Hosts (Pulsar-Agent)

Folgend erhalten Sie Informationen zu den Funktionen unseres Pulsar-Agent zur Überwachung von Servern sowie Clients mit Windows oder Linux.

Enginsight liefert eine umfassende Lösung zur Überwachung und Absicherung Ihrer Server und Clients. Spüren Sie Sicherheitslücken, die durch veraltete Software oder fehlerhafte Konfigurationen entstehen, auf und schließen Sie diese direkt aus der Plattform. Den proaktiven Möglichkeiten steht eine intelligente Erkennung von Angriffen und Anomalien zur Seite.

Für diese tief greifende Analyse und Absicherung im Inneren Ihrer Server und Clients, ist die Installation unseres Pulsar-Agents auf den jeweiligen System notwendig. Folgend erfahren Sie, wie Sie den Agent installieren und damit Ihre IT-Sicherheit verbessern.

Was bedeutet Host?

Der Begriff Host wird oft als Synonym für Computer oder Server verwendet. Auf der Enginsight Plattform verstehen wir hierunter die Systeme, auf denen der Enginsight Pulsar-Agent installiert ist bzw. installiert werden kann.

Der Pulsar-Agent

Mit dem Ausführen des unten stehenden Kommandos wird der Enginsight Pulsar-Agent auf dem Zielsystem installiert. Der Agent überträgt die Servermetriken über eine verschlüsselte Verbindung zur Enginsight Cloud. Dabei erfolgt die Verbindung ausschließlich einseitig, ausgehend vom Agent. Eine direkte Kommunikation von der Cloud zum Agent ist ausgeschlossen. Wenn Sie den entsprechenden Host wieder löschen, wird sich auch der Agent auf dem Zielsystem automatisch deinstallieren.

Systemanforderungen

Der Agent muss mit Root-Rechten laufen.

Hier erhalten Sie eine Übersicht über die aktuell unterstützten Betriebssysteme.

Installation (einen neuen Host anlegen)

In diesem Abschnitt erfahren Sie, wie Sie unseren Pulsar-Agent auf Ihrem System installieren können.

Wie das geht, erklären wir auch in unserem Video: "Deine 5 ersten Schritte":

Um einen neuen Host hinzuzufügen, gehen Sie im Top-Menü auf den Reiter “Hosts”. Entweder installieren Sie einen "Server Host" oder einen "Client Host".

Zur Überwachung von Windows- oder Linux-Servern ist eine Server-Lizenz (Basic, Premium, Professional) die ideale Wahl. Sie bietet im Gegensatz zur Client-Lizenz einen größeren Funktionsumfang. Welche Funktionen Sie nutzen können, hängt von dem gewählten Lizenzmodell ab.

Um einen auf Windows oder Linux basierenden PC/Laptop zu überwachen, reicht in der Regel eine Client-Lizenz. Sie bietet einen geringeren Funktionsumfang und kann nur zusätzlich zu einem existierenden Abonnement (mind. eine Server-Lizenz) gebucht werden. Sollten Sie jedoch weitere Funktionen oder eine noch tiefgreifendere Analyse für Ihren Client wünschen, können Sie ganz einfach eine Server-Lizenz für ihren Client verwenden.

Anschließend wählen Sie bitte Ihr Betriebssystem aus.

Klicken Sie auf das Bild, um es zu vergrößern

Linux

Geben Sie bitte den curl Befehl, den Sie nun sehen, in Ihr Terminal ein. Sie benötigen root Zugriff, um den Client zu installieren.

Klicken Sie auf das Bild, um es zu vergrößern

Sie werden nun aufgefordert unser End User License Agreement (EULA) zu akzeptieren. Dieses Dokument finden Sie hier. Mit dem Download unseres Agents erklären Sie sich mit den Geschäftsbedingungen aus dem EULA einverstanden.

Zum Schluss sollten Sie eine Meldung erhalten, dass der Pulsar-Agent erfolgreich installiert wurde.

Klicken Sie auf das Bild, um es zu vergrößern

Windows

Führen Sie das Installationsskript als root aus. Drücken Sie dazu: Windows-Taste + R und geben Sie “cmd” ein. Kopieren Sie sich den angegebenen Befehl und fügen Sie diesen im cmd ein und drücken Sie auf Enter.

Klicken Sie auf das Bild, um es zu vergrößern

Sie werden nun aufgefordert unser End User License Agreement (EULA) zu akzeptieren. Dieses Dokument finden Sie hier. Mit dem Download unseres Agents erklären Sie sich mit den Geschäftsbedingungen aus dem EULA einverstanden.

Damit der Agent arbeiten kann, müssen Sie außerdem WinPcap installieren. Bitte folgen Sie anschließend den Anweisungen des WinPcap Setup Wizards, welcher während der Agent-Installation automatisch startet.

Klicken Sie auf das Bild, um es zu vergrößern

Zum Schluss sollten Sie eine Meldung erhalten, dass der Pulsar-Agent erfolgreich installiert wurde.

Klicken Sie auf das Bild, um es zu vergrößern

Das Enginsight nun korrekt mit Ihrem Gerät kommuniziert, erkennen Sie an folgendem Bildschirm innerhalb der Plattform:

Klicken Sie auf das Bild, um es zu vergrößern

Hier können Sie nun einen technischen und fachlichen Verantwortlichen bestimmen und festlegen ob:

  • Die Ausführung von benutzerdefinierten Plugins auf diesem Host erlaubt werden soll (Mehr Infos).

  • Der Netzwerkmitschnitt erlaubt werden soll (Mehr Infos).

Agent aktualisieren

Der Enginsight Pulsar-Agent wird von uns laufend aktualisiert. Damit alle (neuen) Funktionen wie gewünscht funktionieren, ist es nötig, dass Sie den Agent stets auf dem aktuellen Stand halten.

In der Host-Übersicht wird bei jedem Host die installierte Version des Agents angezeigt. Handelt es sich dabei nicht um die aktuellste Version, zeigt die Plattform einen entsprechenden Hinweis.

Um den Agent zu aktualisieren haben Sie zwei Möglichkeiten:

  • Sie können den Agent auf einem einzelnen Host aktualisieren. Klicken Sie dazu den Host an und klicken Sie auf "Agent aktualisieren".

  • Wollen Sie den Agent auf allen Hosts gleichzeitig auf auf den aktuellen Stand bringen, klicken Sie in in der Hostübersicht auf "Agents aktualisieren". Sie erhalten eine Auflistung, auf welchen Hosts nicht die neuste Version läuft. Klicken Sie auf "Aktualisieren", um die neuste Version des Agents auf allen Hosts auszurollen.

Proxy

Falls im Unternehmen ein Proxy zum Einsatz kommt, muss dieser angegeben werden. Während der interaktiven Installation wird Enginsight versuchen, den verwendeten Proxy zu erkennen und Sie fragen, ob dieser verwendet werden soll.

Alternativ kann der Proxy auch im Installationsskript direkt angegeben werden. Dazu die folgenden Parameter verwenden:

Windows Umgebungen: -proxy <scheme>://<host>:<port>
Linux Umgebungen: proxy=<scheme>://<host>:<port>

Beispiel: Interaktive Installation

Folgend zwei Beispiele für die interaktive Installation des Pulsar-Agent mit Proxy Parameter.

Windows:

powershell
$dl='https://dev-api.enginsight.com/v1/_/pulsar/latest/ngs-pulsar-amd64-setup.exe'
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
(New-Object System.Net.WebClient).DownloadFile($dl,"$env:TEMP\setup.exe");
& "$env:TEMP\setup.exe" `
-identifier jClWfzsPdJ9J3RZaIc2YVsmvKbxaR1JO -license server `
-accessKeyId **** `
-accessKeySecret **** `
-api https://dev-api.enginsight.com `
-proxy http://1.1.1.1:00

Linux:

curl -sSL https://dev-api.enginsight.com/v1/_/pulsar/setup.sh | sudo -E bash -s \
identifier=jClWfzsPdJ9J3RZaIc2YVsmvKbxaR1JO license=server \
accessKeyId=**** \
accessKeySecret=**** \
api=https://dev-api.enginsight.com \
proxy=http://1.1.1.1:00

Beispiel: Automatische Installation

Für die automatische Installation muss der Proxy Parameter bei Bedarf dem Installationsskript mitgegeben werden. Ansonsten versucht Enginsight, den Proxy automatisch zu ermitteln.

Windows:

powershell
$dl='https://dev-api.enginsight.com/v1/_/pulsar/latest/ngs-pulsar-amd64-setup.exe'
(New-Object System.Net.WebClient).DownloadFile($dl,"$env:TEMP\setup.exe");
& "$env:TEMP\setup.exe" `
-acceptEula=true -interactive=false -license server `
-accessKeyId **** `
-accessKeySecret **** `
-api https://dev-api.enginsight.com `
-proxy http://1.1.1.1:00

Linux:

curl -sSL https://dev-api.enginsight.com/v1/_/pulsar/setup.sh | sudo -E bash -s \
acceptEula=true license=server \
accessKeyId=**** \
accessKeySecret=**** \
api=https://dev-api.enginsight.com \
proxy=http://1.1.1.1:00

Nachträgliche Änderung des Proxy Parameters

Möchten Sie nachträglich die Proxy Parameter des Pulsar-Agent ändern, können Sie dies über die config.json erledigen. Diese finden Sie hier:

Windows: C:\Program Files\Enginsight\Pulsar\config.json

Linux: opt\enginsight\pulsar

Deinstallation

Falls Sie den Agent von einem Ihrer Hosts deinstallieren wollen, können Sie das ganz bequem innerhalb der Enginsight Plattform erledigen. Gehen Sie zunächst auf die Hostübersicht, indem Sie in der Navigationsbar auf Hosts drücken. Suchen Sie den gewünschten Host und klicken Sie erst auf die 3 Punkte innerhalb der Übersichtskachel und dann auf löschen.

Danach müssen Sie die Löschung nochmals bestätigen.

Beachten Sie, dass damit alle Daten des Hosts unwiederbringlich gelöscht werden.

Klicken Sie auf das Bild, um es zu vergrößern

Manuelle Deinstallation

Sollte es passieren, dass der Löschvorgang nicht durchgeführt werden kann, können Sie den Agent mit kurzen Befehlen manuell auf dem Host deinstallieren. Eine manuelle Deinstallation ist nur in wenigen Ausnahmefällen nötig. Nutzen Sie ansonsten immer die beschriebene Deinstallationsmöglichkeit über die Plattform.

Linux

Um den Agent auf Linux zu deinstallieren reichen die folgenden zwei Zeilen, welche Sie als Superuser im Terminal ausführen müssen.

sudo systemctl stop ngs-pulsar
sudo systemctl disable ngs-pulsar

Windows

Eine manuelle Deinstallation unter Windows nehmen Sie in der Konsole (Strg + r, "cmd.exe" ausführen) vor, die Sie mit Administratorrechten ausführen müssen. Führen Sie einfach folgende zwei Zeilen aus:

sc stop Enginsight Pulsar
sc delete Enginsight Pulsar

Übersicht

Hier finden Sie einen Überblick über Ihre Hosts. Viele Informationen können Sie bereits an dieser Stelle der Plattform entnehmen. Für weitere Informationen klicken Sie einfach auf den jeweiligen Host.

Hostinformationen

Übersicht

Hier erhalten Sie eine Übersicht über die wichtigsten Eckdaten und Analyseergebnisse Ihres Hosts. Unter anderem finden Sie hier konkrete Handlungsempfehlungen und das Rating über Sicherheitslücken, Updates, Netzwerkaktivitäten und Konfigurationen (A++, A+, A, B, C, F).

Über die linke Sidebar gelangen Sie zu den Detailansichten der jeweiligen Analysen.

Metriken

Hier finden Sie die klassischen Monitoring-Kurven über CPU, RAM, SWAP, Netzwerk, Festplattenauslastung und -leistung. Für jeden Host wird automatisch die Festplattenanzahl ermittelt und anschließend für jede Festplatte ein eigenes Diagramm für die Auslastung und Leistung erstellt.

Den Start- und Endzeitpunkt der Metriken können Sie manuell festlegen. Sie lassen sich außerdem in einen Live-Modus schalten.

Zu jeder Metrik erhalten Sie einen Quick-Alarm-Button. Damit können Sie mit nur wenigen Klicks zu jeder Metrik einen Alarm erstellen.

Custom Metriken

In dieser Übersicht sehen Sie alle, von Ihnen angelegten, benutzerdefinierten Metriken.

Klicken Sie auf das Bild, um es zu vergrößern

Mit Hilfe von benutzerdefinierten Metriken können Sie beliebige Daten Ihres Hosts überwachen, die in einem zeitlichen Verlauf darstellbar sind. Das können z.B. Daten aus einer SQL-Datenbank, Backups, Lizenzmetriken einer Software, die Anzahl aktuell eingeloggter Nutzer, die Dauer einzelner Request, Sensordaten, etc. sein. Zu allen benutzerdefinierten Metriken können selbstverständlich Alarme erstellt werden, wenn gewünscht auch via Quick Alarm Button. Sie können auch Start- und Endzeitpunkt der Metriken manuell festlegen.

Um eine benutzerdefinierte Metrik zu erstellen, müssen Sie lediglich ein Plugin anlegen, dass die Daten auf dem entsprechenden Host ausliest. Gehen Sie dazu einfach auf den Punkt Plugins unter Hosts. Beim Erstellen des Plugins können Sie bereits eine entsprechende Vorlage für eine benutzerdefinierte Metrik auswählen.

Klicken Sie auf das Bild, um es zu vergrößern

Anschließend können Sie für das Plugin direkt einen Cronjob auf dem Host definieren, um die Daten regelmäßig zu erfassen. Mehr zum Thema Plugins, erfahren Sie hier.

Software

Hier finden Sie eine Inventur Ihrer Software mit dem Softwarenamen, der Version und der Quelle der Software. So eine Aufstellung kann z.B. beim Softwarelizenz-Management oder bei der Aufstellung eines Verfahrensverzeichnisses nach DSGVO weiterhelfen.

Normalerweise überprüft Enginsight die installierte Software alle 60 Minuten. Wenn Sie Ihr Softwareinventar manuell auf den aktuellen Stand bringen wollen, klicken Sie einfach auf den "Aktualisieren"-Button.

Sie können folgende Alarme auf Software schalten:

  • Neue/entfernte Software Erhalten Sie eine Benachrichtigung, wenn Software installiert/deinstalliert wird

  • Software ist installiert Erhalten Sie eine Benachrichtigung, wenn die Software installiert ist. Via Tag können Sie so alle Ihre Hosts oder eine bestimmte Gruppe von Hosts darauf prüfen, ob eine bestimmte Software installiert ist.

  • Software ist nicht installiert Erhalten Sie eine Benachrichtigung, wenn eine Software nicht installiert ist. Via Tag können Sie so alle Ihre Hosts oder eine bestimmte Gruppe von Hosts darauf prüfen, ob eine bestimmte Software nicht installiert ist.

Autostarts

Unter Autostarts erhalten Sie eine Übersicht über Software, die bei einem Systemneustart Ihres Hosts automatisch gestartet wird.

Ein Autostart beeinflusst einerseits die Performance, kann aber auch aus Sicherheitsperspektive kritisch sein. Software, die auf einem Server oder Client läuft, erhöht immer die Angriffsfläche für mögliche Angriffe. Deshalb sollten auch aus sicherheitstechnischer Abwägung heraus, die Zahl der Autostarts auf die nötige Software beschränkt sein. Bei Servern existieren in der Regel fast keine Autostarts. Auch Schadsoftware, bspw. ein Trojaner, möchte bei jedem Reboot neu gestartet werden und kann daher in der Liste auftauchen.

Sie können Autostarts direkt aus unserer Plattform heraus löschen. Klicken Sie dazu auf das Mülleimer-Icon hinter dem Eintrag.

Neue Autostarts, insbesondere bei Servern, sollten immer auf ihre Notwendigkeit und Legitimität geprüft werden. Mit dem Alarm „Neuer Autostart“ können Sie sich daher benachrichtigen lassen, sofern ein Autostart hinzugefügt wird. Schalten Sie am besten den Alarm via Tag auf alle Ihre überwachten Server.

Dienste

Unter Dienste erhalten Sie eine Übersicht über alle laufenden und gestoppten Dienste Ihres Servers oder Clients und deren Starttype. Sie können die Dienste direkt aus der Plattform heraus starten, neustarten und stoppen.

Ein Dienst/Service ist ein Programm, das beim Start des Computers automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z.B. mit der Installation neuer Software.

Nicht jeder Service, der gestoppt wird, ist als problematisch einzustufen. Deshalb können Sie manuell festlegen, welche Services systemrelevant sind. Standardmäßig werden alle Services als systemrelevant angenommen und eine entsprechende Warnung in der Sidebar sowie der Hostübersicht angezeigt, wenn sie gestoppt werden. Wählen Sie jedoch die Option systemrelevant ab, wird keine Warnung mehr ausgegeben, sollte der Service gestoppt worden sein.

Auch auf Dienste lassen sich Alarme schalten. Sie können sich benachrichtigen lassen, sofern ein Dienst ausgeführt bzw. nicht ausgeführt wird. Mit dem Alarm „Systemrelevanter Dienst wird nicht ausgeführt“ können Sie einen gemeinsamen Alarm auf alle systemrelevanten Dienste schalten.

Sollten Dienste unbemerkt geschlossen werden oder sich nicht wie vorgesehen mit dem Systemstart öffnen, kann dies sowohl den Betrieb als auch die Sicherheit Ihres Systems gefährden.

Erweiterte Dienstüberwachung

Standardmäßig überwacht der Enginsight Pulsar-Agent nur automatisch gestartete Dienste auf den Hosts, da dies für die allermeisten Fälle ausreichend ist. Wollen Siealle Dienste mit Enginsight überwachen, aktivieren Sie in den erweiterten Einstellungen des Hosts die Option „Erweiterte Dienstüberwachung“.

Verbindungen

Unter Verbindungen finden Sie eine Übersicht der geöffneten Ports Ihrer Server und Clients. Diese sollten Sie regelmäßig kontrollieren, um potenzielle Einfallstore für Hacker zu erkennen oder ungewollt offene Verbindungen aufzuspüren. Sie erhalten Informationen zum Status, der lokalen Adresse (LADDR), der Ziel-Adresse (RADDR) und dem Prozessnamen der geöffneten Ports.

Wir unterscheiden zwischen folgenden Status:

  • LISTEN: Der Port hört sich nach einkommenden Verbindungen um und wartet auf Verbindungsversuche.

  • ESTABLISHED: Es ist eine Verbindung hergestellt.

  • TIME_WAIT: Der Port wurde geschlossen, noch im Netzwerk befindliche Pakete werden verarbeitet.

  • CLOSE_WAIT: Das Gegenüber hat die Verbindung beendet.

  • SYN_RECV: Es wurde eine Verbindungsanforderung aus dem Netzwerk empfangen.

Werfen Sie insbesondere einen Blick auf die offenen Ports im Status „Listen“. Diese Ports warten auf Verbindungsversuche. Sollten sie öffentlich erreichbar sein, sind sie unter bestimmten Umständen ein Angriffspunkt für Hackerattacken. Dies erkennen Sie an der LADDR (z.B. 0.0.0.0 bei IPv4).

Generell gilt: Je mehr Ports geöffnet sind, desto anfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende Software potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade bei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt bleiben.

Auch Trojaner oder Viren, die auf Ihr System eingedrungen sind, können Ports öffnen, um eine unerwünschte Verbindung herzustellen. Untersuchen Sie daher die hergestellten Verbindungen auf ihre Richtigkeit.

Mit dem Alarm "Neuer offener Port" können Sie sich alarmieren lassen, wenn ein neuer Port geöffnet wird. Wir empfehlen den Alarm via Tag auf alle Ihre überwachten Server zu schalten.

Prozesse

Hier finden Sie eine Auflistung über alle auf Ihrem System laufenden Prozesse (inkl. Prozess ID), dem Prozessnamen, etwaigen Unterprozessen und dem Benutzer. Damit ist es auch möglich, Alarme zu erstellen, die bestimmte Prozesse involvieren. Beispielsweise eine Warnung per Email, wenn ein bestimmter Prozess auf Ihrem Host nicht mehr verfügbar ist. Dafür können Sie auch den Quick-Alarm-Button nutzen. Es ist auch möglich, Prozesse direkt aus der Plattform heraus zu schließen (KILL).

Konfigurationen

Hier erhalten Sie eine Checkliste über die Konfigurationen ihres Hosts. Falsch gesetzte Konfigurationen können ein Einfallstor für Hacker darstellen. Sie zu überprüfen und zu korrigieren sollte daher einen zentralen Stellenwert in jeder IT-Sicherheits-Strategie einnehmen.

Für folgende Betriebssysteme liefert Enginsight bereits Konfigurationsrichtlinien:

  • Microsoft Windows Server 2008, 2012, 2016, 2019

  • Microsoft Windows 10

  • Chanonical Ubuntu 16

  • Red Hat Enterprise Linux 6, 7

  • SUSE Linux Enterprise Server 12

Zu jeder Konfiguration erhalten Sie eine Beschreibung sowie einen Check- und Fix-Text. Klicken Sie dazu auf "Details zur Konfiguration". Für einige Konfigurationen unterstützt Enginsight eine automatische Umsetzung direkt aus der Plattform, klicken Sie dazu einfach auf "AUTOFIX". Um die Konfiguration manuell zu beheben, klicken Sie auf "MANUELL BEHEBEN", vergeben einen Kommentar und bestätigen Ihren Fix. Eine Übersicht über die gefixten Konfigurationen erhalten Sie unter dem Reiter "Behobene Konfigurationen".

Sie können auch eigene Richtlinien erstellen und diese mit Listen Ihren Hosts zuordnen. Alle Informationen dazu, finden Sie hier.

Sicherheitslücken

Unter Sicherheitslücken finden Sie die Ergebnisse unseres CVE-Scanners (Schwachstellen-Scanners).

Zu jeder Sicherheitslücke erhalten Sie den CVE-Score und die ID der Sicherheitslücke. Zu jeder CVE ist eine Quelle verlinkt, bei der Sie tiefgehende Informationen zur Sicherheitslücke erhalten, zum Beispiel die National Vulnerability Database des National Institute of Standards and Technology (NIST).

Wir geben Ihnen außerdem Hinweise zu Zugriff und Auswirkungen.

Unter Aktionen erhalten Sie eine Hilfestellung, um zur aktuellen Version der von der CVE betroffenen Software zu gelangen. Bei Windows-Systemen ist hier bei Windows spezifischen Sicherheitsupdates das entsprechende Update verlinkt. Sofern ein kumulatives Update vorliegt, können Sie es direkt aus der Plattform installieren. Bei Third-Party Software finden Sie einen Link zum Download der aktuellen Version auf der Herstellerwebseite. Bei Linux-Systemen lassen sich sowohl die systemeigenen Updates als auch Third-Party Software direkt aus der Plattform patchen. Mehr Informationen zur Update-Funktion innerhalb der Enginsight-Plattform, finden Sie hier.

Es kann vorkommen, dass Sicherheitslücken permanent angezeigt werden, obwohl sie keine Relevanz besitzen. Dies ist der Fall, wenn in der Original-Software ein CVE vorliegt, der jedoch in der bestimmten Implementierung nicht zum Tragen kommt und daher vom Hersteller nicht gefixt wird. Hiervon sind insbesondere Linux-Systeme (Ubuntu, Debian) betroffen.

Systemevents

Hier erhalten Sie eine Übersicht über alle detektierten Systemevents des einzelnen Hosts. Das sind beispielsweise fehlgeschlagene bzw. erfolgreiche Login-Versuche.

Weitere Informationen zum Feature Systemevents und der Ihnen zu Verfügung stehenden Übersicht der Events auf allen überwachten Hosts erhalten Sie hier.

Netzwerkaktivitäten

Unter Netzwerkaktivitäten finden Sie die Analyseergebnisse des Netzwerkverkehrs des einzelnen Hosts. Mit Filtern können Sie sich die Ergebnisse nach Kategorie, Kontinent und Risikolevel filtern lassen. Sie können die Auswahl auch auf einen bestimmten Zeitraum einschränken.

Es steht Ihnen auch eine Übersicht über die Analyseergebnisse aller überwachter Hosts zu Verfügung. Alle Information dazu und weitere Erläuterungen zum Feature Netzwerkaktivitäten finden Sie hier.

Updates

Unter Updates finden Sie eine Auflistung derjenigen Updates, welche sich mit Enginsight einspielen lassen. Wählen Sie die gewünschten Updates aus und patchen Sie Ihre Software, indem Sie auf "Pakete aktualisieren" klicken.

Über neue verfügbare Updates können Sie sich mit dem Alarm "Neue Updates verfügbar" informieren lassen. Nutzen Sie dazu einfach den Quick-Alarm-Button.

Mehr Infos zu Updates mit Enginsight finden Sie hier.

AutoUpdate

Mit Enginsight können Sie Systemupdates auch automatisch einspielen. Konfigurieren Sie die Ausführung von AutoUpdates in den Einstellungen des einzelnen Hosts. Sie haben die Möglichkeit AutoUpdates auf sicherheitsrelevante Updates zu beschränken und das System automatisch neuzustarten, sofern dies nötig ist, um das Update abzuschließen. Über einen Cron-Ausdruk legen Sie den Zeitpunkt für die Ausführung von Updates fest. Wenn Sie möchten, können Sie bestimmte Updates ausschließen.

Machine Learning

Hier finden Sie die Profile der von Ihnen mit dem Machine Learning-Modul überwachten Metriken.

Hier erfahren Sie, wie Sie die Überwachung einrichten.

Einstellungen

Nehmen Sie unter Einstellungen Ihre persönlichen Konfigurationen vor. Achten Sie insbesondere darauf, ob die Ausführung von Plugins erlaubt ist, die Analyse des Netzwerkverkehrs aktiviert und ob ein Mitschnitt der Systemevents erfolgen soll.

Berichte

Die Analyseergebnisse von Enginsight lassen sich auch als PDF-Report ausgeben. Klicken Sie dazu einfach auf Report erstellen und Sie erhalten einen aktuellen Überblick über Ihren Host.

Ein Host-Bericht umfasst:

  • Metriken und Custom Metriken

  • Konfigurationen

  • CVEs / Schwachstellen

  • Netzwerkaktivitäten

  • Updates

Jobs

Hier finden Sie einen Verlauf über alle auf Ihrem Host ausgeführten Skripte. Wenn z. B. der Enginsight Pulsar-Agent auf Ihrem System geupdated wurde oder wenn Sie selbst ein Skript auf einigen Hosts ausgeführt haben, finden Sie hier einen entsprechenden Eintrag. Der Eintrag enthält unter anderem auch eine Logdatei mit der Standardausgabe (stdout) und der Fehlerausgabe (stderr), falls aufgetreten.

Klicken Sie auf das Bild, um es zu vergrößern

Sicherheit

Netzwerkaktivitäten

Unter Netzwerkaktivitäten finden Sie die Analyseergebnisse des Netzwerkverkehrs. Mit Filtern können Sie sich die Ergebnisse nach Host, Kategorie, Kontinent und Risikolevel filtern lassen. Sie können die Auswahl auch auf einen bestimmten Zeitraum einschränken. Auch eine Weltkarte, auf der Sie visualisiert sehen, von wo die Angriffe stammen, können Sie sich anzeigen lassen.

Mit dem Alarm "Verdächtiger Netzwerkverkehr" können Sie sich über Angriffsszenarien informieren lassen.

Achten Sie darauf, dass Sie den Netzwerkmitschnitt erst in den Einstellungen des jeweiligen Hosts aktivieren müssen, um das Feature Netzwerkaktivitäten nutzen zu können.

Enginsight erkennt folgende Szenarien:

  • SYN-Flooding

  • ARP-Spoofing

  • MAC-Spoofing

  • Ping of Death

  • Ping-DDoS

  • Blacklist IP Database

  • DNS-Spoofing

  • Port Scan

    • TCP

    • UDP

  • Bruteforce

    • SSH

    • MySQL

    • MongoDB

    • HTTP Basic Authentication

    • FTP

    • RDP

    • VNC

    • SMB

  • Cross Site Scripting

  • HTTP Request Corruption

  • HTTP Response Splitting

  • HTTP Request Smuggling

  • Remote Code Execution

  • Path Traversal

  • SQL Injection

  • Bot-Aktivität

Systemevents

Unter dem Navigationspunkt Systemevents finden Sie die Übersicht über alle detektierten Events auf Ihren überwachten Hosts. Das sind beispielsweise fehlgeschlagene bzw. erfolgreiche Login-Versuche.

Klicken Sie auf das Bild, um es zu vergrößern

In der linken Spalte finden Sie verschiedene Filtermöglichkeiten, um genau die gewünschten Events finden zu können. Die rechte Spalte beinhaltet ein Diagramm, in dem sie die Anzahl der Events über einen gewissen Zeitraum sehen. Darunter befinden sich die Events mit kurzer Beschreibung, der Kategorie, sowie dem Host, auf dem das Event ausgelöst wurde. Letztendlich finden Sie auch die Zeit, in der das Event erkannt wurde.

Sie wollen die Events eines bestimmten Zeitraums sehen? Klicken Sie einfach in den Graphen und markieren Sie den gewünschten Bereich

Update Manager

Im Update Manager finden Sie eine Auflistung anstehender Updates auf allen Ihren Hosts. Hier lassen sich mehrere Updates auf mehreren Systemen gemeinsam einspielen. Wählen Sie dafür die gewünschten Updates aus, klicken auf "Updateplan validieren" und bestätigen den Plan, indem Sie auf "Updateplan ausführen" klicken.

Windows

Bei Windows-Systemen lassen sich mit dem Update Manager windowsspezifische Kumulative Updates einspielen. Sofern Windows Server Update Services (WSUS) vorhanden ist, wird auf diesen zurückgegriffen.

Updates von Third-party Software lässt sich bisher bei Windows-Systemen nicht mit dem Update Manager installieren.

Linux

Auf Linux-Systemen ist das Einspielen generell aller Patches möglich, auch von Third-party Software.

Peacemaker

Der Enginsight Peacemaker hilft Ihnen bei der Verwaltung Ihrer System-Updates. Hier sehen Sie auf einen Blick, wie viele Aktualisierungen für einen Host zur Verfügung stehen.

Hier haben Sie einen Überblick über Ihre gesamten Hosts. Das Risikolevel zeigt Ihnen dabei direkt an, wie kritisch die Updates für die Sicherheit des Hosts sind. Damit haben Sie ständig einen Überblick über die Gefährdungslage Ihrer Hosts. Über Update verwalten können Sie außerdem bequem die vorhandenen Updates einspielen.

Klicken Sie auf das Bild, um es zu vergrößern

Automatisierung

Plugins

Hinter dem Punkt Plugins verbirgt sich ein sehr mächtiges Werkzeug. Hier können Sie eigene Skripte erstellen, die sich dann auf von Ihnen ausgewählten Hosts ausführen lassen. Z. B. können Sie dadurch eine Änderung der Firewall-Einstellungen auf allen Systemen gleichzeitig realisieren. Aktuell unterstützen wir die Laufzeitumgebungen Bash (Linux), Python 3 (Linux) und PowerShell (Windows).

Was sind Plugins?

Mit Plugins bezeichnen wir Skripte, die Sie regelmäßig oder als Reaktion auf ein Systemereignis auf Ihren Systemen ausführen können. Sie können Plugins auf via Tags auf mehreren Systemen oder auch nur auf einzelnen Systemen ausführen. Die Skripte können Sie selber schreiben, für bestimmte Zwecke gibt es aber auch schon Vorlagen.

Plugin-Vorlagen

Auf der Enginsight Plattform finden Sie bereits einige Vorlagen für Plugins. Weitere Vorschläge und Ideen finden Sie unter https://github.com/enginsight.

Plugins erstellen

Um ein neues Plugin zu erstellen, klicken Sie im Top Menü auf “Hosts”, anschließend klicken Sie im linken Side-Menü auf “Plugins” und dann auf “Plugin erstellen”.

Klicken Sie auf das Bild, um es zu vergrößern

Plugins ausführen

Plugins lassen sich entweder regelmäßig ausführen, bspw. um Routineaufgaben abzuarbeiten. Oder sie können autonom auf Systemereignisse reagieren.

Regelmäßige automatische Ausführung: Mittels Cronjob

  1. Wählen Sie dafür unter 'Cronjob' entweder einen speziellen Host oder Sie wählen alle Geräte, die Sie mit einem speziellen Tag versehen haben, aus.

  2. Mittels Cron-Ausdruck legen Sie den Zeitpunkt für die regelmäßige Ausführung fest. Vergessen Sie nicht, das Häkchen bei 'Geplante Ausführung' zu setzen.

  3. Legen Sie die gewünschte Zeitzone fest, nach der sich die automatische Ausführung richten soll.

  4. Die Erstellung des Plugins schließen Sie ab, indem Sie oben rechts auf 'Neues Plugin erstellen' klicken.

Autonome Reaktion auf Systemereignis: Mittels Alarm

  1. Erstellen Sie dazu unter Alarme einen neuen Alarm. Wählen Sie unter Referenz denjenigen Host, Endpunkt oder diejenige agentlose Überwachung (Observation), auf dessen Verhalten mit dem Plugin reagiert werden soll.

  2. Legen Sie eine Bedingung für die Ausführung des Plugins fest.

  3. Vergeben Sie eine Beschreibung.

  4. Legen Sie fest, wer über die Ausführung des Plugins benachrichtigt werden soll.

  5. Wählen Sie unter Plugins den Host, auf dem das Plugin ausgeführt werden soll und das von Ihnen erstellte Plugin aus.

  6. Speichern Sie Ihren Alarm, indem Sie auf 'Alarm hinzufügen' klicken.

Machine Learning

Das Machine Learning-Modul ist in der Lage die Datenverläufe zu analysieren, zu verstehen und den Normalbetrieb zu prognostizieren. Bei ungewöhnlichen Verläufen kategorisiert es die Abweichung als low, medium oder high und löst, wenn gewünscht, einen Alarm aus.

Metriken

Legen Sie fest, welche Metriken Sie mit dem Machine Learning überwachen möchten. Die Überwachung können Sie entweder einzelnen Server-Metriken zuweisen oder Sie setzen auf die Verwendung von Tags. Wir empfehlen Ihnen Letzteres. Mittels Tags können Sie eine Vielzahl von Server-Metriken mit nur wenigen Klicks dauerhaft und autonom auf Anomalien untersuchen lassen.

Am besten erstellen Sie einen eigenen Tag für die Überwachung durch Machine Learning und ordnen ihn allen Servern zu, deren Metriken Sie überwachen möchten.

Um die Überwachung zu einzurichten, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf "+ Metriken".

  2. Vergeben Sie eine Beschreibung.

  3. Legen Sie unter "Zugeordneten Referenzen" fest, welche Hosts Sie überwachen möchten. Wählen Sie entweder einen einzelnen Host ("Ausschließlich") oder mehrere Hosts via Tags ("Alle mit den Tags").

  4. Wählen Sie unter "Metrik" fest, welche Metrik Sie überwachen möchten.

  5. Klicken Sie auf "Änderungen speichern". Enginsight beginnt unmittelbar damit, einen Normalverlauf der Metriken zu berechnen.

Damit das Machine Learning-Modul ein Profil zu einer Metrik erstellen kann, müssen über einen Zeitraum von 48 Stunden valide Metrik-Daten vorliegen. Sie können die ML-Überwachung bereits vorher einrichten, erhalten jedoch zunächst lediglich einen Hinweis, dass das Profil erst noch berechnet wird.

Neben der Überwachung der von Enginsight erfassten Standard-Metriken (CPU, RAM, Festplatten, Netzwerk usw.) können Sie auch Ihre eigenes definierten Custom Metriken mit dem Machine Learning-Modul überwachen. So können Sie Enginsight beispielsweise nutzen, um Anomalien im Verhalten von Datenbanken aufzuspüren.

Alarm auf Anomalien schalten

Um sich über Anomalien benachrichtigen zu lassen, können Sie einen Alarm erstellen.

  1. Gehen Sie dazu in das Modul Alarme und legen Sie einen neuen Alarm an.

  2. Wählen Sie als Referenz entweder einen einzelnen Host oder den von Ihnen angelegten Tag für das Machine Learning. So können Sie einen Alarm auf alle Metriken auf einmal schalten.

  3. Wählen Sie die Bedingung "Machine Learning: Ungewöhnliches Verhalten".

  4. Legen Sie fest, wer benachrichtigt werden soll.

  5. Speichern Sie den Alarm.

Der Alarm wird nur gelöst, wenn das Machine Learning-Modul die Abweichung als "high" klassifiziert.