MENU Schließen
Schließen

Release Notes 3.21.0 – SIEM, Defence-PDF-Reports und FIM im Full-Release

Das sind die neuesten Funktionen und Verbesserungen in unserem aktuellen Release: Ja, wir haben jetzt auch ein SIEM (Security Information and Event Management) integriert. Wir gehen in diesem Beitrag ausführlich auf die Funktionalitäten ein. Außerdem haben wir die Defence-Reports ausgebaut, das File Integrity Monitoring von der Beta ins Full-Release gebracht und natürlich viele kleine fortlaufende Verbesserungen integriert. Hier alle Details zur RL 3.21.0.

SIEM – Security Information and Event Management
(nur für On-Premises)

SIEM-Power für den Mittelstand – Behalten Sie Ihre IT im Blick
Mit unserem neuen SIEM-Feature bieten wir mittelständischen Unternehmen eine leistungsstarke, schnell implementierbare Out-of-the-Box-Lösung zur Überwachung und Verwaltung ihrer IT-Sicherheit. Von der Sammlung und Normalisierung von Daten im Data Lake über die Erstellung individueller Cockpits und Workflows bis hin zur Extraktion von Informationen aus Protokolldateien und Ereignisdaten – unser SIEM-Tool bietet eine umfassende Lösung für Ihre IT-Sicherheitsanforderungen.

Data Lake – Zentrales Repository

SIEM Data Lake in Enginsight

Ein Data Lake ist ein zentrales Repository, das eine große Menge an Rohdaten speichert. Im Gegensatz zu einem hierarchischen Data Warehouse, das Daten in Dateien und Ordner speichert, verwendet ein Data Lake eine flache Architektur, um Daten zu speichern. In unserem SIEM-System werden alle Informationen über Agents und Collector Relays gesammelt, indexiert, gruppiert und im Data Lake normalisiert.

Collector Relays sind spezielle Agenten, die als Vermittler fungieren und Daten von anderen Agenten sammeln, bevor sie diese an den Data Lake weiterleiten. Diese Struktur erleichtert das Rollout erheblich und lässt sich nahtlos in Ihre vorhandene Enginsight-Infrastruktur integrieren.

Mit der enormen Menge an Daten, die in einem Data Lake gespeichert werden, kann es eine Herausforderung sein, spezifische Informationen zu finden oder zu analysieren. Hier kommen Filter ins Spiel: Sie können gezielte Filter verwenden, um den Überblick über die Vielzahl der gesammelten Einträge zu behalten. Diese Filter können nach verschiedenen Kriterien eingestellt werden, wie z. B. Datum, Quelle oder Art der Daten. Sie ermöglichen es Ihnen, schnell und effizient die benötigten Informationen zu finden und zu analysieren. Dies ist ein entscheidender Aspekt, um die Leistungsfähigkeit und den Nutzen eines Data Lake voll auszuschöpfen.

Cockpits – SIEM-Daten in der Übersicht

SIEM Cockpit in Enginsight

Erstellen Sie individuelle Cockpits aus den im Data Lake gesammelten Daten und passen Sie sie einfach an Ihre Bedürfnisse an. Entscheiden Sie selbst, welche Ansichten am besten für Ihre Zwecke geeignet sind, und passen Sie Größe, Anordnung und Darstellung mit nur wenigen Klicks an.

Obfuskatoren – Sensible Informationen schützen

Mit den Obfuskatoren können Sie bestimmte Felder einfach verschleiern und somit nur autorisierten Personen zugänglich machen. Zusätzlich können Sie eine doppelte Authentifizierung einrichten, um den Zugriff auf das SIEM-System nur autorisierten Teammitgliedern zu ermöglichen.

Dadurch können auch KRITIS-Unternehmen ihre Compliance-Anforderungen erfüllen.

Mehr zu Cybersecurity für KRITIS

Workflows

SIEM Workflows in Enginsight

Legen Sie individuelle Workflows an, indem Sie aus vordefinierten Eventstreams wählen, um bestimmte Handlungsketten zu erkennen und entsprechende Alarme auszulösen. Sie haben die Wahl zwischen MITRE Attacks, Windows Event Logs, Unified Logs (macOS) und PFSense. Definieren Sie Parameter, um festzulegen, wann ein Ereignis in einem Workflow erfasst wird.

Legen Sie beispielsweise fest, wie oft das Ereignis innerhalb eines bestimmten Zeitraums auftreten muss und mit welchem Abstand das folgende Ereignis eintreten muss, um den Workflow auszulösen. Steigern Sie die Sicherheit Ihrer IT-Infrastruktur durch die Nutzung von Workflows.

Setzen Sie gezielte Alarme auf Workflows, um die Erkennung kritischer Ereignisabfolgen zu verbessern und rechtzeitig darauf zu reagieren.

Ereignisse

In der Ereignisübersicht finden Sie alle Logs, die durch die Erfassung der Workflows ausgelöst wurden. Hier finden Sie detaillierte Informationen zu den zugehörigen Workflows.

Extraktoren

SIEM Extraktoren in Enginsight

Extrahieren Sie einfach Informationen aus Protokolldateien und Ereignisdaten, um Ihre Sicherheitsanalysen noch effektiver zu gestalten. Strukturieren Sie auch komplexe Datensätze und optimieren Sie somit die Erkennung von Muster, welche auf Sicherheitsvorfälle oder abnormes Verhalten hinweisen.

Kollektoren und Kollektor-Relais

Nutzen Sie die integrierten Kollektoren für Windows, Linux und MacOS oder fügen Sie eigene Kollektor-Relais hinzu, um die Funktion einzelner PulsarAgents als Kollektor-Relays umzuschalten und so mehr Ressourcen für die Protokollsammlung zur Verfügung zu stellen. Integrierte Kollektoren für Windows Event Logs, Unified Logs (macOS) und Syslogs (Linux) stehen zur Verfügung.

Abschließend noch ein Preview auf den Darkmode, der im SIEM bereits integriert ist. Wir rollen diesen in nächsten Releases auf die restlichen Features weiter aus. Mit einem Klick lässt sich das Dashboard damit umstellen. Der Darkmode ist nicht nur eine coole neue Funktion, sondern bietet auch praktische Vorteile. Dabei ist egal ob Sie spät in der Nacht arbeiten oder einfach nur Ihre Augen schonen möchten.

Der Enginsight Darkmode im SIEM

Defence Reports 

Detaillierte Berichte auf Knopfdruck

Defence Reports in Enginsight

Unsere Defence-Reports bieten Ihnen nun die Möglichkeit, detaillierte Berichte über Ihre Defence-Aktivitäten mit nur einem Klick als PDF zu generieren. Die Funktion ist sowohl in der SaaS-Version, als auch on-Premise verfügbar.

Über die neue Schaltfläche unter „Defence“ generieren Sie nun Berichte im PDF-Format für den gewünschten Zeitraum.

Diese Funktion ermöglicht es Ihnen, die Entwicklung Ihres Sicherheitsstandes jederzeit nachvollziehbar im Blick zu behalten und dient als wertvoller Nachweis Ihrer Abwehrmaßnahmen im Falle eines Sicherheitsvorfalls.

Und abschließend noch der Hinweis, dass das FIM-Feature, also das File Integrity Monitoring vom Beta-Status in die das Full Release wechselt. Mit FIM überwachen Sie Änderungen an Dateien und Verzeichnissen in Echtzeit – ein zusätzlicher Schutzmechanismus für maximale Systemsicherheit Ihrer IT.

Inhalt

Mehr zum Thema:

Kommende Events & Webcasts:

Weitere Beiträge im Enginsight Blog