{"id":36406,"date":"2025-11-17T19:00:00","date_gmt":"2025-11-17T18:00:00","guid":{"rendered":"https:\/\/enginsight.com\/?p=36406"},"modified":"2025-12-17T09:08:13","modified_gmt":"2025-12-17T08:08:13","slug":"release-notes-4-8-0-siem-playbooks-beta-full-release-der-hostroute-neue-host-ki-beta-uvm","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/release-notes-4-8-0-siem-playbooks-beta-full-release-der-hostroute-neue-host-ki-beta-uvm\/","title":{"rendered":"Release Notes 4.8.0 \u2013 SIEM Playbooks Beta, Full Release der Hostroute, Neue Host-KI Beta, uvm."},"content":{"rendered":"<p><strong>Please scroll down to see the<a href=\"#anker\" data-type=\"internal\" data-id=\"#anker\"> English version<\/a>.<\/strong><\/p>\n\n\n\n<p>Das Release 4.8.0 bringt spannende Neuerungen f&#xFC;r Analyse, Automatisierung und Sicherheit Ihrer Systeme mit sich. Mit den neuen SIEM Playbooks, der Host-KI und erweiterten Suchfunktionen wird die Erkennung, Bewertung und Reaktion auf Sicherheitsereignisse noch effizienter. Erg&#xE4;nzend sorgen weitere Optimierungen f&#xFC;r pr&#xE4;zisere Schwachstellenanalysen und verbesserte Performance.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Security Orchestration: Ein neues Zeitalter der automatisierten &#xDC;berwachung mit Enginsight<\/h2>\n\n\n\n<p>Mit den neuen kontextbasierten Playbooks geben wir Ihnen ein Werkzeug an die Hand, mit dem sich sicherheitsrelevante Abl&#xE4;ufe im SIEM flexibel strukturieren, automatisieren und an die eigene Umgebung anpassen lassen. &#xA0;<a id=\"_msocom_1\"><\/a><\/p>\n\n\n\n<p>Mit Update auf die <strong>Loggernaut Version 2.13.0<\/strong> stehen Ihnen alle folgenden Funktionen der Orchestrierung zur Verf&#xFC;gung.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Playbooks: Ereignisse korrelieren und automatisiert reagieren<\/h3>\n\n\n\n<p>&#xC4;hnlich wie Pivot-Tabellen lassen sich Ereignisse innerhalb der Playbooks anhand gemeinsamer Merkmale gruppieren bspw. nach betroffenen Hosts, Benutzern, Event-Typen oder auch Zeitpunkte. Dies schafft die M&#xF6;glichkeit, auch komplexe Zusammenh&#xE4;nge zwischen Ereignissen zu erfassen, diese tiefer zu analysieren und anschlie&#xDF;end automatisierte Reaktionswege einzuleiten.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Ablauf und Funktionen<\/h4>\n\n\n\n<p>Playbooks basieren auf Workflows, die aus Datenstr&#xF6;men des Data Lakes erzeugt werden. Ein Workflow wird durch definierte Bedingungen ausgel&#xF6;st, z. B. bestimmte Ereignistypen, Kombinationen von Logeintr&#xE4;gen oder Schwellenwerte.<br>Der ausgel&#xF6;ste Workflow dient als Startpunkt f&#xFC;r das Playbook und &#xFC;bergibt die zugeh&#xF6;rigen Ereignisdaten.<\/p>\n\n\n\n<p>Wie dies funktioniert, k&#xF6;nnen Sie unserem Video: <strong><a href=\"https:\/\/youtu.be\/ggUZvrzfQ-I\" data-type=\"link\" data-id=\"https:\/\/youtu.be\/ggUZvrzfQ-I\" target=\"_blank\" rel=\"noopener\">So funktionieren Playbooks im Enginsight SIEM<\/a><\/strong>, entnehmen.<\/p>\n\n\n\n<p>Darauf aufbauend k&#xF6;nnen Sie weitere Verarbeitungsschritte im Playbook definieren. <br>So stehen Ihnen aktuell die folgenden M&#xF6;glichkeiten zur Verf&#xFC;gung:<\/p>\n\n\n\n<p><strong>Datenverarbeitung<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Filter<\/strong><br>Nutzen Sie Filter, um &#xFC;bergebene Daten weiter einzugrenzen. Diese helfen Ihnen, irrelevante Daten auf Basis definierter Bedingungen herauszufiltern. So k&#xF6;nnen Sie sicherstellen, dass f&#xFC;r folgende Verarbeitungsschritte nur relevante Datens&#xE4;tze weitergegeben werden.<\/li>\n\n\n\n<li><strong>Entscheidungen<\/strong><br>Mit Entscheidungen steuern Sie den Ablauf der Prozesse innerhalb eines Playbooks. Sie werten eingehende Daten anhand von Ihnen definierter Kriterien aus und leiten diese abh&#xE4;ngig vom Ergebnis an unterschiedliche Verarbeitungspfade weiter.<\/li>\n<\/ul>\n\n\n\n<p><strong>Aktionen<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Aktion<\/strong><br>Nutzen Sie Aktionen, um automatisierte Reaktionen auszul&#xF6;sen, beispielsweise den Aufruf eines externen Systems &#xFC;ber einen Webhook oder das Versenden einer Benachrichtigung.<\/li>\n\n\n\n<li><strong>LLM (Large Language Modelle)<\/strong><br>Nutzen Sie LLMs, um Ihre Playbooks flexibler zu gestalten. LLMs unterst&#xFC;tzen Sie nicht nur bei der automatisierten Erstellung von Zusammenfassungen oder Bewertungen, sondern k&#xF6;nnen auch eigenst&#xE4;ndig Entscheidungen im weiteren Ablauf treffen. So lassen sich unter anderem verd&#xE4;chtige Login-Vorg&#xE4;nge automatisch pr&#xFC;fen oder fr&#xFC;here Aktivit&#xE4;ten eines Nutzers im Kontext bewerten. &#xA0;Die Anwendungsf&#xE4;lle sind nahezu grenzenlos. &#xDC;ber Tool-Calling greifen die Modelle dabei direkt auf relevante SIEM-Daten zu und helfen Ihnen, komplexe Sicherheitsanalysen effizient und kontextbezogen durchzuf&#xFC;hren.<\/li>\n\n\n\n<li><strong>Benachrichtigungen<\/strong><br>Nutzen Sie Benachrichtigungen, um Ereignisse automatisiert an definierte Empf&#xE4;nger oder Systeme zu &#xFC;bermitteln. Erstellen Sie benutzerdefinierte Nachrichten, die relevante Informationen direkt aus dem Playbook-Kontext enthalten und so eine gezielte Weitergabe sicherheitsrelevanter Ereignisse erm&#xF6;glichen.<\/li>\n<\/ul>\n\n\n\n<p>Auf diese Weise lassen sich sowohl einzelne Szenarien als auch komplexe Ereignisfolgen strukturiert &#xFC;berwachen, bewerten und dokumentieren.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.35.15-1024x576.png\" alt=\"\" class=\"wp-image-36408\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.35.15-1024x576.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.35.15-300x169.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.35.15-768x432.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.35.15-1536x864.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.35.15.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/figure>\n\n\n\n<p>Ein Beispiel f&#xFC;r den Einsatz eines Playbooks ist die kontextbasierte Bewertung erfolgreicher SSH-Logins (wie im Bild dargestellt). Ein Stream erfolgreicher Anmeldungen dient als Startpunkt. &#xDC;ber den Kontext werden Felder wie Hostname, Benutzer und Quell-IP aus den Logs extrahiert und an den Entscheidungspfad &#xFC;bergeben. Betreffen die Zugriffe eindeutig Test- oder lokale Systeme, endet der Ablauf. Alle &#xFC;brigen Logins werden an ein LLM weitergereicht, das auf Basis eines benutzerdefinierten Prompts die Quellenhistorie sowie die Kritikalit&#xE4;t des Zielsystems bewertet. Unauff&#xE4;llige Ereignisse beenden den Playbook-Ablauf, nur im Falle kritischer oder auff&#xE4;lliger Logins erfolgt eine Benachrichtigung &#xFC;ber manuellen Pr&#xFC;fbedarf.<\/p>\n\n\n\n<p>&#xDC;ber dieses einfache Beispiel hinaus sind die Anwendungsf&#xE4;lle f&#xFC;r Playbooks nahezu unbegrenzt. Setzen Sie Playbooks ein, um komplexe Szenarien abzubilden und Automatisierung in Ihre Prozesse zu integrieren. Das schont Ressourcen, senkt die manuelle Pr&#xFC;fbelastung und hilft Ihnen, legitime Aktivit&#xE4;ten zuverl&#xE4;ssig von relevanten Ereignissen zu unterscheiden.<\/p>\n\n\n\n<p>Wie Sie Playbooks im Detail anlegen, erfahren Sie in unserer <a href=\"https:\/\/docs.enginsight.com\/docs\/bedienung\/plattform\/siem\/security-orchestration-soar\/playbooks#playbook-hinzufugen\">Dokumentation<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Flows: Alle Details an einem Ort<\/h3>\n\n\n\n<p>Die Flow-Ansicht bietet vollst&#xE4;ndige Transparenz &#xFC;ber alle ausgel&#xF6;sten Playbooks. Sie zeigt, welche Workflows ausgef&#xFC;hrt wurden, welche Bedingungen zur Ausl&#xF6;sung f&#xFC;hrten und welche Aktionen im Anschluss erfolgten. Diese Informationen unterst&#xFC;tzen Sie dabei, Abl&#xE4;ufe gezielt nachzuvollziehen, Reaktionszeiten zu optimieren und potenzielle Fehlkonfigurationen fr&#xFC;hzeitig zu erkennen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">LLM Provider: Der Motor f&#xFC;r adaptive Playbooks<\/h3>\n\n\n\n<p>Binden Sie eigene Large Language Models (LLMs) an und nutzen Sie vorhandene Ressourcen, um die Arbeit mit Playbooks leistungsst&#xE4;rker zu gestalten. Legen Sie Nutzungslimits fest und steuern Sie gezielt, welche Modelle f&#xFC;r Analyse-, Bewertungs- oder Automatisierungsaufgaben verwendet werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Erweiterte Filterfunktionen: SIEM-Suche optimiert<\/h2>\n\n\n\n<p>Die SIEM-Suche wurde um zwei Funktionen erweitert, die gezieltere und robustere Abfragen erm&#xF6;glichen. Dies bringt besonders im Umgang mit Windows-Protokollen und dynamisch strukturierten Daten Vorteile mit sich.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img decoding=\"async\" width=\"526\" height=\"491\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.50.28.png\" alt=\"\" class=\"wp-image-36410\" style=\"width:407px;height:auto\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.50.28.png 526w, https:\/\/enginsight.com\/wp-content\/uploads\/Bildschirmfoto-2025-11-13-um-14.50.28-300x280.png 300w\" sizes=\"(max-width: 526px) 100vw, 526px\"\/><\/figure>\n\n\n\n<p>Zum einen lassen sich Suchanfragen jetzt optional ohne Ber&#xFC;cksichtigung der Gro&#xDF;- und Kleinschreibung durchf&#xFC;hren. Das ist besonders hilfreich bei der Analyse von Windows-Prozessen, bei denen Schreibweisen wie powershell.exe, PowerShell.EXE oder PoWeRsHeLl.exe technisch identisch, aber im Log unterschiedlich formatiert sein k&#xF6;nnen. Mit der neuen Option erhalten Sie konsistente Treffer unabh&#xE4;ngig davon, wie der Prozessname im Einzelfall geschrieben wurde.<\/p>\n\n\n\n<p>Zum anderen unterst&#xFC;tzt die Suche nun regul&#xE4;re Ausdr&#xFC;cke<strong> <\/strong>(Regex). Damit lassen sich auch strukturierte oder sich wiederholende Muster effizient abbilden. Dies k&#xF6;nnen etwa alle Hosts mit einem bestimmten Namenspr&#xE4;fix, Cloud-Instanzen mit projektspezifischer Bezeichnung oder Dateipfade mit variablen Komponenten sein.<\/p>\n\n\n\n<p>Beide Funktionen stehen Ihnen ab sofort plattformweit in allen SIEM-Filtern zur Verf&#xFC;gung und verbessern die Treffgenauigkeit und Flexibilit&#xE4;t bei der Ereignisanalyse.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Full Release der Host-Route: Raus aus der Beta-Phase<\/h2>\n\n\n\n<p>Was lange w&#xE4;hrt wird immer besser. Die Hostroute hat erfolgreich die Beta Phase &#xFC;berstanden und zeigt sich nun in vollem Glanz. Mit dem Full Release steht Ihnen ab sofort eine verbesserte L&#xF6;sung f&#xFC;r die Verwaltung Ihrer Hosts zur Verf&#xFC;gung. Au&#xDF;erdem k&#xF6;nnen Sie sich innerhalb der Host Route zus&#xE4;tzlich &#xFC;ber eine g&#xE4;nzlich neue Funktion, den Host Tracer, freuen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Beta Tracer: Fr&#xFC;hzeitig erkennen, was aus dem Rahmen f&#xE4;llt<\/h2>\n\n\n\n<p>Das aus der SIEM-Route bekannte Tracer-Feature ist nun auch im Host-Kontext der Enginsight Plattform als Beta-Version verf&#xFC;gbar und l&#xF6;st den Profiler in seiner Funktion als Anomalie-Erkennungs-Feature ab. Mit wenigen Klicks erstellen Sie kontextbasierte Host-Analysen und erh&#xF6;hen die Robustheit Ihrer Systeme. Mit dem Update auf Version 4.8.0. erhalten Sie alle Tracer Funktionen.<\/p>\n\n\n\n<p>Bestehende Modelle aus dem Profiler werden automatisch in den Tracer &#xFC;bertragen. Rechnen Sie mit ca. 60 Minuten f&#xFC;r die vollst&#xE4;ndige &#xDC;bertragung Ihrer Modelle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Tracer: Effiziente Anomalie Erkennung &#xA0;<\/h3>\n\n\n\n<p>Der Tracer ist in der Lage Host-Metriken kontextsensitiv &#xFC;ber l&#xE4;ngere Zeitr&#xE4;ume hinweg auszuwerten, daraus Normalverhalten abzuleiten und in diesem Zuge Anomalien zuverl&#xE4;ssig zu erkennen. Durch die Ber&#xFC;cksichtigung von Dauer sowie H&#xE4;ufigkeit der Vorkommnisse, erm&#xF6;glicht dies eine noch genauere Vorhersage und Erkennung. So k&#xF6;nnen bspw. auch viele kleine Abweichungen &#xFC;ber den Tag zielgerichtet als Anomalie priorisiert werden, w&#xE4;hrend der Tracer regelm&#xE4;&#xDF;ige Peaks als erwartetes Verhalten einzuordnen wei&#xDF;. Im Score erhalten Sie weiterhin wertvolle Einsichten in die Erkennung sowie den Grund, warum ein Bereich als Anomalie erkannt wurde.<\/p>\n\n\n\n<p>Neben einer intuitiven Benutzeroberfl&#xE4;che bietet der Tracer auch eine ressourcenschonende L&#xF6;sung der Anomalie Erkennung und kommt bei voller Leistung auch mit geringer CPU-Auslastung aus.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Modelle: Aussagekr&#xE4;ftige Detailansichten<\/h2>\n\n\n\n<p>Unter Modelle finden Sie f&#xFC;r jeden angelegten Tracer, pro Host ein Modell f&#xFC;r die KI-basierte Zeitreihenanalyse.<\/p>\n\n\n\n<p><strong>F&#xFC;r belastbare Ergebnisse empfehlen wir eine Trainingsdauer von etwa einem Monat. Mindestens 7 Tage sollten nicht unterschritten werden!<\/strong><\/p>\n\n\n\n<p>In der Ansicht erhalten Sie sowohl eine grafische Darstellung des Zeitreihenverlaufs und seiner Schwankungen als auch die M&#xF6;glichkeit, weitere Detailinformationen einzublenden.<br>Zus&#xE4;tzlich bietet die Anomalie-Darstellung eine &#xDC;bersicht erkannter Auff&#xE4;lligkeiten, klassifiziert nach Kritikalit&#xE4;t. Dadurch lassen sich sowohl schleichende Ver&#xE4;nderungen als auch pl&#xF6;tzlich untypische Nutzungsmuster fr&#xFC;hzeitig erkennen.<\/p>\n\n\n\n<p>Beispiel: Ein Host zeigt unter der Woche tags&#xFC;ber gleichm&#xE4;&#xDF;ige Auslastung, nachts und am Wochenende kaum Aktivit&#xE4;t. Kommt es pl&#xF6;tzlich zu erh&#xF6;hter Aktivit&#xE4;t am Samstag um 3 Uhr morgens, stuft die Host-KI das automatisch als relevant ein, unabh&#xE4;ngig von starren Grenzwerten.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-14-1024x576.png\" alt=\"\" class=\"wp-image-36411\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-14-1024x576.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/image-14-300x169.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/image-14-768x432.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/image-14-1536x864.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/image-14.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Weitere Neuerungen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Seitenmen&#xFC;: Anordnung nach eigenen Pr&#xE4;ferenzen<\/h3>\n\n\n\n<p>In allen neuen Routen k&#xF6;nnen Sie das Seitenmen&#xFC; jetzt individuell anordnen. Klicken Sie einfach auf das Symbol neben einem Hauptpunkt und ziehen Sie diesen an die gew&#xFC;nschte Position, um die Reihenfolge nach Ihren Priorit&#xE4;ten festzulegen.<br>Zudem lassen sich Men&#xFC;punkte dauerhaft ein- oder ausklappen, um die Ansicht &#xFC;bersichtlich zu gestalten. Nutzen Sie diese Funktion, um die Plattform ganz nach Ihren Bed&#xFC;rfnissen zu strukturieren und jederzeit den &#xDC;berblick zu behalten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Hacktor<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Aktive Erkennung von Windows ZeroLogon<\/h4>\n\n\n\n<p>Hacktor ist jetzt in der Lage aktiv Pr&#xFC;fungen durchzuf&#xFC;hren, um Systeme zu identifizieren, die f&#xFC;r die ZeroLogon-Schwachstelle anf&#xE4;llig sind. Die Erkennung hilft, betroffene Dom&#xE4;nencontroller schnell zu lokalisieren, und hilft Ihnen, damit Sie schnellstm&#xF6;glich sofortige Gegenma&#xDF;nahmen einleiten k&#xF6;nnen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Erkennung von f&#xFC;r Kerberoasting anf&#xE4;lligen Accounts<\/h4>\n\n\n\n<p>Mit der Integration des AuthProviders erkennt Hacktor Windows-Accounts, deren Ticket-Hashing (Kerberos TGS) leicht angreifbar w&#xE4;re. So lassen sich besonders gef&#xE4;hrdete Konten fr&#xFC;h markieren und zus&#xE4;tzliche H&#xE4;rtungsma&#xDF;nahmen ansto&#xDF;en.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Verbesserte Firmware- und CVE-Erkennung f&#xFC;r SNMP-f&#xE4;hige Ger&#xE4;te<\/h4>\n\n\n\n<p>Die Firmware- und CVE-Erkennung f&#xFC;r SNMP-Ger&#xE4;te wurde erweitert (z. B. AXIS, WAGO, Meraki, QNAP, Ubiquiti, Xerox, IBM u.a.). Der Hacktor ist nun in der Lage, pr&#xE4;ziser Firmware-Versionen auszulesen und bekannte Sicherheitsl&#xFC;cken zuzuordnen, sodass IoT- und Infrastrukturger&#xE4;te besser &#xFC;berwacht und priorisiert werden k&#xF6;nnen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Erkennung ungesch&#xFC;tzter HTTP-Portale mit Authentifizierungspflicht<\/h4>\n\n\n\n<p>Observer und Hacktor warnen nun vor offen erreichbaren HTTP-Portalen (z. B. Solr, Zookeeper, MongoExpress, Docker Registry), die eigentlich eine Authentifizierung voraussetzen w&#xFC;rden. So lassen sich versehentlich ver&#xF6;ffentlichte Verwaltungsoberfl&#xE4;chen schnell absichern.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Optimierung der Memory-Belastung aller HTTP-Checks<\/h4>\n\n\n\n<p>Die HTTP-Pr&#xFC;froutinen wurden hinsichtlich Speicherverbrauch stark optimiert. Das reduziert die Systemlast bei gro&#xDF;fl&#xE4;chigen Scans deutlich und erh&#xF6;ht die Skalierbarkeit sowie Stabilit&#xE4;t der Pr&#xFC;fprozesse.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1 class=\"wp-block-heading\" id=\"anker\">Release Notes 4.8.0 &#x2013; SIEM Playbooks Beta, Full Release of the Hostroute, new Host-KI Beta<\/h1>\n\n\n\n<p id=\"block-f84776e6-a380-4fb1-bbb5-a8aa1f5bbe01\">Version 4.8.0 introduces exciting innovations for analyzing, automating, and securing your systems. With the new SIEM playbooks, the host AI, and enhanced search capabilities, the detection, evaluation, and response to security events become even more efficient. Additional optimizations further enable more accurate vulnerability analysis and improved overall performance.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"block-1eb52ea2-30a9-4bca-9c31-6a0b11f6a2b2\"><strong>Security Orchestration: A New Era of Automated Monitoring with Enginsight<\/strong><\/h2>\n\n\n\n<p id=\"block-c2b1f7cc-10a0-45df-a885-7d5912afaf21\">With the new context-based playbooks, we provide you with a tool that enables you to flexibly structure, automate, and adapt security-relevant workflows within the SIEM to your specific environment.<\/p>\n\n\n\n<p id=\"block-9a55602a-ed20-4a21-88fd-497390755fda\">With the <strong>update to Loggernaut version 2.13.0<\/strong>, all of the following orchestration features are now available to you.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"block-7b263e7c-4b39-4403-af81-2aacf7142f6d\"><strong>Playbooks: Correlate Events and Automate Responses<\/strong><\/h3>\n\n\n\n<p id=\"block-57bc2812-deda-481c-ad83-d6e610cb7bdb\">Similar to pivot tables, events within playbooks can be grouped based on shared attributes, for example, affected hosts, users, event types, or timestamps. This makes it possible to capture even complex relationships between events, analyze them in greater depth, and subsequently initiate automated response workflows.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"block-fcf5fc81-4080-4417-978d-e55d18caecec\">Process and Functionality<\/h4>\n\n\n\n<p id=\"block-2818df0d-6c62-4137-a288-dcc94cc5aa0b\">Playbooks are based on workflows generated from data streams within the data Lake. A workflow is triggered by defined conditions, for example, specific event types, combinations of log entries, or threshold values.<br>The triggered workflow serves as the starting point for the playbook and passes along the associated event data.<\/p>\n\n\n\n<p>To see how this works in practice, you can refer to our video: <strong>So funktionieren Playbooks im Enginsight SIEM<\/strong><em> <\/em>(<em>German version only<\/em><em>)<\/em><em>.<\/em><\/p>\n\n\n\n<p id=\"block-a5a20f67-60ed-4328-992d-fc071450030c\">Based on this foundation, you can define additional processing steps within the playbook. The following options are currently available to you:<\/p>\n\n\n\n<p id=\"block-c5685517-356e-43d5-a729-32cdef917cff\"><strong>Datenverarbeitung<\/strong><\/p>\n\n\n\n<ul id=\"block-db86e13c-566f-4215-b659-f7934c94324b\" class=\"wp-block-list\">\n<li><strong>Filters<\/strong><br>Use filters to further narrow down the data forwarded to the playbook. They help you filter out irrelevant data based on defined conditions, ensuring that only relevant data sets are forwarded to subsequent processing steps.<\/li>\n\n\n\n<li><strong>Decisions<\/strong><br>With decisions, you control the flow of processes within a playbook. You evaluate incoming data based on criteria you define and route it to different processing paths depending on the outcome.<\/li>\n<\/ul>\n\n\n\n<p><strong>Actions<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Action<\/strong><br>Use actions to trigger automated responses, such as calling an external system via a webhook or sending a notification.<\/li>\n\n\n\n<li><strong>LLM<\/strong> <strong>(Large Language Model)<\/strong><br>Use LLMs to make your playbooks more flexible. LLMs not only support you in automatically generating summaries or assessments, but can also independently make decisions during the workflow. This enables use cases such as automatically verifying suspicious login attempts or evaluating a user&#x2019;s past activity in context. The application possibilities are virtually limitless.<br>Through tool calling, the models access relevant SIEM data directly and help you perform complex security analyses efficiently and in context.<\/li>\n\n\n\n<li><strong>Notification<\/strong><br>Use notifications to automatically forward events to defined recipients or systems. Create custom messages that contain relevant information directly from the playbook context, enabling targeted communication of security-relevant events.<\/li>\n<\/ul>\n\n\n\n<p id=\"block-48cf2751-57e7-46ee-b16d-0a25e2c0fafb\">In this way, both individual scenarios and complex sequences of events can be monitored, evaluated and documented in a structured manner.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-17-1024x576.png\" alt=\"\" class=\"wp-image-36423\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-17-1024x576.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/image-17-300x169.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/image-17-768x432.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/image-17-1536x864.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/image-17.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/figure>\n\n\n\n<p id=\"block-339f8641-4db4-461c-805b-1de42886760f\">An example of how a playbook can be used is the context-based evaluation of successful SSH logins (as shown in the image). A stream of successful logins serves as the starting point. Using <strong>Context<\/strong>, fields such as hostname, user and source IP are extracted from the logs and passed to the decision path. If the logins clearly relate to test or local systems, the process ends. All remaining logins are forwarded to an LLM, which evaluates the source history and the criticality of the target system based on a custom prompt. Unremarkable events end the playbook flow, only in the case of critical or suspicious logins, a notification for manual review triggered.<\/p>\n\n\n\n<p id=\"block-8d159f31-58e6-48af-aea2-6525ed8349ec\">Beyond this simple example, the use cases for playbooks are virtually limitless. Use playbooks to map out complex scenarios and integrate automation into your processes. This preserves resources, reduces the manual validation workload, and helps you reliably distinguish legitimate activities from relevant events.<\/p>\n\n\n\n<p>How to create playbooks in detail can be found in our <a href=\"https:\/\/docs.enginsight.com\/docs\/master\/operation\/platform\/siem\/security-orchestration-soar#Add%20Playbooks\">documentation<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"block-d1e851d7-809f-4322-b3e1-642c8b277b0c\">Flows: Alle Details an einem Ort<\/h3>\n\n\n\n<p id=\"block-4a6592a9-35e1-4f0d-b27c-95d7e3a14887\">The <strong>Flow<\/strong> view provides complete transparency over all triggered playbooks. It shows which workflows were executed, which conditions led to the trigger, and which actions were carried out afterwards. This information helps you trace processes in a targeted manner, optimize response times and identify potential misconfigurations at an early stage.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"block-12ea71ea-8859-42bd-accf-756d34819ab3\">LLM Provider: The engine for adaptive playbooks<\/h3>\n\n\n\n<p id=\"block-53c67362-301d-493d-9dd6-6819ff82aea0\">Integrate your own Large Language Models (LLMs) and make use of existing resources to make working with playbooks more powerful. Define usage limits and control precisely which models are used for analysis, evaluation or automation tasks.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"block-c8cb4456-8ecb-4eef-9ddd-59c5db094ac3\">Extended filter functions: SIEM search optimized<\/h2>\n\n\n\n<p id=\"block-034505f4-46fd-4bb6-999d-7d112a319d5b\">The SIEM search has been expanded with two functions that enable more targeted and robust queries. This is particularly useful when working with Windows logs and dynamically structured data.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"529\" height=\"492\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-15.png\" alt=\"\" class=\"wp-image-36421\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-15.png 529w, https:\/\/enginsight.com\/wp-content\/uploads\/image-15-300x279.png 300w\" sizes=\"(max-width: 529px) 100vw, 529px\"\/><\/figure>\n\n\n\n<p id=\"block-4d5c704c-f2df-4833-bb75-ae906c857167\">Firstly, search queries can now optionally be performed without considering upper and lower case. This is particularly helpful when analyzing Windows processes, where variations such as powershell.exe, PowerShell.EXE or PoWeRsHeLl.exe are technically identical but may appear in the log in different formats. With the new option, you receive consistent matches regardless of how the process name is written in each case.<\/p>\n\n\n\n<p>Secondly, the search now supports regular expressions (regex). This allows structured or recurring patterns to be efficiently represented. These may include all hosts with a specific name prefix, cloud instances with project-specific naming, or file paths with variable components.<\/p>\n\n\n\n<p id=\"block-3961e2ab-3b9e-4f4e-a399-0f6d6fad59d7\">Both functions are now available platform-wide in all SIEM filters and improve the accuracy and flexibility of event analysis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"block-05a9eb2e-52b0-418f-99aa-47f718f03735\">Full release of the host route: out of the beta phase<\/h2>\n\n\n\n<p id=\"block-3385d822-0573-43e0-8722-4cb0c72a7b83\">Good things are worth the wait &#x2014; and only get better. The host route has successfully completed the beta phase and now presents itself in full splendor. With the full release, an improved solution for managing your hosts is now available to you. In addition, you can also look forward to a completely new feature within the host route: The host Tracer.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"block-18c98103-b73b-4674-b6a5-57cfad831334\">Beta Tracer: detect early when something deviates<\/h2>\n\n\n\n<p id=\"block-e5c16cf3-d553-4cdd-a5e7-d5c8462cbfad\">The Tracer feature known from the SIEM route is now also available in the host context of the Enginsight platform as a beta version and replaces the Profiler in its function as an anomaly detection feature. With just a few clicks, you can create context-based host analyses and increase the robustness of your systems.<\/p>\n\n\n\n<p id=\"block-42956662-aa08-4784-9d32-a7d9e1cb36e9\">With the update to version 4.8.0, you receive all Tracer functions. Existing models from the Profiler are transferred to the tracer automatically. Allow approximately 60 minutes for your models to be fully migrated.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"block-8070900f-0f27-4356-9c7a-dd46747f94e0\">Tracer: Efficient anomaly detection &#xA0;<\/h3>\n\n\n\n<p id=\"block-511ece73-ba39-4d35-87c8-69ab93268bb9\">The Tracer is able to analyze host metrics in a context-sensitive manner over longer periods of time, derive normal behavior from them and reliably detect anomalies in the process. By taking into account the duration and frequency of occurrences, this enables even more accurate prediction and detection. For example, many small deviations throughout the day can be purposefully prioritized as anomalies, while the tracer recognizes regular peaks as expected behavior. In the score graph, you continue to receive valuable insights into the detection as well as the reason why an area was identified as an anomaly.<\/p>\n\n\n\n<p id=\"block-0f98ba3b-27a7-4c11-9c82-dca3d2f234cd\">In addition to an intuitive user interface, the Tracer also offers a resource-efficient solution for anomaly detection and achieves full performance even with low CPU utilization.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"block-bc05ebf1-9e9d-44df-85d0-0685f49d6f82\">Models: meaningful detailed views<\/h2>\n\n\n\n<p id=\"block-5908e319-4f6d-4b03-8688-42904095953e\">Under <strong>Models<\/strong>, you will find a model for AI-based time series analysis for each created Tracer, per host.<\/p>\n\n\n\n<p id=\"block-9a9ed57e-fd93-41d2-8277-5315c2f0b288\"><strong>For reliable results, we recommend a training period of about one month. At least 7 days of training are obligatory, however.<\/strong><\/p>\n\n\n\n<p id=\"block-3bc08ed6-370e-4f89-ae54-95824bc1029e\">In the view, you receive both a graphical representation of the time series progression and its fluctuations, as well as the option to display further detailed information.<br>In addition, the anomaly view provides an overview of detected irregularities, classified by criticality. This makes it possible to detect both gradual changes and sudden atypical usage patterns at an early stage.<\/p>\n\n\n\n<p id=\"block-a6db5406-f470-48b5-9ece-44276ab0df33\">Example: A host shows steady load during the day on weekdays and hardly any activity at night or on weekends. If there is suddenly increased activity on Saturday at 3 a.m., the host AI automatically classifies this as relevant, regardless of fixed thresholds.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-16-1024x576.png\" alt=\"\" class=\"wp-image-36422\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/image-16-1024x576.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/image-16-300x169.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/image-16-768x432.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/image-16-1536x864.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/image-16.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"block-175e97a3-d03b-4aae-9189-7f1e9ad8ad81\">Further innovations<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"block-000d7279-6143-4903-876d-d3c1f5002856\">Sidebar: arrange according to your own preferences<\/h3>\n\n\n\n<p id=\"block-51bcee65-1a17-48db-ae38-e2a8013f6826\">In all new routes, you can now arrange the sidebar individually. Simply click on the icon next to a main menu item and drag it to the desired position to define the order according to your priorities.<br>Menu items can also be permanently expanded or collapsed. Use this function to structure the platform entirely according to your needs and maintain an overview at all times.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"block-21393ebc-7e33-4d3b-b04f-5a22ca49a1de\">Hacktor<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"block-8b5cb99d-34c8-46ef-a041-f08bb2898acf\">Active detection of Windows ZeroLogon<\/h4>\n\n\n\n<p id=\"block-9f1e7188-0745-4682-81c0-df10ec1d5865\">Hacktor is now able to actively perform checks to identify systems that are vulnerable to the ZeroLogon vulnerability. The detection helps to quickly locate affected domain controllers and supports you in taking immediate countermeasures.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"block-16bf64ac-b0ee-4841-ad43-288a38266bda\">Detection of accounts vulnerable to Kerberoasting<\/h4>\n\n\n\n<p id=\"block-ad3214d9-93aa-47e5-abdc-a3e5de04fe25\">With the integration of the AuthProvider, Hacktor detects Windows accounts whose ticket hashing (Kerberos TGS) would be easily attackable. This allows particularly vulnerable accounts to be flagged early and additional hardening measures to be initiated.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"block-7b330e24-6bd9-4d58-b5c3-03fde3dd0110\">Improved firmware and CVE detection for SNMP-capable devices<\/h4>\n\n\n\n<p id=\"block-69f91336-0d01-480f-bb3d-9a37a35d4f3d\">Firmware and CVE detection for SNMP devices has been expanded (e.g. AXIS, WAGO, Meraki, QNAP, Ubiquiti, Xerox, IBM and others). Hacktor is now able to read firmware versions more precisely and match known vulnerabilities, allowing IoT and infrastructure devices to be monitored and prioritized more effectively.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"block-f3ea58f7-262b-45e6-bf59-6f6b4cdbb6d5\">Detection of unprotected HTTP portals requiring authentication<\/h4>\n\n\n\n<p id=\"block-eac539d1-73cd-45ec-8a97-3d9657505964\">Observer and Hacktor now warn about publicly accessible HTTP portals (e.g. Solr, Zookeeper, MongoExpress, Docker Registry) that should actually require authentication. This enables unintentionally exposed management interfaces to be secured quickly.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"block-fb152e63-79b5-4ee5-8640-18c2f21de7f9\">Optimization of memory load for all HTTP checks<\/h4>\n\n\n\n<p id=\"block-f12379d7-1ff4-4975-9291-6c91d5b7369a\">The HTTP check routines have been significantly optimized in terms of memory consumption. This noticeably reduces system load during large-scale scans and increases the scalability and stability of the inspection processes.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Please scroll down to see the English version. Das Release 4.8.0 bringt spannende Neuerungen f&#xFC;r Analyse, Automatisierung und Sicherheit Ihrer Systeme mit sich. Mit den neuen SIEM Playbooks, der Host-KI und erweiterten Suchfunktionen wird die Erkennung, Bewertung und Reaktion auf Sicherheitsereignisse noch effizienter. Erg&#xE4;nzend sorgen weitere Optimierungen f&#xFC;r pr&#xE4;zisere Schwachstellenanalysen und verbesserte Performance. Security Orchestration: [&#x2026;]<\/p>\n","protected":false},"author":31,"featured_media":36417,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_eb_attr":"","footnotes":""},"categories":[51],"tags":[],"class_list":["post-36406","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-release-notes"],"_links":{"self":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/36406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/users\/31"}],"replies":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/comments?post=36406"}],"version-history":[{"count":0,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/36406\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media\/36417"}],"wp:attachment":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media?parent=36406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/categories?post=36406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/tags?post=36406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}