Das neueste Update bringt eine Reihe von Verbesserungen, die Ihre Systeme noch effizienter und leistungsfähiger machen. Sentinel glänzt mit optimierter Performance und reduziertem Ressourcenverbrauch, während neue Integrationen wie Cisco Catalyst und S3-Backup den Funktionsumfang erweitern. Auch im Bereich der Softwareanalyse gibt es spannende Neuerungen, wie die CVE-Erkennung bei WordPress und erweiterte Windows Event-Log-Unterstützung. Entdecken Sie die vielen Optimierungen und neuen Funktionen, die Ihnen helfen, Ihre Infrastruktur noch smarter zu verwalten.
Sentinel Update
Das neueste Sentinel-Update räumt mit alten Schwächen auf und setzt neue Maßstäbe in Sachen Performance und Effizienz. Mit einer optimierten Architektur und innovativen Neuerungen sorgt es für eine noch reibungslosere Verwaltung und Kontrolle.
Mehr Performance, weniger Verbrauch
Der grundlegende Ablauf von Sentinel bleibt unverändert, jedoch wurde der Ressourcenverbrauch erheblich optimiert. Sowohl der RAM- als auch der CPU-Bedarf wurden reduziert, was zu einer gesteigerten Performance und einer geringeren Systembelastung führt. Besonders in großen Installationen zeigt sich dieser Vorteil deutlich. Durch die Ausführung von Checks ausschließlich bei Bedarf wird zudem unnötige Last vermieden.
Optimierung von Datenbanknutzung und Caching
Für die Speicherung von Zeitreihen-Metriken wird eine Timescale-Datenbank verwendet, die im Sentinelcontainer betrieben wird.
Ereignisse und Störungen neu definiert
Das Update bringt eine neue Definition von Ereignissen und Störungen mit sich. Das Verständnis beider Begriffe bildet die Basis für den effektiven Umgang mit Alarmen:
Ereignisse
Ereignisse sind einmalige Vorkommnisse, die auf einen spezifischen Zustand hinweisen und sofort überprüft werden können. Diese bleiben offen, bis das Ereignis acknowledged wird.
Beispiel: Installation eines Host-Packages
Nachdem das Paket installiert wurde, bleibt das Ereignis in der Plattform sichtbar und wird nicht automatisch geschlossen. Der Benutzer kann anschließend den Status überprüfen und das Ereignis als „acknowledged“ markieren, wenn das Update erfolgreich installiert wurde. Es bleibt offen, bis der Benutzer dies manuell bestätigt.
Störungen
Störungen betreffen anhaltende oder wiederkehrende Zustände, die über eine bestimmte Zeitspanne hinweg bestehen. Sie werden automatisch geschlossen, sobald der Zustand nicht mehr zutrifft und das Problem behoben ist. Solange die Störung weiterhin besteht, bleibt sie aktiv und wird überwacht.
Beispiel: Hohe CPU-Auslastung
Eine dauerhaft hohe CPU-Auslastung über 90 % bleibt als Störung aktiv, solange der Wert überschritten wird. Sobald die Auslastung wieder unter 90 % sinkt und stabil bleibt, wird die Störung automatisch als „resolved“ geschlossen. Eine Störung wird auch automatisch geschlossen, wenn der betroffene Host offline geht, da der Zustand nicht mehr überwacht werden kann.
Die im folgenden aufgeführten Szenarien werden Störungen zugeordnet:
| Host | Endpunkt | Observer |
| Host Temperatur | Tage bis Zertifikatsablauf | Ping nicht verfügbar |
| Alle Festplatten (verwendet %) | Verbindungsabfrage blockiert | Port nicht erreichbar |
| Alle Festplatten (verfügbar %) | Webseite nicht verfügbar | Unerwarteter SNMP-Status |
| Systemrelevanter Service läuft nicht | Datenschutzverstoß | SNMP nicht verfügbar |
| Port nicht erreichbar (TCP) | ||
| Port nicht erreichbar (UDP) | ||
| Prozess wird ausgeführt | ||
| Prozess wird nicht ausgeführt | ||
| Dienst wird ausgeführt | ||
| Dienst wird nicht ausgeführt | ||
| Host nicht erreichbar | ||
| Host Neustart benötigt |
Alle nicht hier aufgeführten Szenarien erzeugen Ereignisse und werden dementsprechend wie oben beschrieben von der Plattform gehandhabt.
Vorteile der neuen Handhabung
Mit der neuen Handhabung können Sie Ereignisse nun schrittweise abarbeiten und erst dann manuell schließen, wenn der Alarm überprüft wurde. Diese Vorgehensweise bietet Ihnen eine klare To-Do-Liste, in der alle detektierten Ereignisse stets sichtbar bleiben. So haben Sie jederzeit die Möglichkeit, zu überprüfen, ob ein Ereignis weiterhin relevant ist, Handlungsbedarf besteht oder ob es sicher geschlossen werden kann. Dies verbessert die Nachverfolgbarkeit und optimiert die Effizienz bei der Bearbeitung der Alarme.
Datenfluss
Die Übertragung neuer Daten erfolgt ausschließlich über Redis Streams, wodurch die Verwendung von MongoDB Change Streams entfällt. Dieser Wechsel sorgt für eine verbesserte Stabilität und Performance. Alle Szenarien und Metriken zu aktuellen Funktionalitäten wurden vollständig übernommen.
Weitere Neuerungen
Logging-Umstellung in allen zentralen Services
In Watchdog, Observer und Hacktor wurde das interne Logging vollständig von journalctl auf eigene Logfiles umgestellt. Diese Änderung schafft mehr Kontrolle über Datensparsamkeit, erleichtert die Einhaltung interner Datenschutzrichtlinien und verbessert die Transparenz und Nachvollziehbarkeit von Systemaktivitäten.
SIEM
S3-Unterstützung für verschlüsselte Log-Backups
Loggernaut unterstützt ab sofort auch S3 als Backup-Ziel. Neu ist zudem die optionale age-Verschlüsselung, die nun sowohl für SFTP- als auch S3-Backups verfügbar ist. Dadurch lassen sich Logdaten lokal oder cloudbasiert sichern – jeweils automatisiert, sicher verschlüsselt und ohne zusätzlichen Aufwand.
Loggernaut: Neue Extractoren und Kollektoren
Loggernaut wurde um mehrere neue Extractoren und Kollektoren erweitert. Ab sofort können auch Daten aus consistec caplon, Cisco Firepower, Checkpoint API, Securepoint UTM, Sophos Central und Cisco Catalyst direkt verarbeitet werden. Diese Erweiterungen sorgen für eine nahtlose Integration in Ihre Infrastruktur und verbessern die Flexibilität bei der Datenverarbeitung – ohne zusätzliche Tools oder Zwischenstationen.
Verbesserte Unterstützung für Windows Event Logs
Bei der Anbindung von Windows-Quellen im SIEM ist Pulsar jetzt in der Lage, benutzerdefinierte Windows-Eventlog-Kanäle in der Systemsprache des jeweiligen Hosts automatisch zu erkennen und bei Bedarf zu abonnieren – sofern dies über die Benutzeroberfläche konfiguriert wurde.
Pulsar
Protokollabhängige Lebensdauer von Logs
Mit der neuen Version von Pulsar lassen sich nun pro Logquelle individuelle TTLs (Time-to-Live) definieren. So behalten Sie präzise die Kontrolle darüber, wie lange bestimmte Ereignisdaten vorgehalten werden – differenziert nach Quelle, Inhalt und Relevanz.
Watchdog
Verbesserte Asset-Erkennung und Performance
Der Watchdog erkennt passiv erfasste Assets, dank Auswertung von UDP und weiteren Protokollen, jetzt noch zuverlässiger. Auch die Klassifizierung von Betriebssystemen wurde verbessert und deckt nun z. B. iOS, iPadOS und Android zuverlässiger ab. Gleichzeitig wurde die CPU-Auslastung reduziert, was zu einer insgesamt schlankeren Laufzeit führt.
Observer
Effizientere Analysen und erweiterte Softwareerkennung
Der Observer wurde spürbar in seiner Performance optimiert, insbesondere im Bereich Apps und TLS-Analysen. Darüber hinaus wurde die Erkennung verbreiteter Softwareprodukte erweitert, u. a. um Ivanti Connect Secure, Ivanti EPMM, TestLink, Moodle und weitere.
Hacktor
Neue Checks und CVE-Erkennung bei WordPress
Hacktor bringt in dieser Version eine Reihe gezielter Verbesserungen:
- Die Enumeration der 2500 meistgenutzten WordPress-Plugins ermöglicht nun die automatische Zuordnung bekannter CVEs, ein echter Mehrwert für Webanwendungsanalysen.
- Neue Checks wurden ergänzt, unter anderem zur Erkennung von:
- HTTP-Methoden TRACE und TRACK
- offener Jenkins Groovy-Konsole
- Informationslecks in öffentlich erreichbaren Elasticsearch-Instanzen
Auch die allgemeine Performance wurde verbessert, insbesondere in den Bereichen HTTP, App-Analyse und SSL/TLS, mit spürbar geringerer CPU-Belastung.
