Mit der Version 2.4.0 geben wir Ihnen neue Möglichkeiten der Überwachung geöffneter Ports Ihrer Server und Clients. Außerdem lassen sich Teammitglieder nun gruppieren, um Alarme effizienter zu verwalten. Durch weitere zahlreiche Verbesserungen ist Enginsight nun noch umfassender, performanter und intuitiver in der Bedienung.
Übersicht
- Verbindungen: Offene Ports untersuchen
- Nutzer-Gruppen
- Alarme
- RDP Bruteforce: Agent erkennt neuen Angriff
- Neustart bei AutoUpdate
- Metriken in Host-Berichten
- Observations
- Performance-Optimierung des Pulsar Agents
- Versionierung
Verbindungen: Offene Ports untersuchen
Die geöffneten Ports Ihrer Server und Clients sollten Sie regelmäßig kontrollieren, um potenzielle Einfallstore für Hacker zu erkennen oder ungewollt offene Verbindungen aufzuspüren. Deshalb bietet Enginsight unter „Verbindungen“ eine Übersicht über alle geöffneten Ports. Sie erhalten Informationen zum Status, der lokalen Adresse (LADDR), der Ziel-Adresse (RADDR) und dem Prozessnamen der geöffneten Ports.
Wir unterscheiden zwischen folgenden Status:
- LISTEN: Der Port hört sich nach einkommenden Verbindungen um und wartet auf Verbindungsversuche.
- ESTABLISHED: Es ist eine Verbindung hergestellt.
- TIME_WAIT: Der Port wurde geschlossen, noch im Netzwerk befindliche Pakete werden verarbeitet.
- CLOSE_WAIT: Das Gegenüber hat die Verbindung beendet.
- SYN_RECV: Es wurde eine Verbindungsanforderung aus dem Netzwerk empfangen.
Werfen Sie insbesondere einen Blick auf die offenen Ports im Status „Listen“. Diese Ports warten auf Verbindungsversuche. Sollten sie öffentlich erreichbar sein, sind sie unter bestimmten Umständen ein Angriffspunkt für Hackerattacken. Dies erkennen Sie an der LADDR (z.B. 0.0.0.0 bei IPv4).
Auch Trojaner oder Viren, die auf Ihr System eingedrungen sind, können Ports öffnen, um eine unerwünschte Verbindung herzustellen. Untersuchen Sie daher die hergestellten Verbindungen auf ihre Richtigkeit.
Nutzer-Gruppen
Die zu Enginsight hinzugefügten Teammitglieder lassen sich jetzt in Gruppen zusammenfassen. Dadurch wird die Verwaltung von Alarmen deutlich effektiver, da sie sich mit einem Klick einem Personenkreis zuordnen lassen. So können Ihnen etwa Gruppen für bestimmte Abteilungen dabei helfen, dass immer die richtigen Teammitglieder benachrichtigt werden.
Alarme
Das Modul Alarme erlaubt es Benachrichtigungen auf eine Vielzahl von Systemereignissen zu schalten und, wenn gewünscht, mit autonomen Handlungen zu verknüpfen. Mit unserem Update haben wir einige Neuerungen implementiert.
Neue Alarmszenarien
Wir arbeiten ständig daran, neue Alarmszenarien aufzunehmen. Auch diesmal sind wieder einige Alarmtypen hinzugekommen, die Ihnen noch umfassendere Überwachungsmöglichkeiten bieten.
Die neuen Alarme der Version 2.4.0:
- Neue Festplatte wird erkannt
Sie können einen Alarm darauf schalten, wenn bei einem Server oder Client eine neue Festplatte hinzugefügt wurde. - Host Neustart erforderlich
Benachrichtigen lassen können Sie sich außerdem, wenn ein Neustart bei einem Server oder Client ansteht. Eine hohe Relevanz besitzt dieser Alarm vor allem bei Updates, die einen Neustart verlangen, um abschließend installiert werden zu können. - Neue Sicherheitslücken (CVSS)
Alarme über Sicherheitslücken auf ihren Systemen können Sie jetzt von dem CVE-Score der entsprechenden Sicherheitslücke abhängig machen. So lassen sich die Alarme auf die wichtigsten Schwachstellen reduzieren.
UI überarbeitet
Auch der Benutzeroberfläche der Alarmübersicht haben wir einen frischen Anstrich verpasst. Sie sehen jetzt schon in der Übersicht, für welchen Alarm wie viele Issues vorliegen. Alarme lassen sich zudem einfacher löschen.
Alias für lange Alarmbeschreibungen
In der Beschreibung von Alarmen wird Ihnen kein Zeichenlimit vorgegeben. So lassen sich beispielsweise ganze Schritt-für-Schritt-Anleitungen als Beschreibung vergeben. Damit in der Übersicht trotzdem eine griffige Beschreibung auftaucht, können Sie Alarmen mit langen Beschreibungen nun einen Alias verpassen.
RDP Bruteforce: Agent erkennt neuen Angriff
Das Remote Desktop Protocol (RDP) von Microsoft ermöglicht durch Darstellen und Steuern des Bildschirminhalts den Fernzugriff auf Windows-Computer. Neben seinem hohen praktischen Nutzen ist das Protokoll aber auch dafür bekannt, ein häufiger Angriffspunkt bei Hackerattacken zu sein. Schließlich kann der Angreifer mittels RDP einen vollständigen Zugriff auf die Systeme erhalten.
Mit RDP-Brute-Force-Attacken versuchen Angreifer durch massenhaftes, automatisches Ausprobieren von Benutzer- und Passwortkombinationen in das System einzudringen. Mit der Erkennung von Bruteforce-Attacken auf RDP haben wir unseren Erkennungsumfang von Bruteforce-Attacken erweitert.
Enginsight erkennt Bruteforce-Attacken auf folgende Systeme:
- SSH
- SQL- und NoSQL Datenbanken
- HTTP Basic Authentication
- FTP
- RDP
Neustart bei AutoUpdate
Mit Enginsight können Sie auf Servern und Clients automatisch Systemupdates einspielen. Ab sofort kann das System automatisch neugestartet werden, sollte für die Fertigstellung der Installation ein Neustart erforderlich sein.
Weiterhin können Sie:
- Den Zeitpunkt der Updates manuell festlegen,
- die Auswahl auf sicherheitsrelevante Updates einschränken, sowie
- bestimmte Updates ausschließen.
Metriken in Host-Berichten
Unsere PDF-Berichte erfreuen sich bei den Nutzerinnen und Nutzern von Enginsight einer hohen Beliebtheit. Um die Reports weiter aufzuwerten, erhalten Sie nun auch die Monitoring-Informationen über Ihre Server-Metriken.
Momentan sind die Metriken der letzten sieben Tage Teil des Berichts. In Kürze wird der Zeitraum frei wählbar sein, damit Sie den Bericht ganz nach Ihren Wünschen gestalten können.
Observations
Mit Enginsight lassen sich alle Geräte ganz ohne Agent via Ping- oder Port-Check auf Verfügbarkeit prüfen sowie via SNMP überwachen.
Beschreibungen für SNMP-Sensoren
Damit Sie und Ihre Kollegen immer wissen, was Sie weshalb überwachen, können Sie nun auch für SNMP-Sensoren Beschreibungen vergeben. Die Beschreibungstexte werden Ihnen in der Übersicht der SNMP-Sensoren angezeigt.
UI-Überarbeitung für Ping und Port-Monitoring
Die Ping- und Port-Monitoring-Übersicht hat ein neues Gesicht erhalten, damit Sie schneller zu den wichtigsten Informationen kommen. Die Metrik über die Erreichbarkeit der IP-Adresse oder Domain des Ping-Checks ist nun bereits in der Übersicht zu sehen. In der Übersicht der Port-Checks sehen Sie zudem direkt den Status der jeweiligen Ports.
Performance-Optimierung des Pulsar Agents
Unser Pulsar Agent, den Sie auf Servern und Clients installieren können, um eine tiefgreifende Überwachung von innen zu ermöglichen, zeichnet sich durch seine performante Programmierung aus. Durch wesentliche Optimierungen ist es uns gelungen, vor allem den Netzwerk-Traffic des Pulsar Agents erheblich zu reduzieren.
Achten Sie darauf, immer die neuste Version des Agents auf ihren Hosts installiert zu haben, um alle Funktionen von Enginsight nutzen zu können, und von der verbesserten Performance des neuen Agents zu profitieren. Über das Feld „Agents aktualisieren“ in der Host-Übersicht können Sie den Agent mit einem Klick auf allen ihren Servern und Clients auf den aktuellen Stand bringen.
Um die Bedeutung der stets aktuellen Agent-Version zu unterstreichen, haben wir die Agent-Version der einzelnen Server und Clients mit in die Hostübersicht aufgenommen. Sollte es sich nicht um die aktuelle Version handeln, wird dies entsprechend gekennzeichnet.
Versionierung
Wir arbeiten fleißig daran, Enginsight immer besser zu machen. So haben wir es geschafft den Funktionsumfang stetig zu erweitern und dabei auf die Bedürfnisse unserer Kunden zu hören. Um mehr Transparenz in den Entwicklungsprozess zu bringen, haben wir nun eine öffentliche Versionierung eingeführt. Die aktuelle Version von Enginsight lautet 2.4.0. SaaS-Nutzer erhalten selbstverständlich stets automatisch die aktuelle Version von Enginsight. Für On-Premise-Nutzer macht es die Versionierung einfacherer, die eigene Installation auf den aktuellen Stand hin zu überprüfen.