Please scroll down to see the English version.
Freuen Sie sich auf Neuerungen, die Release 4.8.1 für Sie bereithält. Verbesserungen an der CVE-Erkennung liefern Ihnen relevante Informationen früher und die Unterstützung von Air-Gapped-Systemen schafft zusätzliche Möglichkeiten für den Betrieb von Enginsight in isolierten Infrastrukturen. Ergänzt wird das Release durch weitere Optimierungen des SIEM und der Enginsight Komponenten.
CVE-Datenbank: Mehr Daten in kürzerer Zeit
Mit der Optimierung unserer CVE-Datenbank konnten wir die Erkennung und Analyse von Schwachstellen signifikant verbessern. Durch die gezielte Anreicherung mit Daten von CVE Numbering Authorities (CNA) und Authorized Data Publishern (ADP) stehen für über 8 % der CVEs zusätzliche Metadaten nun deutlich früher zur Verfügung. Da diese Informationen in der National Vulnerability Database (NVD) häufig erst verspätet oder gar nicht enthalten sind, ergibt sich ein zeitlicher Vorsprung von rund 70 Tagen durch die Nutzung der Enginsight CVE-Datenbank.
Mehr Informationen finden Sie in unserem Blog-Artikel: CVE-Datenqualität neu gedacht: Enginsight setzt auf CNA- und ADP-Enrichment.
Air-Gapped-Systeme: Einsatz von Enginsight in vollständig isolierten Umgebungen
Enginsight ermöglicht nun auch den Betrieb und die Aktualisierung der Plattform in vollständig isolierten Netzwerken ohne Internetverbindung. Dadurch wird der Einsatz in sicherheitskritischen und regulierten Umgebungen deutlich vereinfacht.
Sie profitieren somit von mehr Flexibilität bei strengen Sicherheitsanforderungen und haben nun die Möglichkeit, Enginsight auch in abgeschotteten Infrastrukturen zuverlässig zu betreiben. Bei Interesse schreiben Sie bitte Ihren Sales-Ansprechpartner an.
Wie Sie Enginsight in einem Air-Gapped-System aktualisieren, erfahren Sie in unserem Knowledge-Base-Artikel: Wie aktualisiere ich Enginsight in einem Air-Gapped-System?.
Weitere Neuerungen
SIEM
Neuer API-Kollektor: Cynerio
Das SIEM wurde um den Cynerio-API-Kollektor ergänzt. Binden Sie die Daten Ihrer Cynerio-Anwendung nun an das Enginsight SIEM an und profitieren Sie von einer zentralen Korrelation, erweiterten Auswertungen und einer ganzheitlichen Sicherheitsübersicht.
Verbesserte Reverse-Shell-Erkennung
Zur besseren Erkennung von Reverse-Shells wurden neue IDS-Regeln ergänzt. So können entsprechende Aktivitäten zuverlässiger erkannt und ausgewertet werden.
Optimiertes Monitoring von Protokolldateien
Beim Monitoring kompletter Ordner unter „Protokolldateien“ konnte es beim Anlegen neuer Dateien kurzzeitig zu Problemen kommen. Das Verhalten wurde behoben, sodass neu angelegte Dateien in betroffenen Pfaden nun innerhalb von 1 bis 2 Minuten zuverlässig vom SIEM erfasst werden.
Zuverlässige Anbindung von Microsoft 365 Defender
Bei der Anbindung von Microsoft 365 Defender konnten erfasste Daten im SIEM in Einzelfällen nicht korrekt dargestellt werden. Das Problem wurde behoben, sodass Defender-Logs nun zuverlässig im SIEM angezeigt werden können.
Optische Hervorhebung von Kritikalitäten
Die Kritikalität von Anomalien wird in den SIEM-Cockpits nun innerhalb von Graphen farblich hervorgehoben dargestellt. Dadurch lassen sich sicherheitsrelevante Auffälligkeiten auf einen Blick schneller erfassen und besser priorisieren.
Freitextsuche mit farblicher Hervorhebung
Beim Verwenden der Freitextsuche im SIEM Datalake werden passende Bestandteile von Feldnamen nun farblich hervorgehoben. Dadurch lassen sich relevante Treffer schneller erfassen und Suchergebnisse leichter einordnen.
Streams speichern und überschreiben
Die Benutzeroberfläche zum Speichern von Streams wurde überarbeitet. Neue Streams lassen sich nun komfortabler anlegen und bestehende Streams können nun separat überschrieben werden.
Hacktor
Erweiterte WMI-Software- und OS-Erkennung
Die WMI-basierte Software- und Betriebssystem-Enumeration wurde erweitert und berücksichtigt nun auch installierte Drittanbieter-Software aus der Windows-Registry. Dies schafft ein vollständigeres sowie realistischeres Inventar der von Ihnen eingesetzten Systeme.
Optimierte Transparenz bei authentifizierten Scans
Alle über authentifizierte Zugriffe ermittelte Software- und OS-Informationen werden nun direkt innerhalb der Checks ausgegeben. Dies schafft mehr Nachvollziehbarkeit und erleichtert Ihnen die Bewertung der Ergebnisse maßgeblich.
Erkennung unterstützter Installations- und Setup-Seiten
Öffentlich erreichbare Installations- und Setup-Seiten, die abgesichert sein sollten, werden nun zuverlässig erkannt. Dazu zählen unter anderem phpMyAdmin, CloudPanel und WordPress-Installationen.
Erkennung von HTTP-VPN-Portalen mit CVE-Bewertung
HTTP-basierte VPN-Portale verschiedener Hersteller werden nun automatisch erkannt. Ergänzend erfolgt eine CVE-Erkennung für bekannte Schwachstellen, z. B. bei Barracuda, GlobalProtect, SonicWall, Sophos XG und Check Point.
Container-Orchestrierung: Skalierbare Installationen für große Infrastrukturen
Wir arbeiten aktuell an einer Enginsight Installationsmöglichkeit für bestehende Container-Orchestrierungssysteme, mit dem Ziel Deployments standardisiert, reproduzierbar und besser skalierbar umsetzen.
Die verfügbaren Optionen erproben wir bereits in enger Zusammenarbeit mit ausgewählten Partnern – mit dem Ziel, frühzeitig Erfahrungen zu sammeln und uns für zukünftige Anforderungen optimal zu positionieren.
Release Notes 4.8.1 – Enhanced CVE Detection, Support for Air-Gapped Systems, and More
Look forward to the new features in Release 4.8.1. Improvements to CVE detection give you relevant information sooner and support for air-gapped systems opens up more ways to run Enginsight in isolated infrastructures. The release is rounded out by further improvements to the SIEM and other Enginsight components.
CVE Database: More Data in Less Time
With the optimization of its own CVE database, Enginsight significantly improves the detection and analysis of vulnerabilities. In addition to the National Vulnerability Database (NVD), information is now also directly incorporated from CVE Numbering Authorities (CNA) and Authorized Data Publishers (ADP).
This means that over 8% of CVEs now have additional metadata that either isn’t included or is delayed in the NVD. This creates a time advantage of around 70 days over the NVD, enabling earlier and more targeted assessment of affected vulnerabilities.
For more information, check out our post: Enginsight’s Advanced CVE Detection.
Air-gapped systems: using Enginsight in fully isolated environments
Enginsight can now also be operated and updated in fully isolated networks without an internet connection. This makes it much easier to use the platform in security-critical and regulated environments.
This gives you more flexibility when working under strict security requirements and allows you to run Enginsight reliably even in sealed-off infrastructures. If you are interested, please contact your sales representative.
You can find out how to update Enginsight in an air-gapped system in our knowledge base article: How do I update Enginsight in an air-gapped system?.
Further Improvements
SIEM
New API Collector: Cynerio
The SIEM has been enhanced with the Cynerio API Collector. Now you can connect your Cynerio application’s data to Enginsight SIEM and benefit from centralized correlation, advanced analysis, and a comprehensive security overview.
Improved Reverse-Shell Detection
New IDS rules have been added to improve reverse shell detection. This allows related activity to be identified and analyzed more reliably.
Optimized log file monitoring
When monitoring entire folders under “Log Files,” newly created files could briefly cause issues. This has been fixed, so new files in affected paths are now reliably picked up by the SIEM within 1 to 2 minutes.
Reliable Microsoft 365 Defender integration
In some cases, data collected from Microsoft 365 Defender was not displayed correctly in the SIEM. This issue has been fixed, so Defender logs can now be shown reliably in the SIEM.
Visual highlighting of severity levels
The severity of anomalies in the SIEM dashboards is now highlighted with color directly in graphs. This makes security-relevant irregularities easier to spot at a glance and helps users prioritize them more quickly.
Free-text search with color highlighting
When using free-text search in the SIEM data lake, matching parts of field names are now highlighted in color. This makes relevant results easier to spot and helps users understand search results more quickly.
Save and overwrite streams
The user interface for saving streams has been revised. New streams can now be created more conveniently, and existing streams can now be overwritten separately.
Hacktor
Extended WMI Software and OS Detection
The WMI-based software and operating system enumeration has been expanded to now also include third-party software installed from the Windows Registry. This provides a more complete and realistic inventory of the systems you’re using.
Optimized Transparency for Authenticated Scans
All software and OS information gathered through authenticated access is now directly output within the checks. This increases traceability and makes it much easier to evaluate the results.
Detection of Supported Installation and Setup Pages
Publicly accessible installation and setup pages that should be secured are now reliably detected. This includes phpMyAdmin, CloudPanel, and WordPress installations.
Detection of HTTP VPN Portals with CVE Assessment
HTTP-based VPN portals from various vendors are now automatically detected. Additionally, a CVE detection for known vulnerabilities is provided, including for Barracuda, GlobalProtect, SonicWall, Sophos XG, and Check Point.
Container orchestration: scalable deployments for large infrastructures
We are currently working on an Enginsight installation option for existing container orchestration systems, with the goal of making deployments more standardized, reproducible, and easier to scale.
The available options are already being tested in close collaboration with selected partners, allowing us to gather early experience and position ourselves in the best possible way for future requirements.
