Tags: Monitoring, Compliance, Sicherheit, Log-Management
EventSentry ist eine kostengünstige Software zur Erkennung von Sicherheitsproblemen (SIEM) in Firmennetzwerken. Neben der Überwachung von kritischen Systemkomponenten kann es Risiken durch die Analyse von Schwachstellen vermindern. Die neue Version 4.2 bringt vor allem Verbesserungen bei der Prävention.
EventSentry überwacht unter anderem das Active Directory, Änderungen in der Registry, Prozesse sowie Benutzer- und Netzwerkaktivitäten. So entdeckt es auch seitliche Bewegungen im Netz, wenn sich bestimmte User in kurzer Zeit an mehreren Rechnern anmelden.
Darüber hinaus liefert es zahlreiche Metriken zu Health, Leistung, Inventar oder ausstehenden Neustarts. Eine vollständige Liste der Features findet sich auf dieser Seite.
Ereignisse erfasst EventSentry in Echtzeit und verständigt, wenn gewünscht, umgehend den Administrator per Mail. Die Nachrichten sind aufschlussreich und enthalten kontextbezogene Informationen. So werden Begriffe erklärt, IP-Adressen in DNS-Namen aufgelöst und um Daten zur Geo-Location ergänzt.
Mit EventSentry können Anwender Daten zu Sicherheitsereignissen korrelieren, um ein Gesamtbild von Risiken und Bedrohungen zu erhalten. Beim Versuch, forensische Daten zu sammeln, hilft es, einschlägige Fragen zu beantworten, beispielsweise wer eine Anwendung ausgeführt hat, wann sich der Benutzer angemeldet hat und welche Dateien von welcher Arbeitsstation aus geändert wurden.
Das Webbasierte Berichtswesen bietet auch ein API, über sich die Anwendungen von Drittanbietern in das SIEM-Tool einbinden lassen.
Neue Funktionen in EventSentry v4.2
Zu den wichtigsten Neuerungen von EventSentry v4.2 gehören:
- Validierungs-Scripts
- Inventar von Browser-Erweiterungen
- Das Utility EventSentray
- Filter für Konformitätsberichte betreffend die Administrator-Aktivitäten
Validierungs-Scripts
Die meisten SIEM-Produkte konzentrieren sich auf die Identifizierung von potenziell schädlichen Aktivitäten. EventSentry v4.2 geht jedoch mit den Validierungs-Scripts einen Schritt weiter und will dafür sorgen, dass böswilliges Verhalten möglichst keine Angriffsflächen findet. Statt also nur zu reagieren, identifiziert das Tool Schwachstellen, bevor sie ausgenutzt werden.
Mit Validierungs-Scripts lassen sich Endpunkte scannen, um bekannte Schwachstellen und unsichere Windows-Konfigurationen zu finden. Sie bestehen derzeit aus rund 60 Prüfungen für Windows Server, Workstations, Exchange Server und Office. Eine davon ist der Windows Build Version Check (OS Updated), mit dessen Hilfe man schnell feststellen kann, ob die Patches auf dem neuesten Stand sind.
Inventar für Browser-Erweiterungen
Browser-Erweiterungen sind ein Einfallstor für unerwünschten oder schädlichen Code, weil Benutzer diese auch ohne administrative Rechte installieren können, solange Admins dies nicht durch Gruppenrichtlinien oder andere Mechanismen unterbinden.
Wenn Benutzer die Browser-Extensionen installieren dürfen, dann ist es sehr aufschlussreich, eine komplette Übersicht über alle in der Firma genutzten Erweiterungen zu haben. Genau dies leistet EventSentry v4.2 mit der Inventarisierung der Browser-Addons.
Die anfängliche Erkennung dient als Baseline, von der ausgehend Änderungen registriert werden. Admins können sich regelmäßig benachrichtigen lassen, um über neu installierte oder aktualisierte Browser-Erweiterungen informiert zu sein.
Neues Dienstprogramm EventSentray
Sobald ein Endpunkt durch die Installation des Agenten in EventSentry v4.2 registriert ist, taucht im Tray der Workstation eine neue Anwendung auf. Sie heißt bezeichnenderweise EventSentray.
Dabei handelt es sich um ein praktisches kleines Tool, das die wesentlichen Systemressourcen des betreffenden Rechners anzeigt. Von Nutzen sind diese Informationen besonders dann, wenn sich Administratoren zur Fehlerbehebung mit diesen Systemen remote verbinden.
EventSentray versammelt Daten, nach denen Admins normalerweise in mehreren Dienstprogrammen suchen müssen. dazu zählen:
- CPU-, Speicher-, Platten- und Speichernutzung
- Top drei Anwendungen für CPU- und Speicherverbrauch
- IP-Adresse, Hostname und Verbindungsgeschwindigkeit
- Derzeit angemeldete Benutzer
- Eventuell bevorstehender Neustart
Darüber hinaus können Endbenutzer von dort über einen anpassbaren Link Support-Tickets einreichen. Diese enthalten die aktuellen Systeminformationen, welche von EventSentray erfasst werden, auf Wunsch auch als Screenshot.
Compliance-Berichte zu Administratoraktivitäten filtern
Eine Reihe von Compliance-Vorschriften erfordern, dass Unternehmen in der Lage sein müssen, über die Aktivitäten von privilegierten Benutzern Auskunft zu geben. EventSentry bietet solche Compliance-Reports schon seit geraumer Zeit. Mit Version 4.2 lassen sich diese Berichte nun filtern, um nur die Aktivitäten des Administrators im Detail anzuzeigen.
Andere Verbesserungen
Zu den weiteren Neuerungen in EventSentry v4.2 zählen Vorlagen für Dashboards. Mehrere solcher Templates gehören zum Lieferumfang der Software. Sie lassen sich importieren, um zügig eine Übersicht über verschiedene Metriken zu erzeugen. Umgekehrt kann man vorhandene Dashboards als Vorlagen exportieren, um sie bei einer anderen Installation von EventSentry wiederzuverwenden.
Interessant ist dabei auch die Möglichkeit, nicht nur Informationen aus der SIEM-Lösung zu präsentieren, sondern auch externe Quellen einzubinden. Dazu gehören zum Beispiel die Aufnahmen von Überwachungskameras.
Lizenzierung und Verfügbarkeit
Im Vergleich zu den größeren Anbietern im SIEM-Markt ist EventSentry eine kostengünstige Lösung. Die Lizenzbedingungen sind zudem relativ großzügig:
- Keine Sensorbeschränkungen: EventSentry wird pro Endgerät lizenziert, so dass Anwender so viele Metriken pro Host überwachen können, wie sie möchten. Für Windows-Rechner (Client oder Server) fallen 85 USD an, für Netzwerkgeräte gilt ein Staffelpreis, der je nach Paket zwischen fünf und 10 Euro liegt.
- Unbegrenzte Daten: Unternehmen können mit EventSentry eine unbegrenzte Menge an Daten sammeln und archivieren.
- Support: Die Lizenz von EventSentry enthält ein Jahr lang E-Mail- und Telefon-Support.
Neu in der Version 4.2 ist zudem eine deutsche Dokumentation.
Netikus stellt auf seiner Website eine 30-Tage-Testversion von EventSentry zu Verfügung. Außerdem gibt es von der Software eine kostenlose Light-Version.
Fazit
Netikus ergänzt seine SIEM-Lösung in der Version 4.2 um zwei Funktionen, die einer Gefährdung von Systemen vorbeugen. Dazu zählen die Scripts zur Validierung von Windows-Konfigurationen und der Prüfung des Update-Status.
In eine ähnliche Kategorie fällt die Inventarisierung von Browser-Erweiterungen. Wenn man deren Installation durch die User nicht vollständig unterbinden möchte, dann kann man mit diesem Feature zumindest verfolgen, welche Extensionen im Unternehmen genutzt werden.
Das System-Tray-Dienstprogramm ist keine spektakuläre Neuerung, sie kann dem Administrator aber beim Support das Leben erleichtern.