Please scroll down to see the English version.

Hinweis: Für dieses Update bedarf es der Mindestversion des Loggernauts: 2.14.0

In Release 4.9.0 erhält das SIEM mit Managed Streams über 2.500 vorkonfigurierte und direkt einsatzbereite Log-Filter. Dazu kannst du dich über clientbasierte TLS-Interception, eine überarbeitete Alarm-UI und zahlreiche weitere Neuerungen freuen, die den Betrieb deiner Systeme sicherer und effizienter machen.

Managed Streams (Beta): Auf direktem Weg von der Log-Quelle zur Erkennung

Hinweis: Die Funktion befindet sich aktuell in der Beta-Phase. Aktiviere die Beta-Funktionalitäten in der Plattform, um die Ansicht zu sehen.

Managed Streams, in der Plattform unter Kataloge zu finden, stellen die zentrale Neuerung dieses Releases dar und verändern grundlegend, wie schnell du zu echten Erkenntnissen kommst.

Wer bisher Streams für erweiterte Erkennungstechniken einrichten wollte, musste verstehen, wie die eingehenden Logs technisch aufgebaut sind, Felder manuell zuordnen und Filterlogiken von Grund auf selbst aufbauen. Das kostete Zeit und setzte ein hohes technisches Verständnis voraus.
Mit den neuen Managed Streams entfällt dieser Aufwand weitgehend.
Für gängige Log-Quellen stellen wir bereits vorbereitete Streams bereit, die zentrale Use-Cases direkt abdecken. Dazu gehören nicht nur grundlegende Szenarien wie Windows Event Logs oder Active Directory, sondern auch komplexe Angriffsmuster, die auf Windows Event Logs oder Sysmon-Daten basieren und sich sonst nur mit erheblichem Aufwand erkennen lassen.
Insgesamt stehen über 2.500 Streams zur Verfügung. Rund 500 davon stammen direkt von Enginsight, der Rest basiert auf Sigma, einem etablierten offenen Standard für Erkennungsregeln, der in der Security-Community weit verbreitet ist.
Über vorgefertigte Kataloge lassen sich Streams für bestimmte Hersteller, Produkte oder Technologien schnell einbinden und direkt einsetzen.
Wer darüber hinaus verwaltete Streams um weitere relevante Metriken ergänzen möchte, kann aus bereits verwalteten Streams individuelle Kataloge zusammenstellen und diese als Grundlage für Alarmierungen nutzen. Das reduziert den administrativen Aufwand bei der SIEM-Einrichtung deutlich und sorgt dafür, dass du schneller von der rohen Log-Quelle zur produktiven Erkennung gelangst.
Direkt im Stream lässt sich unter anderem konfigurieren, wie Vorfälle gruppiert und ausgelöst werden. Folgeereignisse, die denselben Vorfall betreffen, werden so unterdrückt und lösen keine weiteren Benachrichtigungen aus.
Die hinterlegten Standardwerte ermöglichen die zuverlässige Erkennung bereits direkt nach der Einrichtung. Die Verarbeitung erfolgt dabei deutlich schneller und ressourcenschonender als bisher, sodass tausende Streams gleichzeitig überwacht werden können, ohne eine nennenswerte Belastung der Datenbank zu verursachen.
Weiterhin bleibt es natürlich auch möglich, eigene Streams zu erstellen.

Wie du Managed Streams einrichtest und nutzt, erfährst du in unserer Dokumentation.

Environmental Score: Sehen was wirklich kritisch ist

Mit dem neuen Environmental Score-Feature lässt sich die Bewertung von Schwachstellen noch präziser auf die tatsächliche IT-Umgebung im Unternehmen abstimmen. Statt ausschließlich den technischen CVSS-Basiswert zu verwenden, berücksichtigt Enginsight nun auch umgebungsspezifische Faktoren wie Angriffsvektoren, Zugangsbeschränkungen oder die Kritikalität betroffener Daten.
Erstelle Environmental Score-Manager, in denen du für Assets bzw. Gruppen von Assets spezifische Environmental Score Metriken auswählst. Die Wahl der Metriken entscheidet über den Environmental Score. Liegt ein Environmental Score vor, wird dieser als primärer Schweregrad in den Schwachstellenansichten von Hosts und Endpunkten verwendet.

Wie du einen Environmental Scores konfigurierst und verwaltest, erfährst du in unserer Dokumentation.

Neue Alarm-UI (Beta): Endlich zusammen, was zusammengehört

Hinweis: Die Funktion befindet sich aktuell in der Beta-Phase. Aktiviere die Beta-Funktionalitäten in der Plattform, um die folgenden Ansichten zu sehen.

Die gesamte Alarm-Route wurde grundlegend überarbeitet und um neue Bereiche erweitert. So sind nun auch die Menüpunkte aus der bisher bekannten Issues-Ansicht in die Alarm-Route umgezogen.

Wie du die neue Alarm-UI nutzt, erfährst du in unserer Dokumentation.

Alarme

Die Alarm-Übersicht präsentiert sich in einem grundlegend überarbeiteten Gewand, welches die Verwaltung bestehender und das Anlegen neuer Alarme merklich vereinfacht.
Besonders beim Erstellen neuer Alarme macht sich die überarbeitete Oberfläche bemerkbar. Das neue Seitenmenü führt strukturiert durch alle Schritte des Konfigurationsprozesses, sodass du jederzeit den Überblick behältst. Des Weiteren kannst du nun auch Streams sowie ganze Stream-Kataloge mittels Alarmen überwachen.

Benachrichtigungsvorlagen

Nutze Benachrichtigungsvorlagen, um die Erstellung von Alarmen noch effizienter zu gestalten. Einmal erstellt, lassen sich Benachrichtigungsvorlagen beliebig Alarmen zuordnen. Das schmälert Konfigurationsaufwand merklich und reduziert langfristig potenzielle Fehlerquellen.

Webhooks

Auch die Webhooks-Übersicht wurde neu gestaltet. Bestehende Webhooks lassen sich wie gewohnt verwalten und anlegen.

Auffälligkeiten

Was bisher als Issues bekannt war, heißt ab sofort Auffälligkeiten. Die Ansicht ist aus der Issues-Route in die Alarm-Route umgezogen und zeigt dir alle anhaltenden oder wiederkehrenden Zustände, die durch einen aktiven Alarm erkannt werden. Die neue Benennung spiegelt besser wider, worum es geht: auffällige Zustände in deiner IT-Umgebung, die Aufmerksamkeit erfordern.

Vorfälle

Was bisher nur über einen Filter innerhalb der Issues-Ansicht erreichbar war, erhält nun eine eigene Ansicht. Unter Vorfälle findest du konkrete, durch Alarme erkannte Ereignisse wie die Anmeldung eines Benutzers oder eine Änderung an einer kritischen Datei, klar getrennt von den Auffälligkeiten. Die neue Ansicht macht es einfacher, sicherheitsrelevante Aktivitäten gezielt nachzuverfolgen und im zeitlichen Verlauf zu bewerten.

Info: Die neuen Bezeichnungen Auffälligkeiten und Vorfälle werden schrittweise in der gesamten Plattform eingeführt. In einzelnen Bereichen kann es aktuell noch zu inkonsistenten Benennungen kommen. Diese werden jedoch im Laufe des Jahres im Rahmen weiterer UI-Updates nachgezogen.

TLS-Interception: Clientbasiert gegen blinde Flecken

Enginsight bringt TLS-Interception direkt auf den Host. Das zum Patent angemeldete Verfahren analysiert verschlüsselten Traffic über den Enginsight Agenten Pulsar.
Der Agent bindet sich in die lokalen SSL/TLS-Bibliotheken des Geräts ein und nutzt den dort verfügbaren Sitzungsschlüssel, um den Traffic direkt auf dem Gerät zu untersuchen.
Durch diese Herangehensweise erkennt das hostbasierte Intrusion-Detection-System auch Angriffe, die sich hinter HTTPS verstecken, wie etwa Malware-Kommunikation mit Command-and-Control-Servern. Selbst in konsequent verschlüsselten Zero-Trust-Umgebungen schafft es Enginsight nun, Licht ins Dunkel zu bringen. Der clientbasierte Ansatz ermöglicht vollständige TLS 1.3-Fähigkeit und benötigt zugleich weder zusätzliches Schlüsselmaterial noch neue Netzwerkkomponenten.
Zum aktuellen Zeitpunkt steht TLS-Interception auf Linux-Systemen zur Verfügung und ist kompatibel mit Software, die auf den weit verbreiteten Bibliotheken OpenSSL oder GnuTLS basiert. Die Kompatibilität wird jedoch in den kommenden Releases kontinuierlich ausgebaut.

Wie du die TLS-Interception einrichtest, erfährst du in unserer Dokumentation.

Import/Export: Einmal konfiguriert, immer wieder nutzbar

Die neue Import/Export-Funktion steht ab diesem Release für globale Tags und Policies zur Verfügung und soll stetig auf andere Bereiche der Plattform ausgeweitet werden. Sie ermöglicht es dir, Einstellungen aus einer Organisation zu exportieren und mit wenigen Klicks in andere Installationen oder Organisationen zu übertragen. Bewährte Setups werden so zur Vorlage und müssen nicht wieder und wieder von Grund auf neu aufgebaut werden. Das beschleunigt das Onboarding neuer Kunden erheblich und schafft eine einheitliche Grundlage über Organisationen hinweg.
Zudem werden alle Import-Vorgänge unter Aktivitäten erfasst, sodass du jederzeit nachvollziehen kannst, welche Einstellungen wann übernommen wurden.

Wie du Import und Export nutzt, erfährst du in unserer Dokumentation.

Identity Provider (BETA): Noch mehr Kontext für dein SIEM

Hinweis: Die Funktion befindet sich aktuell in der Beta-Phase. Aktiviere die Beta-Funktionalitäten in der Plattform, um die Ansicht zu sehen.

Mithilfe von Identity-Providern verbindest du Enginsight mit deinem Verzeichnisdienst. Unterstützt werden aktuell Active Directory über LDAP sowie Microsoft Entra ID. Benutzer- und Gruppeninformationen werden direkt mit den zugehörigen Logs im Data Lake gespeichert, sodass du gezielt danach suchen und auf dieser Basis eigene Dashboards erstellen kannst. So lassen sich Zusammenhänge wie Anmeldezeitpunkte, Gruppenzugehörigkeiten und betroffene Systeme schneller herstellen und direkt in Playbooks und Workflows weiterverwenden.

Wie du einen Identity Provider einrichtest, erfährst du in unserer Dokumentation.

IPv6 Unterstützung: Kein Kompromiss mehr bei IPv6

Die Enginsight Plattform unterstützt ab sofort offiziell den Betrieb unter IPv6. Die Module Pulsar Agent, Watchdog, Hacktor und Observer kommunizieren ab sofort über IPv6. IT-Umgebungen, in denen IPv6 bereits Standard ist oder in Ausschreibungen explizit gefordert wird, lassen sich damit vollständig mit Enginsight absichern und überwachen.

Weitere Neuerungen

Pulsar Agent

Erweiterte Softwareerkennung unter Windows

Der Pulsar Agent erkennt unter Windows nun auch portable Anwendungen, die über PortableApps installiert wurden. Durch erweiterte Überwachung und angepasste Erkennungslogik werden mehr installierte Programme zuverlässig erfasst, was die Abdeckung bei der Softwareinventarisierung deutlich verbessert.

Signierte Hardening-Skripte

Hardening-Skripte können nun signiert werden. Das stellt sicher, dass nur geprüfte und freigegebene Skripte zur Ausführung kommen, und erhöht die Integrität des Hardening-Prozesses spürbar.

Hacktor

Erweiterte Erkennungen

Der Hacktor erkennt ab jetzt offene Bind-Shells, die auf eine Kompromittierung des Zielsystems hinweisen können und unautorisierten Fernzugriff ermöglichen. Die SSL/TLSL-Prüfungen wurden um Ticketbleed, ROBOT, Fallback SCSV und CCS Injection erweitert, sodass diese Schwachstellen aktiv geprüft werden. Exponierte VIPA-YASKAWA-Software wird erkannt und gemeldet. Siemens S7 SPS-Module lassen sich über das ISO-TSAP-Protokoll inklusive Version, Hardware und möglicher CPE-Zuordnung identifizieren.

Observer

Erweiterte Softwareerkennung

Die Erkennung von Ivanti EPMM wurde verbessert und Ivanti Sentry wird ab sofort neu erkannt, womit die Abdeckung relevanter Softwareprodukte weiter wächst.

Optimierungen

Bei WordPress-Plugin-Scans beschränkt sich der Force-Browse auf readme.txt auf Plugins, die im jeweils letzten Scan bereits bekannt waren, wobei ein vollständiger Rescan maximal alle 7 Tage erfolgt. Die DSGVO/GDPR-Prüfung schlägt nun fehl, wenn TLS v1.0 aktiviert ist. Bei der DNS-Enumeration wurde die Anzahl sehr veralteter Record-Typen um ca. 15 reduziert, um Rate-Limiting durch öffentliche DNS-Server zu vermeiden. Insgesamt werden nun 31 Record-Typen enumeriert.

---

Release Notes 4.9.0 – Managed Streams (Beta), Environmental Score, new Alert Route (Beta), and more

With Release 4.9.0, the Enginsight SIEM gets more than 2,500 preconfigured and ready-to-use log filters with Managed Streams. You can also look forward to client-based TLS Interception, a redesigned Alert UI, and numerous other new features that make operating your systems more secure and efficient.

Managed Streams (Beta): From log source to detection in just a few steps

Please note: This feature is currently in beta status. Enable beta features in the platform to see this view.

Managed Streams, which you can find under Catalogs in the platform, are the central new feature of this release and fundamentally change how quickly you can turn raw logs into actionable insights.

Until now, setting up streams for advanced detection techniques required an understanding of how incoming logs are structured on a technical level. Fields had to be mapped manually, and filter logic had to be built from scratch. This took time and required a high level of technical expertise.
With the new Managed Streams, most of this effort is eliminated. For common log sources, we now provide preconfigured streams that cover key use cases right away. This includes not only basic scenarios such as Windows Event Logs or Active Directory, but also complex attack patterns based on Windows Event Logs or Sysmon data, which would otherwise require considerable effort to detect.
In total, more than 2,500 streams are available. Around 500 of them come directly from Enginsight, while the rest are based on Sigma, an established open standard for detection rules that is widely used in the security community.
Prebuilt catalogs allow you to quickly add and use streams for specific vendors, products, or technologies. And if you want to enrich managed streams with additional relevant metrics, you can create custom catalogs from existing managed streams and use them as the basis for alerting.
This significantly reduces the administrative effort required to set up the SIEM and helps you move faster from raw log sources to productive detection.
You can also configure directly within the stream how incidents are grouped and triggered. Follow-up events that belong to the same incident are suppressed and do not trigger additional notifications. The predefined default values enable reliable detection immediately after setup.
Processing is also significantly faster and more resource-efficient than before, allowing thousands of streams to be monitored simultaneously without putting any noticeable load on the database.

Of course, it is still possible to create your own streams manually.

Environmental Score: See what is truly critical

With the new Environmental Score feature, vulnerability ratings can be aligned even more precisely with the actual IT environment in your company. Instead of relying solely on the technical CVSS base score, Enginsight now also takes environment-specific factors into account, such as attack vectors, access restrictions, or the criticality of affected data.

Create Environmental Score Managers in which you select specific Environmental Score metrics for assets or asset groups. The selected metrics determine the Environmental Score. If an Environmental Score is available, it is used as the primary severity level in the vulnerability views for hosts and endpoints.

New Alert UI (Beta): Finally bringing together what belongs together

Please Note: This feature is currently in beta status. Enable beta features in the platform to see the following views.

The entire Alert route has been fundamentally redesigned and expanded with new areas. The menu items from the previously known Issues view have now also been moved into the Alert route.

Alerts

The alert overview has been completely redesigned, making it noticeably easier to manage existing alerts and create new ones.
The redesigned interface is especially helpful when creating new alerts. The new side menu guides you through every step of the configuration process in a structured way, so you always stay on top of things. You can now also monitor individual streams as well as entire stream catalogs using alerts.

Notification templates

Use notification templates to create alerts even more efficiently. Once created, notification templates can be assigned to any number of alerts. This noticeably reduces configuration effort and helps prevent potential sources of error in the long run.

Webhooks

The webhook overview has also been redesigned. Existing webhooks can still be created and managed as usual.

Issues

The view has moved from the Issues Route to the Alert Route and shows you all ongoing or recurring conditions detected by an active alerts.

Incidents

What was previously only accessible via a filter in the Issues view now has its own dedicated view. Under Incidents, you will find concrete events detected by alerts, such as a user login or a change to a critical file, clearly separated from issues.
The new view makes it easier to track security-relevant activities in a targeted way and evaluate them over time.

TLS Interception: Client-based visibility into blind spots

Enginsight brings TLS Interception directly to the host. The patent-pending method analyzes encrypted traffic via the Enginsight agent Pulsar. The agent integrates with the device’s local SSL/TLS libraries and uses the session key available there to inspect traffic directly on the device.
At this point, TLS Interception is available on Linux systems and is compatible with software based on the widely used OpenSSL or GnuTLS libraries. Compatibility will continue to be expanded in upcoming releases.
With this approach, the host-based intrusion detection system can also detect attacks hidden behind HTTPS, such as malware communication with command-and-control servers. Even in consistently encrypted zero-trust environments, Enginsight can now bring visibility where there were blind spots before.
The client-based approach fully supports TLS 1.3 and requires neither additional key material nor new network components.

Import/Export: Configure once, reuse again and again

As of this release, the new Import/Export feature is available for global tags and policies and will be expanded continuously in future releases. It allows you to export settings from one organization and transfer them to other installations or organizations in just a few clicks.
Proven setups can now be reused as templates instead of having to build them from scratch again and again. This significantly speeds up the onboarding of new customers and creates a consistent basis across organizations.
All import operations are also recorded under Activities, allowing you to track at any time which settings were imported and when.

Identity Provider (Beta): Even more context for your SIEM

Please note: This feature is currently in beta status. Enable beta features in the platform to see this view.

With Identity Providers, you can connect Enginsight to your directory service. Active Directory via LDAP and Microsoft Entra ID are currently supported.
User and group information is stored directly with the associated logs in the Data Lake, allowing you to search for it specifically and create your own dashboards based on this data. This makes it easier to understand relationships such as login times, group memberships, and affected systems, and to reuse this context directly in playbooks and workflows.

IPv6 Support: No more compromises with IPv6

The Enginsight platform now officially supports IPv6. The Pulsar, Watchdog, Hacktor, and Observer modules can now communicate via IPv6.
This means that IT environments where IPv6 is the default, or where IPv6 is explicitly required, can now be fully secured and monitored with Enginsight.

Additional updates

Pulsar

Extended software detection on Windows

On Windows, the Enginsight agent Pulsar now also detects portable applications installed via PortableApps. Extended monitoring and improved detection logic allow more installed programs to be reliably identified, which significantly improves software inventory coverage.

Signed hardening scripts

Hardening scripts can now be signed. This ensures that only verified and approved scripts are executed and noticeably increases the integrity of the hardening process.

Hacktor

Extended detection

The Hacktor component now detects open bind shells, which may indicate that the target system has been compromised and could allow unauthorized remote access.

SSL/TLS checks have been extended to include Ticketbleed, ROBOT, Fallback SCSV, and CCS Injection, allowing these vulnerabilities to be actively checked.

Exposed VIPA-YASKAWA software is detected and reported. Siemens S7 PLC modules can now be identified via the ISO-TSAP protocol, including version, hardware, and possible CPE mapping.

Observer

Extended software detection

Detection of Ivanti EPMM has been improved, and Ivanti Sentry is now newly detected, further expanding coverage of relevant software products.

Optimizations

For WordPress plugin scans, force browsing for readme.txt is now limited to plugins that were already known in the previous scan. A full rescan is performed at most every seven days. The GDPR check now fails if TLS 1.0 is enabled.
For DNS enumeration, the number of very outdated record types has been reduced by around 15 to avoid rate limiting by public DNS servers. In total, 31 record types are now enumerated.