführten Penetrationstests einsehen kannst.

{% hint style="info" icon="square-check" %}
Wir empfehlen generell, einen Penetrationstest **zunächst auf nicht mehr als ein bis drei nicht-kritischen Zielen durchzuführen**, um die Konfiguration und Funktionalität des eingesetzten Hacktors in deiner IT-Umgebung zu testen.&#x20;

Bei dieser geringen Anzahl an Zielen erhältst du nach nur 5-10 Minuten detaillierte Ergebnisse und bekommst einen Einblick in die Funktionsweise des Hacktors, ohne die Leistung und Verfügbarkeit deiner Systeme unnötig zu belasten.
{% endhint %}
{% endstep %}
{% endstepper %}

***

## 6 – Erste Alarme schalten

Nun kannst du auch bereits erste [Alarme](/docs/manual/bedienung-der-plattform/alarme.md) konfigurieren, um dich benachrichtigen zu lassen, wenn Enginsight z.B. ein sicherheitsrelevantes Problem erkennt.

<i class="fa-compass">:compass:</i> Navigiere zu **Alarme** → [Übersicht](/docs/manual/bedienung-der-plattform/alarme/ubersicht.md), um einen [neuen Alarm zu erstellen](/docs/manual/bedienung-der-plattform/alarme/ubersicht/alarm-hinzufugen.md).

{% stepper %}
{% step %}

### Alarme für Hosts

Für Hosts empfehlen wir direkt folgende Alarme einzurichten:

* **Fehlgeschlagener Anmeldeversuch**: Alarmiert, sobald sich ein Benutzer nicht erfolgreich an einem System anmelden konnte (Windows-Event 4625).
* **Neuer Admin angelegt (nur Windows)**: Alarmiert, sobald ein neuer Benutzer angelegt wurde (Windows-Event 4720).
* **Neuer Nutzer angelegt (nur Windows)**: Alarmiert, sobald ein neuer Administrator angelegt wurde (Windows-Events 4720, 4732, 4728).
* **Verdächtiger Netzwerkverkehr**: Alarmiert, sobald das IDS eine mögliche Netzwerkattacke erkennt. Wir empfehlen, den Schweregrad **High** als Grenzwert zu wählen.
* **Neue/Entfernte Software**: Alarmiert, sobald eine beliebige Software auf einem Host installiert oder von einem Host entfernt wird.
* **Neuer offener Port**: Alarmiert, sobald auf einem Host ein offener Port erkannt wird. Wir empfehlen, Hosts über den Tag **Server** zuzuordnen.&#x20;
* **Neue Sicherheitslücken (CVSS Score)**: Alarmiert, sobald der CVSS-Wert einer Sicherheitslücke auf einem Host einem festgelegten Wert entspricht. Wir empfehlen, einen **Grenzwert von** **7** einzustellen.
  {% endstep %}

{% step %}

### Alarme für Endpunkte

Für Endpunkte empfehlen wir direkt folgende Alarme einzurichten:

* **Webseite nicht erreichbar**: Alarmiert, sobald ein Endpunkt nicht geladen oder aufgerufen werden kann.
* **Neue Sicherheitslücke**: Alarmiert, sobald auf einem Endpunkt eine neue Sicherheitslücke (CVE) identifiziert wird.
* **DNS Eintrag geändert**: Alarmiert, sobald Einträge im Domain Name System (DNS) geändert wurden.
* **Datenschutzverstoß**: Alarmiert, sobald auf einem Endpunkt die SSL/TLS-Konfiguration nicht den Vorgaben des BSI entspricht.
* **Tage bis Zertifikatsablauf**: Alarmiert, sobald das Ablaufdatum eines SSL/TLS-Zertifikats einen bestimmten Schwellwert überschreitet.
  {% endstep %}
  {% endstepper %}

***

## Fortgeschrittene Themen

Sobald du dich mit den grundlegenden Funktionen von Enginsight etwas mehr vertraut gemacht hast, empfehlen wir folgende weitere Themen:

{% stepper %}
{% step %}

### Weitere Policies definieren

* Aktiviere [automatische Betriebssystem- und Feature-Updates](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#automatische-os-updates) auf zugeordneten Hosts, um keine Sicherheitsupdates zu übersehen.
* Aktiviere die [Verwendung von Plugins](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#plugins) auf zugeordneten Hosts, um bspw. im Zusammenhang mit Alarmen eigene Skripte ausführen zu können.
* Nutze das [File Integrity Monitoring (FIM)-Feature](/docs/manual/bedienung-der-plattform/hosts/file-integrity-monitoring.md) von Enginsight, um die Integrität deiner Dateien und Verzeichnisse zu überwachen. Aktiviere dazu mit einer Policy das [File Integrity Monitoring](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#file-integrity-monitoring) auf zugeordneten Hosts und füge erste [FIM-Regelwerke](/docs/manual/bedienung-der-plattform/hosts/file-integrity-monitoring/regelwerke/regelwerk-hinzufugen.md) hinzu.
* Nutze das [Advanced Persistent Threats (APT)-Feature](/docs/manual/bedienung-der-plattform/hosts/advanced-persistent-threats.md) von Enginsight, um deine Systeme auf fortgeschrittene Bedrohungen zu untersuchen. Aktiviere dazu mit einer Policy den [Scan nach APTs](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#advanced-persistent-threats) auf zugeordneten Hosts, füge erste [APT-Regelwerke](/docs/manual/bedienung-der-plattform/hosts/advanced-persistent-threats/regelwerke.md) (von uns verwaltet) hinzu und definiere erste [Pläne](/docs/manual/bedienung-der-plattform/hosts/advanced-persistent-threats/plane.md) für regelmäßige Scans.
  {% endstep %}

{% step %}

### Audit-Definitionen für Penetrationstests erweitern

* Gib in Audit-Definitionen [eigene Passwortlisten](/docs/manual/bedienung-der-plattform/penetrationstests/management/audit-definitionen/audit-definition-hinzufugen.md#eigene-passwortliste) an, die während eines Penetrationstests für die Simulation von Bruteforce-Attacken herangezogen werden können. Dies ist bspw. hilfreich, um das Netzwerk auf veraltete lokale Benutzerkonten zu testen.
* Füge [Auth-Provider](/docs/manual/bedienung-der-plattform/penetrationstests/management/auth-provider.md) hinzu, um Zugangsdaten von Zielsystemen zu hinterlegen, um mehr Informationen z.B. über das Betriebssystem und installierte Software abzurufen. Dies ermöglicht es dem Hacktor, mehr Sicherheitslücken zu erkennen und validieren, als wenn ihm nur öffentlich erreichbare Informationen zur Verfügung stehen.
* Erstelle und hinterlege benutzerdefinierte Skripte, die der Hacktor bei Penetrationstests einsetzen kann. Mehr Informationen hierzu findest du in unserer Knowledge Base: [Wie kann ich bei Penetrationstests mit Enginsight benutzerdefinierte Skripte einsetzen?](https://docs.enginsight.com/docs/knowledge-base/penetrationstests/wie-kann-ich-bei-penetrationstests-mit-enginsight-benutzerdefinierte-skripte-einsetzen)
  {% endstep %}

{% step %}

### Alarm-Benachrichtigungen erweitern

* Erstelle weitere Alarme für deine Hosts und Endpunkte.
* Konfiguriere den Versand von SMS-Benachrichtigungen, um Benachrichtigungen über Alarme auch auf deinem Mobiltelefon zu erhalten. Mehr Informationen hierzu findest du in unserer Knowledge Base: [Wie konfiguriere ich in Enginsight den Versand von SMS-Benachrichtigungen bei Alarmen?](https://docs.enginsight.com/docs/knowledge-base/alarme/wie-konfiguriere-ich-in-enginsight-den-versand-von-sms-benachrichtigungen-bei-alarmen)
* Erstelle und hinterlege [Webhooks](/docs/manual/bedienung-der-plattform/alarme/webhooks.md), die Alarme mit Drittanbieter-Software verknüpfen, um Benachrichtigungen über Alarme auch außerhalb der Enginsight Plattform erhalten zu können.
  {% endstep %}
  {% endstepper %}

***

## Weitere Ressourcen

**Knowledge Base**

* [Wie kann ich den Enginsight Pulsar per Windows-Gruppenrichtlinie ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-per-windows-gruppenrichtlinie-ausrollen)
* [Wie kann ich den Enginsight Pulsar automatisiert in flüchtigen Windows-VDI-Umgebungen ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-automatisiert-in-fluchtigen-windows-vdi-umgebungen-ausrollen)
* [Wie kann ich den Enginsight Pulsar manuell auf mehreren Windows-VMs gleichzeitig ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-manuell-auf-mehreren-windows-vms-gleichzeitig-ausrollen)
* [Wie kann ich den Enginsight Pulsar automatisch auf mehreren Windows-Systemen gleichzeitig ausrollen?](https://docs.enginsight.com/docs/knowledge-base/pulsar/wie-kann-ich-den-enginsight-pulsar-automatisch-auf-mehreren-windows-systemen-gleichzeitig-ausrollen)
* [Wie kann ich bei Penetrationstests mit Enginsight benutzerdefinierte Skripte einsetzen?](https://docs.enginsight.com/docs/knowledge-base/penetrationstests/wie-kann-ich-bei-penetrationstests-mit-enginsight-benutzerdefinierte-skripte-einsetzen)
* [Wie konfiguriere ich in Enginsight den Versand von SMS-Benachrichtigungen bei Alarmen?](https://docs.enginsight.com/docs/knowledge-base/alarme/wie-konfiguriere-ich-in-enginsight-den-versand-von-sms-benachrichtigungen-bei-alarmen)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/grundlagen/start-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.