Verdächtige Aktivitäten und unsichere Systeme entdecken mit EventSentry

EventSentry ist eine kosten­günstige Software zur Erkennung von Sicherheits­problemen (SIEM) in Firmen­netzwerken. Neben der Über­wachung von kritischen System­kompo­nenten kann es Risiken durch die Analyse von Schwach­stellen ver­mindern. Die neue Version 4.2 bringt vor allem Verbes­serungen bei der Präven­tion.

EventSentry überwacht unter anderem das Active Directory, Änderungen in der Registry, Prozesse sowie Benutzer- und Netzwerk­aktivitäten. So entdeckt es auch seitliche Bewegungen im Netz, wenn sich bestimmte User in kurzer Zeit an mehreren Rechnern anmelden.

Darüber hinaus liefert es zahlreiche Metriken zu Health, Leistung, Inventar oder ausstehenden Neustarts. Eine vollständige Liste der Features findet sich auf dieser Seite.

Ereignisse erfasst EventSentry in Echtzeit und verständigt, wenn gewünscht, umgehend den Administrator per Mail. Die Nachrichten sind aufschluss­reich und enthalten kontext­bezogene Informationen. So werden Begriffe erklärt, IP-Adressen in DNS-Namen aufgelöst und um Daten zur Geo-Location ergänzt.

Mit EventSentry können Anwender Daten zu Sicherheits­ereignissen korrelieren, um ein Gesamtbild von Risiken und Bedrohungen zu erhalten. Beim Versuch, forensische Daten zu sammeln, hilft es, einschlägige Fragen zu beantworten, beispielsweise wer eine  Anwendung ausgeführt hat, wann sich der Benutzer angemeldet hat und welche Dateien von welcher Arbeitsstation aus geändert wurden.

Das Webbasierte Berichtswesen bietet auch ein API, über sich die Anwendungen von Drittanbietern in das SIEM-Tool einbinden lassen.

Neue Funktionen in EventSentry v4.2

Zu den wichtigsten Neuerungen von EventSentry v4.2 gehören:

• Validierungs-Scripts
• Inventar von Browser-Erweiterungen
• Das Utility EventSentray
• Filter für Konformitäts­berichte betreffend die Administrator-Aktivitäten

Validierungs-Scripts

Die meisten SIEM-Produkte konzentrieren sich auf die Identifizierung von potenziell schädlichen Aktivitäten. EventSentry v4.2 geht jedoch mit den Validierungs-Scripts einen Schritt weiter und will dafür sorgen, dass böswilliges Verhalten möglichst keine Angriffsflächen findet. Statt also nur zu reagieren, identifiziert das Tool Schwachstellen, bevor sie ausgenutzt werden.

Mit Validierungs-Scripts lassen sich Endpunkte scannen, um bekannte Schwachstellen und unsichere Windows-Konfigurationen zu finden. Sie bestehen derzeit aus rund 60 Prüfungen für Windows Server, Workstations, Exchange Server und Office. Eine davon ist der Windows Build Version Check (OS Updated), mit dessen Hilfe man schnell feststellen kann, ob die Patches auf dem neuesten Stand sind.

Inventar für  Browser-Erweiterungen

Browser-Erweiterungen sind ein Einfallstor für uner­wünschten oder schädlichen Code, weil Benutzer diese auch ohne administrative Rechte installieren können, solange Admins dies nicht durch Gruppen­richtlinien oder andere Mechanismen unterbinden.

Wenn Benutzer die Browser-Extensionen installieren dürfen, dann ist es sehr aufschlussreich, eine komplette Übersicht über alle in der Firma genutzten Erweiterungen zu haben. Genau dies leistet EventSentry v4.2 mit der Inventarisierung der Browser-Addons.

Die anfängliche Erkennung dient als Baseline, von der ausgehend Änderungen registriert werden. Admins können sich regelmäßig benach­richtigen lassen, um über neu installierte oder aktualisierte Browser-Erweiterungen informiert zu sein.

Neues Dienstprogramm EventSentray

Sobald ein Endpunkt durch die Installation des Agenten in EventSentry v4.2 registriert ist, taucht im Tray der Workstation eine neue Anwendung auf. Sie heißt bezeichnenderweise EventSentray.

Dabei handelt es sich um ein praktisches kleines Tool, das die wesentlichen System­ressourcen des betreffenden Rechners anzeigt. Von Nutzen sind diese Informationen besonders dann, wenn sich Admini­stratoren zur Fehlerbehebung mit diesen Systemen remote verbinden.

EventSentray versammelt Daten, nach denen Admins normalerweise in mehreren Dienst­programmen suchen müssen. dazu zählen:

• CPU-, Speicher-, Platten- und Speichernutzung
• Top drei Anwendungen für CPU- und Speicherverbrauch
• IP-Adresse, Hostname und Verbindungs­geschwindigkeit
• Derzeit angemeldete Benutzer
• Eventuell bevorstehender Neustart

Darüber hinaus können Endbenutzer von dort über einen anpassbaren Link Support-Tickets einreichen. Diese enthalten die aktuellen System­informationen, welche von EventSentray erfasst werden, auf Wunsch auch als Screenshot.

Compliance-Berichte zu Administratoraktivitäten filtern

Eine Reihe von Compliance-Vorschriften erfordern, dass Unternehmen in der Lage sein müssen, über die Aktivitäten von privilegierten Benutzern Auskunft zu geben. EventSentry bietet solche Compliance-Reports schon seit geraumer Zeit. Mit Version 4.2 lassen sich diese Berichte nun filtern, um nur die Aktivitäten des Administrators im Detail anzuzeigen.

Andere Verbesserungen

Zu den weiteren Neuerungen in EventSentry v4.2 zählen Vorlagen für Dashboards. Mehrere solcher Templates gehören zum Lieferumfang der Software. Sie lassen sich importieren, um zügig eine Übersicht über verschiedene Metriken zu erzeugen. Umgekehrt kann man vorhandene Dashboards als Vorlagen exportieren, um sie bei einer anderen Installation von EventSentry wieder­zuverwenden.

Interessant ist dabei auch die Möglichkeit, nicht nur Informationen aus der SIEM-Lösung zu präsentieren, sondern auch externe Quellen einzubinden. Dazu gehören zum Beispiel die Aufnahmen von Überwachungs­kameras.

Lizenzierung und Verfügbarkeit

Im Vergleich zu den größeren Anbietern im SIEM-Markt ist EventSentry eine kostengünstige Lösung. Die Lizenzbedingungen sind zudem relativ großzügig:

• Keine Sensorbeschränkungen: EventSentry wird pro Endgerät lizenziert, so dass Anwender so viele Metriken pro Host überwachen können, wie sie möchten. Für Windows-Rechner (Client oder Server) fallen 85 USD an, für Netzwerkgeräte gilt ein Staffelpreis, der je nach Paket zwischen fünf und 10 Euro liegt.
• Unbegrenzte Daten: Unternehmen können mit EventSentry eine unbegrenzte Menge an Daten sammeln und archivieren.
• Support: Die Lizenz von EventSentry enthält ein Jahr lang E-Mail- und Telefon-Support.

Neu in der Version 4.2 ist zudem eine deutsche Dokumentation.

Netikus stellt auf seiner Website eine 30-Tage-Testversion von EventSentry zu Verfügung. Außerdem gibt es von der Software eine kostenlose Light-Version.

Fazit

Netikus ergänzt seine SIEM-Lösung in der Version 4.2 um zwei Funktionen, die einer Gefährdung von Systemen vorbeugen. Dazu zählen die Scripts zur Validierung von Windows-Konfigurationen und der Prüfung des Update-Status.

In eine ähnliche Kategorie fällt die Inventarisierung von Browser-Erweiterungen. Wenn man deren Installation durch die User nicht vollständig unterbinden möchte, dann kann man mit diesem Feature zumindest verfolgen, welche Extensionen im Unternehmen genutzt werden.

Das System-Tray-Dienstprogramm ist keine spektakuläre Neuerung, sie kann dem Administrator aber beim Support das Leben erleichtern.