für SaaS: ab sofort | für On-Premises: ab sofort<\/em><\/p>\n\n\n\n Das hostbasierte Intrusion Detection und Prevention System von Enginsight ist beim Pulsar-Agent bereits inklusive. Das erlaubt günstig, ohne extra Hardware und mit minimalem Aufwand ein höheres Schutzniveau zu implementieren. Dabei skaliert das IDS\/IPS mit der IT-Infrastruktur und ist daher für Unternehmen aller Größen die richtige Wahl.<\/p>\n\n\n\n Wir haben den Funktionsumfang unseres Intrusion Detection Systems (IDS) deutlich erweitert. Neben der bereits vorhanden Angriffsarten können Enginsight Nutzer zusätzlich die SNORT Community Regeln nutzen, um Ihre Server und Clients vor Hackern zu schützen. Mit den SNORT Community Regeln und der detaillieren Analyse von Netzwerkpaketen erkennt Enginsight auch spezifischere Angriffe auf Ihre IT.<\/p>\n\n\n\n Zum Beispiel:<\/p>\n\n\n\n Trotz der deutlich erweiterten Detection haben wir die Einrichtung und Verwaltung komfortabel und einfach halten können. Um den erweiterten Erkennungsumfang zu nutzen, brauchen Sie nichts weiter tun, als der Lizenz für die Snort Community Rules für die jeweilige Organisation zuzustimmen. Das erledigen Sie in den allgemeinen Einstellungen der Organisation.<\/p>\n\n\n\n Im Anschluss können Sie das IDS nach Ihren Wünschen und Bedürfnissen konfigurieren. Dazu wurden die Snort Regeln von uns nach Performance Impact sortiert. <\/p>\n\n\n\n Sie haben die Wahl zwischen fünf Detection Levels:<\/p>\n\n\n\n Zur passgenauen Konfiguration des IDS für Ihre Server und Clients nutzen Sie am besten Tags und den Policy Manger. So lassen sich effizient die richtigen Einstellungen für jeden Server und Client wählen. Kategorisieren Sie Ihre Hosts zum Beispiel mit Tags zu Risikolevel und Leistungsreserven und legen Sie anschließend die entsprechenden Policies an.<\/p>\n\n\n\n Haben Sie bereits die Möglichkeit genutzt, Whitelists für das Intrusion Detection System anzulegen, bedürfen die Einträge einer Anpassung an das neue System. Das gilt unabhängig davon, ob Sie die Snort Community Rules aktiviert haben oder nicht.<\/p>\n\n\n\n Die Bezeichnung für den Angriff muss an die neuen Bezeichnungen angepasst werden. In der Dokumentation haben wir für Sie eine Liste hinterlegt, der Sie die neuen Bezeichnungen entnehmen können.<\/a> Auch Einträge, die für alle Angriffe galten (ALL) müssen angepasst werden. Fügen Sie stattdessen ein * ein.<\/p>\n\n\n\n Neu ist die Möglichkeit bei der Angriffsdefinition mit Wildcards (*) zu arbeiten. Zum Beispiel für:<\/p>\n\n\n\n Die bereits bekannten Whitelist-Funktionen bleiben erhalten: Im Feld Regex können Sie die Ausnahmeregel genauer spezifizieren. Dazu können Sie mit den detektierten Details des IDS arbeiten. So können Sie beispielsweise den Whitelist-Eintrag auf einen speziellen Dienst beschränken. Nutzen Sie bei Whitelisteinträgen Tags für die Host-Zuordnung, um die Ausnahmeregel einer Gruppe von Servern und Clients zuzuordnen.<\/p>\n\n\n\n Auch die Konfiguration des Intrusion Prevention Systems haben wir dem neuen Umfang an Angriffsszenarien, die erkannt und damit geblockt werden können, angepasst. Treffen Sie eine Abwägung zwischen maximaler Sicherheit und Verfügbarkeit des Systems.<\/p>\n\n\n\n Für dynamische Regelwerke stehen Ihnen fünf Level zur Verfügung:<\/p>\n\n\n\n Um die Einstellungen weiter zu spezifizieren, können Sie den Timeout, den Scope und die Dringlichkeit, ab der geblockt werden soll, anpassen. Der Timeout bestimmt die Dauer der Blockings. Mit dem Scope legen Sie fest, welche Netzwerkpakete des Angreifers geblockt werden sollen: Host (alle Pakete) oder nur die des betroffenen Service bzw. Ports. Mit der Option „Empfehlungen überschreiben“ können Sie außerdem die im Datensatz hinterlegten Empfehlungen, ob eine Verbindung geblockt werden soll, überschreiben.<\/p>\n\n\n\n Überprüfen Sie gegebenenfalls vorhandene dynamische Regelwerke nochmals, ob die neuen Einstellungen den eigenen Anforderungen entsprechen. Auch für das IPS empfiehlt es sich, die mit dem Pulsar-Agent überwachten Server und Clients mit Tags zu gruppieren, um im Anschluss die dynamischen Regelwerke zuzuordnen.<\/p>\n\n\n\n Das Server Message Block-Protokoll (SMB) wird auf Windows Servern und Clients genutzt, um Dateien über das Netzwerk freizugeben, zum Beispiel gegenüber einem Drucker oder NAS. In Einzelfällen kann die Performance der Windows Server und Clients unzureichend sein, um die Shield-Funktionalitäten für das Protokoll zu unterstützen. Überprüfen Sie daher, ob bei Ihnen hier der Bedarf zu einer Anpassung der Shield-Konfiguration nötig ist. Eine detaillierte Anleitung, wie Sie Shield für SMB deaktivieren, erhalten Sie in der Dokumentation<\/a>.<\/p>\n\n\n\n Die Inventarisierung aller Software, die sich im Einsatz befindet, ist eine wichtige Aufgabe der IT-Administration. Da ein Softwareinventar auch die Grundlage für den Scan nach Sicherheitslücken (CVE) bildet, ist es auch aus Sicherheitsaspekten gar nicht hoch genug zu bewerten. Die Installation eines Pulsar-Agents auf Ihren Servern und Clients ermöglicht Ihnen, die potenziell zeitraubende Aufgabe der Softwareinventarisierung zu automatisieren.<\/p>\n\n\n\n Neu ist die Möglichkeit, die Dateien des Servers oder Clients aktiv nach Software zu scannen. So lässt sich auch jene Software inventarisieren, die nicht mit einem regulären Installationsprogramm installiert ist. Das können beispielsweise in andere Applikationen eingebettet Programme oder Portable Apps sein.<\/p>\n\n\n\n Wollen Sie die erweiterte Softwareüberwachung aktivieren, gehen Sie in die Einstellungen des entsprechenden Hosts oder nutzen Sie den Policy Manager, um die Einstellung auf mehreren Hosts gemeinsam zu verwalten.<\/p>\n\n\n\n Wie Sie es bereits von anderen Einstellungen gewöhnt sind, können Sie jetzt auch die automatischen Updates auf Ihren Servern und Clients im Policy Manager verwalten. Das heißt, Sie brauchen nicht in die Einstellungen des einzelnen Hosts zu gehen, sondern können Tags nutzen, um die Einstellungen mehrer Hosts gleichzeitig anzupassen.<\/p>\n\n\n\n Auch hier besteht die Möglichkeit, automatische Updates auf sicherheitsrelevante Aktualisierungen zu beschränken, einen Neustart zu forcieren sowie einen gewünschten Zeitpunkt via Cron-Ausdruck festzulegen.<\/p>\n\n\n\n Führen Sie mit den Penetrationstests von Enginsight einen automatisierten Sicherheitsaudit aus Hackerperspektive durch. Entweder auf einzelne Webseiten und Server oder aber auf die gesamte IT-Infrastruktur.<\/p>\n\n\n\n Mit einem Auth-Provider können Sie Zugangsdaten von Zielsystemen hinterlegen, um mehr Informationen abrufen zu können. Der Zugriff auf das Zielsystem ermöglicht den Abruf des Betriebssystems und installierter Software. Deshalb kann Hacktor mehr Sicherheitslücken (CVEs) detektieren und validieren, als wenn ihm nur die öffentlich erreichbaren Informationen zur Verfügung stehen.<\/p>\n\n\n\n Zugangsdaten können für die folgenden Services hinterlegt werden:<\/p>\n\n\n\n Für Server und Clients, auf denen eine Version von Windows oder Linux zum Einsatz kommt, empfehlen wir weiterhin die Installation eines Enginsight Pulsar-Agents, um Sicherheitslücken von innen zu überwachen. Umfang und Validität der Ergebnisse des CVE-Scans von innen sind auch bei hinterlegtem Auth-Provider dem Hacktorscan überlegen. Darüber hinaus erlaubt der CVE-Scan mit installiertem Pulsar-Agent eine komfortablere Verwaltung und ist aus Sicherheitsaspekten zu bevorzugen, da keine Zugangsdaten hinterlegt bzw. Zugriffe freigeschaltet werden müssen.<\/p>\n\n\n\n Gerade für Netzwerkgeräte, auf denen kein Pulsar-Agent installiert werden kann, eröffnen die Auth-Providers aber eine wichtige Ergänzung für den ganzheitlichen Scan von Sicherheitslücken. Hier spielt insbesondere das SNMP-Protokoll seine Stärke aus.<\/p>\n\n\n\n Den Funktionsumfang des Penetrationstests erweitern und optimieren wir stetig. Mit der neuen Enginsight Version wird das RDP-Protokoll genauer untersucht.<\/p>\n\n\n\n Das Remote Desktop Protocol von Microsoft ermöglicht einen Fernzugriff auf den gesamten grafischen Bildschirminhalt. Eine besondere Absicherung ist daher notwendig. Die Authentifizierung sollte bereits auf Netzwerkebene erfolgen.<\/p>\n\n\n\nIntrusion Detection und Prevention: Erweiterter Erkennungsumfang und einfachere Verwaltung<\/h2>\n\n\n\n
Mehr Angriffe erkennen für besseren Schutz<\/h3>\n\n\n\n
\n
Einfache und komfortable Bedienung<\/h3>\n\n\n\n
![\"\"](\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/09\/accept_snort.png\")
<\/a>\n
Zugunsten einer maximalen Geräteperformance wird die Erkennungsrate deutlich beschnitten.<\/li>\n\n\n\n
<\/strong>Die wichtigsten Bedrohungen werden erkannt, wobei der Fokus auf einer guten Geräteperformance liegt. Wir empfehlen dieses Level für Clients und für unter hoher Last stehende Server.<\/li>\n\n\n\n
<\/strong>Das Level bietet eine Balance zwischen der Erkennung von komplexeren Bedrohungen und der Geräteperformance. Wir empfehlen dieses Level für normal ausgelastete Server.<\/li>\n\n\n\n
<\/strong>Auch seltene und spezifische Angriffe werden erkannt, Einschränkungen in der Geräteperformance sind aber möglich. Diese Einstellung ist für besonders schützenswerte Geräte oder Netzwerksegmente vorgesehen.<\/li>\n\n\n\n
<\/strong>Diese Einstellung bietet die maximale Erkennung von Bedrohungen, kann aber die Geräteperformance wesentlich beeinträchtigen. Daher ist sie nur in Einzelfällen oder für den temporären Einsatz empfehlenswert.<\/li>\n<\/ul>\n\n\n\n<\/a>IDS-Whitelists anpassen<\/h3>\n\n\n\n
\n
SERVER-WEBAPP*<\/code><\/li>\n\n\n\n*RDP*<\/code><\/li>\n\n\n\n*bruteforce*<\/code><\/li>\n<\/ul>\n\n\n\nAktualisiertes Intrusion Prevention System<\/h3>\n\n\n\n
\n
<\/strong>Zugunsten einer maximalen Verfügbarkeit werden nur wenige Bedrohungen geblockt.<\/li>\n\n\n\n
<\/strong>Die wichtigsten Bedrohungen werden geblockt, wobei der Fokus auf einer guten Verfügbarkeit liegt.<\/li>\n\n\n\n
<\/strong>Diese Einstellung wird von uns empfohlen. Sie bietet eine ideale Balance zwischen dem Blocking komplexer Bedrohungen und der Verfügbarkeit des Geräts.<\/li>\n\n\n\n
<\/strong>Auch seltene und spezifische Angriffe werden geblockt, ungewollte Einschränkungen in der Verfügbarkeit sind aber möglich. Diese Einstellung ist für besonders schützenswerte Geräte oder Netzwerksegmente vorgesehen.<\/li>\n\n\n\n
<\/strong>Diese Einstellung bietet die maximale Sicherheitsstufe, verursacht aber häufig Verfügbarkeitsprobleme. Daher ist sie nur in Einzelfällen oder für den temporären Einsatz empfehlenswert.<\/li>\n<\/ul>\n\n\n\n<\/a>Shield für SMB-Protokoll richtig konfigurieren<\/h3>\n\n\n\n
Erweiterte Softwareüberwachung auf Servern und Clients<\/h2>\n\n\n\n
AutoUpdates im Policy Manager verwalten<\/h2>\n\n\n\n
<\/a>Automatisierte Penetrationstests<\/h2>\n\n\n\n
Mehr Sicherheitslücken (CVE) mit Auth-Providers aufdecken<\/h3>\n\n\n\n
<\/a>\n
Neuer Check für Remote Desktop Protocol<\/h3>\n\n\n\n