Mit der Version 2.4.0 geben wir Ihnen neue Möglichkeiten der
Überwachung geöffneter Ports Ihrer Server und Clients. Außerdem lassen sich
Teammitglieder nun gruppieren, um Alarme effizienter zu verwalten. Durch
weitere zahlreiche Verbesserungen ist Enginsight nun noch umfassender,
performanter und intuitiver in der Bedienung.
Übersicht
- Verbindungen: Offene Ports untersuchen
- Nutzer-Gruppen
- Alarme
- RDP Bruteforce: Agent erkennt neuen Angriff
- Neustart bei AutoUpdate
- Metriken in Host-Berichten
- Observations
- Performance-Optimierung des Pulsar Agents
- Versionierung
Verbindungen: Offene Ports untersuchen
Die geöffneten Ports Ihrer Server und Clients sollten Sie regelmäßig kontrollieren, um potenzielle Einfallstore für Hacker zu erkennen oder ungewollt offene Verbindungen aufzuspüren. Deshalb bietet Enginsight unter „Verbindungen“ eine Übersicht über alle geöffneten Ports. Sie erhalten Informationen zum Status, der lokalen Adresse (LADDR), der Ziel-Adresse (RADDR) und dem Prozessnamen der geöffneten Ports.
Wir unterscheiden zwischen folgenden Status:
- LISTEN: Der Port hört sich nach einkommenden Verbindungen um und wartet auf Verbindungsversuche.
- ESTABLISHED: Es ist eine Verbindung hergestellt.
- TIME_WAIT: Der Port wurde geschlossen, noch im Netzwerk befindliche Pakete werden verarbeitet.
- CLOSE_WAIT: Das Gegenüber hat die Verbindung beendet.
- SYN_RECV: Es wurde eine Verbindungsanforderung aus dem Netzwerk empfangen.
Werfen Sie insbesondere einen Blick auf die offenen Ports im
Status „Listen“. Diese Ports warten auf Verbindungsversuche. Sollten sie
öffentlich erreichbar sein, sind sie unter bestimmten Umständen ein Angriffspunkt
für Hackerattacken. Dies erkennen Sie an der LADDR (z.B. 0.0.0.0 bei IPv4).
Auch Trojaner oder Viren, die auf Ihr System eingedrungen
sind, können Ports öffnen, um eine unerwünschte Verbindung herzustellen. Untersuchen
Sie daher die hergestellten Verbindungen auf ihre Richtigkeit.
Nutzer-Gruppen
Die zu Enginsight hinzugefügten Teammitglieder lassen sich
jetzt in Gruppen zusammenfassen. Dadurch wird die Verwaltung von Alarmen
deutlich effektiver, da sie sich mit einem Klick einem Personenkreis zuordnen
lassen. So können Ihnen etwa Gruppen für bestimmte Abteilungen dabei helfen,
dass immer die richtigen Teammitglieder benachrichtigt werden.
Alarme
Das Modul Alarme erlaubt es Benachrichtigungen auf eine
Vielzahl von Systemereignissen zu schalten und, wenn gewünscht, mit autonomen
Handlungen zu verknüpfen. Mit unserem Update haben wir einige Neuerungen
implementiert.
Neue Alarmszenarien
Wir arbeiten ständig daran, neue Alarmszenarien aufzunehmen.
Auch diesmal sind wieder einige Alarmtypen hinzugekommen, die Ihnen noch
umfassendere Überwachungsmöglichkeiten bieten.
Die neuen Alarme der Version 2.4.0:
- Neue Festplatte wird erkannt
Sie können einen Alarm darauf schalten, wenn bei einem Server oder Client eine neue Festplatte hinzugefügt wurde. - Host Neustart erforderlich
Benachrichtigen lassen können Sie sich außerdem, wenn ein Neustart bei einem Server oder Client ansteht. Eine hohe Relevanz besitzt dieser Alarm vor allem bei Updates, die einen Neustart verlangen, um abschließend installiert werden zu können. - Neue Sicherheitslücken (CVSS)
Alarme über Sicherheitslücken auf ihren Systemen können Sie jetzt von dem CVE-Score der entsprechenden Sicherheitslücke abhängig machen. So lassen sich die Alarme auf die wichtigsten Schwachstellen reduzieren.
UI überarbeitet
Auch der Benutzeroberfläche der Alarmübersicht haben wir
einen frischen Anstrich verpasst. Sie sehen jetzt schon in der Übersicht, für
welchen Alarm wie viele Issues vorliegen. Alarme lassen sich zudem einfacher
löschen.
Alias für lange Alarmbeschreibungen
In der Beschreibung von Alarmen wird Ihnen kein Zeichenlimit
vorgegeben. So lassen sich beispielsweise ganze Schritt-für-Schritt-Anleitungen
als Beschreibung vergeben. Damit in der Übersicht trotzdem eine griffige
Beschreibung auftaucht, können Sie Alarmen mit langen Beschreibungen nun einen
Alias verpassen.
RDP Bruteforce: Agent erkennt neuen Angriff
Das Remote Desktop Protocol (RDP) von Microsoft ermöglicht durch
Darstellen und Steuern des Bildschirminhalts den Fernzugriff auf Windows-Computer.
Neben seinem hohen praktischen Nutzen ist das Protokoll aber auch dafür
bekannt, ein häufiger Angriffspunkt bei Hackerattacken zu sein. Schließlich
kann der Angreifer mittels RDP einen vollständigen Zugriff auf die Systeme
erhalten.
Mit RDP-Brute-Force-Attacken versuchen Angreifer durch
massenhaftes, automatisches Ausprobieren von Benutzer- und
Passwortkombinationen in das System einzudringen. Mit der Erkennung von
Bruteforce-Attacken auf RDP haben wir unseren Erkennungsumfang von Bruteforce-Attacken
erweitert.
Enginsight erkennt Bruteforce-Attacken auf folgende Systeme:
- SSH
- SQL- und NoSQL Datenbanken
- HTTP Basic Authentication
- FTP
- RDP
Neustart bei AutoUpdate
Mit Enginsight können Sie auf Servern und Clients
automatisch Systemupdates einspielen. Ab sofort kann das System automatisch
neugestartet werden, sollte für die Fertigstellung der Installation ein
Neustart erforderlich sein.
Weiterhin können Sie:
- Den Zeitpunkt der Updates manuell festlegen,
- die Auswahl auf sicherheitsrelevante Updates einschränken, sowie
- bestimmte Updates ausschließen.
Metriken in Host-Berichten
Unsere PDF-Berichte erfreuen sich bei den Nutzerinnen und
Nutzern von Enginsight einer hohen Beliebtheit. Um die Reports weiter
aufzuwerten, erhalten Sie nun auch die Monitoring-Informationen über Ihre
Server-Metriken.
Momentan sind die Metriken der letzten sieben Tage Teil des
Berichts. In Kürze wird der Zeitraum frei wählbar sein, damit Sie den Bericht
ganz nach Ihren Wünschen gestalten können.
Observations
Mit Enginsight lassen sich alle Geräte ganz ohne Agent via Ping-
oder Port-Check auf Verfügbarkeit prüfen sowie via SNMP überwachen.
Beschreibungen für SNMP-Sensoren
Damit Sie und Ihre Kollegen immer wissen, was Sie weshalb überwachen,
können Sie nun auch für SNMP-Sensoren Beschreibungen vergeben. Die
Beschreibungstexte werden Ihnen in der Übersicht der SNMP-Sensoren angezeigt.
UI-Überarbeitung für Ping und Port-Monitoring
Die Ping- und Port-Monitoring-Übersicht hat ein neues
Gesicht erhalten, damit Sie schneller zu den wichtigsten Informationen kommen. Die
Metrik über die Erreichbarkeit der IP-Adresse oder Domain des Ping-Checks ist
nun bereits in der Übersicht zu sehen. In der Übersicht der Port-Checks sehen
Sie zudem direkt den Status der jeweiligen Ports.
Performance-Optimierung des Pulsar Agents
Unser Pulsar Agent, den Sie auf Servern und Clients
installieren können, um eine tiefgreifende Überwachung von innen zu
ermöglichen, zeichnet sich durch seine performante Programmierung aus. Durch
wesentliche Optimierungen ist es uns gelungen, vor allem den Netzwerk-Traffic des
Pulsar Agents erheblich zu reduzieren.
Achten Sie darauf, immer die neuste Version des Agents auf
ihren Hosts installiert zu haben, um alle Funktionen von Enginsight nutzen zu
können, und von der verbesserten Performance des neuen Agents zu profitieren.
Über das Feld „Agents aktualisieren“ in der Host-Übersicht können Sie den Agent
mit einem Klick auf allen ihren Servern und Clients auf den aktuellen Stand
bringen.
Um die Bedeutung der stets aktuellen Agent-Version zu
unterstreichen, haben wir die Agent-Version der einzelnen Server und Clients mit
in die Hostübersicht aufgenommen. Sollte es sich nicht um die aktuelle Version
handeln, wird dies entsprechend gekennzeichnet.
Versionierung
Wir arbeiten fleißig daran, Enginsight immer besser zu
machen. So haben wir es geschafft den Funktionsumfang stetig zu erweitern und
dabei auf die Bedürfnisse unserer Kunden zu hören. Um mehr Transparenz in den
Entwicklungsprozess zu bringen, haben wir nun eine öffentliche Versionierung
eingeführt. Die aktuelle Version von Enginsight lautet 2.4.0. SaaS-Nutzer
erhalten selbstverständlich stets automatisch die aktuelle Version von
Enginsight. Für On-Premise-Nutzer macht es die Versionierung einfacherer, die
eigene Installation auf den aktuellen Stand hin zu überprüfen.
