Die Software-/Hardware-Bestandsaufnahme bietet ein vollständiges, durchsuchbares Inventar von Hardware, Software, Patches und virtuellen Maschinen sowie die Möglichkeit, Warnmeldungen auszugeben, wenn Software (un)installiert wird oder wenn sich Anwendungen in bestimmten Registrierungsschlüsseln registrieren. In Kombination mit der Service-Überwachung und der Datei-Überwachung erkennt EventSentry den Großteil der am System vorgenommenen Änderungen.
Inventar virtueller Maschinen (Hyper-V & VMWare)
Inventarisiert alle virtuellen Maschinen von Hyper-V- oder VMWare-Hosts sowie die Versionsnummer des Hosts der virtuellen Maschine. Die Hyper-V-Inventarisierung wird automatisch durchgeführt, wenn Hyper-V auf dem Host erkannt wird, auf dem der EventSentry-Agent ausgeführt wird. VMWare-Inventarinformationen werden über SNMP abgerufen, wenn die erforderlichen SNMP-OIDs vorhanden sind. Die folgenden Informationen sind verfügbar:
Host der virtuellen Maschine
•Name des Gastgebers
•Produkt-Name
•Produkt-Version
Virtuelle Maschinen
•Name des Gastgebers
•Stand
•CPU-Zählung
•Erinnerung
•Betriebssystem (falls verfügbar)
|
Für die Inventarisierung von VMWare ist es erforderlich, dass SNMP auf den VMWare ESXi-Hosts aktiviert ist. |
WiFi-Verbindungen überwachen
Verfolgt alle WiFi-Aktivitäten und zeigt an, mit welchem drahtlosen Netzwerk ein Adapter verbunden ist, sowie einen Verlauf aller Verbindungen und Trennungen. Der %PRODUCT%-Agent protokolliert außerdem jedes Mal, wenn ein Adapter eine Verbindung zu einem WiFi-Netzwerk herstellt oder trennt, Ereignisse im Ereignisprotokoll, was die Automatisierung durch Filter ermöglicht.
Die folgenden Details sind verfügbar:
•Name und GUID des Adapters
•Status
•Signalstärke
•SSID
•Verschlüsselung (z.B. RSNA mit PSK)
•Authentifizierung (z. B. CCMP)
Überwachung von Batterien und USV-Geräten
Überwacht eingebaute Batterien in Laptops sowie angeschlossene USV-Geräte (falls von Windows erkannt). Der aktuelle Akkustatus, der Ladezustand sowie die gesamte Akkukapazität sind auf der Seite "Host / Inventar" in der webbasierten Berichterstattung verfügbar. EventSentry kann auch einen Host herunterfahren, wenn der Akkustatus unter einen konfigurierbaren prozentualen Schwellenwert fällt oder wenn die geschätzte Laufzeit unter einem voreingestellten Grenzwert liegt, unabhängig vom Hersteller und/oder Modell der USV.
MBR und BootLoader sichern und Änderungen erkennen
Lädt sowohl die Sektoren 0-77 als auch die Sektoren 2048-2057 aller Festplatten des überwachten Systems herunter. Wenn Änderungen in den überwachten Sektoren festgestellt werden, wird ein Ereignis protokolliert, das angibt, wie viele Bytes geändert wurden und ob der MBR oder der BootLoader geändert wurde. Alle überwachten Sektoren werden auch beim Start des Agenten in der Datenbank gespeichert (falls aktiviert) und können auf der Seite "Host / Inventar" in der webbasierten Berichterstattung heruntergeladen werden.
|
Diese Funktion soll einen gewissen Schutz gegen bestimmte Ransomware-Infektionen bieten. Die Ereignisse, die protokolliert werden, wenn überwachte Sektoren geändert werden, können verwendet werden, um Aktionen wie Ruhezustand, Abmeldung oder Herunterfahren auszulösen. Die Sektor-Backups können auf eine USB-Stick heruntergeladen und manuell wiederhergestellt werden, falls die ursprünglichen Sektoren überschrieben wurden. |
Software-Bestandsaufnahme
Wenn eine Anwendung installiert ist und sich in der Systemsteuerung unter Programme hinzufügen/entfernen registriert, benachrichtigt EventSentry Sie und protokolliert, welche Anwendung installiert oder entfernt wurde.
Wenn sich eine Anwendung nicht selbst unter Software registriert, z. B. wenn sie auf einer Pro-Benutzer-Basis installiert wird, wird sie von EventSentry nicht erkannt. Sie werden möglicherweise trotzdem benachrichtigt, wenn sich die Anwendung in einem der vielen Autorun-Registrierungsschlüssel registriert.
Die folgenden Informationen werden in der Datenbank gespeichert und können über die Web Reports abgefragt werden, wenn das Kontrollkästchen "In Datenbank aufnehmen" aktiviert ist:
• Name der Software
• Installationsverzeichnis*
• Software-Herausgeber*
• Software-Version*
• Plattform-Informationen (32-Bit vs. 64-Bit)
Mit dieser Funktion wird auch die Anwendungshistorie in die Datenbank geschrieben, so dass Sie herausfinden können, wann Software installiert/deinstalliert wurde (beachten Sie, dass diese Informationen möglicherweise auch über die Ereignisprotokolle verfügbar sind).
Überwachung von Web-Browser-Erweiterungen
Überwachen Sie alle installierten Erweiterungen für die folgenden Webbrowser
• Mozilla Firefox
• Google Chrom
• Microsoft Edge (auf Chrombasis)
und bietet eine vollständige Bestandsaufnahme/Historie sowie Warnmeldungen, wenn Erweiterungen installiert oder deinstalliert werden. Browserprofile werden ebenfalls unterstützt. Die folgenden Erweiterungsinformationen werden erfasst:
• Name
• Herausgeber
• Version
• Aktiviert/Deaktiviert
• Herausgeber (wenn verfügbar)
• Benutzername
Bitte beachten Sie unten die Einschränkungen dieser Funktion, da es keinen offiziellen Standard gibt, wie Browser-Erweiterungen gespeichert werden.
|
•Unter bestimmten Umständen wird der Erweiterungsname nicht angezeigt; in diesem Fall wird stattdessen der Herausgeber angezeigt. •Eine Erweiterung wird als aktiviert angezeigt, wenn sie in mehreren Profilen installiert und in mindestens einem Profil aktiviert ist. |
Patch-Bestand
Alle installierten Microsoft-Patches werden gesammelt und können über die Web Reports abgefragt werden. EventSentry kann auch Warnmeldungen ausgeben, wenn ein Patch (un)installiert wird. Die folgenden Informationen sind verfügbar:
• Patch-Name
• Plattform-Informationen (32-Bit vs. 64-Bit)
• Installationsdatum
• Installationsverzeichnis (falls zutreffend)
• Herausgeber
Die folgenden Hardware-Informationen werden erfasst; Hardware-Informationen werden durch Dateiinformationen, Registrierungsdaten und WMI erhalten.
• Betriebssystem, einschließlich Edition und Service Pack
• Der Lokation des SYSTEMROOT-Verzeichnisses
• Datum an dem das Betriebssystem installiert wurde
• Ob auf dem Rechner die x64-Bit-Edition des Betriebssystems läuft
• Konfigurierte UAC-Ebene (Vista und höher)
• Ob es sich bei dem Rechner um einen Terminalserver handelt, auf dem Hyper-V oder Server-Core läuft
• Wenn es sich bei der Maschine um eine virtuelle Maschine handelt, und in einigen Fällen den Typ der VM-Plattform (z. B. VMWare ESX)
• Installierte CPU's (einschließlich Typ, Geschwindigkeit und Anzahl der installierten CPU's)**
• Die Anzahl der installierten CPUs, einschließlich Hyper-Threading und Multi-Core-Erkennung
• Eingetragener Eigentümer und eingetragenes Unternehmen** (falls verfügbar)
• Computerhersteller und -modell** (falls verfügbar)
• Chassis-Typ (z.B. Rack-Montage, Mini-Tower, Laptop, usw.)
• Garantieinformationen (nur für DELL-, HP-, IBM- und Lenovo-Hardware)
• BIOS-Version***
• Seriennummer, Service-Tag (je nach Hersteller)***
• Installierter Speicher, einschließlich des maximalen Speichers, der Anzahl der installierten Speicherchips und der verfügbaren freien Steckplätze
• Installierte Netzwerkadapter, einschließlich Adaptername, Verbindungsgeschwindigkeit, IP-Adresse (regelmäßig aktualisiert und aufgefrischt) und MAC-Adresse
• Installierte Festplattencontroller, einschließlich Adaptername, Adaptertyp (IDE/SCSI) und Hersteller
• Fabrikat der installierten Grafikkarte
• Die Anzahl der CD-ROM-, DVD-, Disketten- und Wechsellaufwerke
• Die aktuelle Laufzeit
• Die maximale Laufzeit des Hosts seit der Installation von EventSentry
• Höchste unterstützte USB-Version
|
Grundlegende System- und Hardware-Informationen können auch über SNMP von einem entfernten SNMP-Agenten bezogen werden indem SNMP-Werte abgefragt werden. Dazu gehören (sofern verfügbar):
•Informationen zum System •Netzwerk-Schnittstellen •Informationen zu Prozessor, Speicher und Festplattenplatz •Informationen zur Betriebszeit
SNMP-Daten werden vom Heartbeat-Agent gesammelt. |
Auf DELL©- und HP©-Servern, auf denen die entsprechenden Systemverwaltungstools der Hersteller installiert sind, erfasst EventSentry nach der Installation auch die folgenden Informationen:
•Status von redundanten Stromversorgungen (PSUs)
•Aktuelle Temperatur der installierten Temperatursensoren
•Aktueller Status und Drehzahl der installierten Ventilatoren
•Verfügbarkeit und IP-Adresse aller installierten Fernverwaltungskarten
•Status und Details jedes installierten Hardware-RAID-Controllers (z.B. Modellnummer, Cache-Größe, Firmware-Version)
•Status aller konfigurierten RAIDs (einschließlich Stripe-Größe (falls verfügbar), Status, Raid-Level)
•Status aller installierten physischen Festplatten, einschließlich Laufwerksdetails wie Modellnummer, Seriennummer
|
HP GEN 10+ SERVERS: Ab der Generation 10 ist für das Erfassen von erweiterten Hardware-Informationen von HP-Servern - mit Ausnahme von Informationen über physische Festplatten (Raids) - eine iLO-Karte erforderlich, die nicht dieselbe Netzwerkschnittstelle wie das Windows-Betriebssystem nutzen darf.
Da iLO-Karten eine Authentifizierung erfordern, müssen auf dem/den Host(s) oder der/den Gruppe(n) von Servern mit iLO-Karten der Generation 10 zwei Variablen gesetzt werden:
HPILOUSER iLO User HPILOPASS Passwort |
Setzen einer Variable für den Zugriff auf eine HP Gen10 iLO
Beim Start des Agenten kann die Hardware-Bestandsaufnahme-Funktion auch ein Ereignis im Ereignisprotokoll protokollieren, wenn sich die Anzahl der folgenden installierten Hardware-Geräte seit der letzten Ausführung des EventSentry-Agenten geändert hat:
•Installierter Speicher
•Anzahl der installierten Prozessoren
•Anzahl der installierten Diskettenlaufwerke
•Anzahl der installierten CDROM-Laufwerke
•Anzahl der installierten DVD-Laufwerke
•Anzahl der Wechsellaufwerke
•Verbindungsgeschwindigkeit eines Netzwerkadapters
•Hinzufügen/Entfernen eines USB-Laufwerks
•S.M.A.R.T.-Statusfehler eines physikalischen Laufwerks
Ignorieren Sie reine GUID-Anwendungen: Einige Software schreibt bei der Installation nur die GUID (eine hexadezimale Zahl) in die Registrierung. Aktivieren Sie dieses Kontrollkästchen, um Software ohne einen sinnvollen Anzeigenamen zu ignorieren.
|
Die System-Hardware-Informationen werden bei jedem Start des EventSentry-Dienstes aktualisiert. |
Die aktuelle Betriebszeit eines Hosts wird alle 5 Minuten aktualisiert und bietet die folgenden Funktionen:
•Verfolgt die maximale Betriebszeit über mehrere Neustarts hinweg. Dies kann helfen problematische Server, die häufig neu gestartet werden, zu isolieren.
•Speichert die Uptime-Historie in der Datenbank, auf die über Heartbeat - Availability - Uptime History zugegriffen werden kann. Die Uptime-Historie wird bei jedem Booten des Betriebssystems aktualisiert und zeichnet auf, wie lange das Betriebssystem vor dem aktuellen Boot-Prozess lief.
Der Betriebszeitverlauf verfolgt, wie lange das Betriebssystem zwischen den Neustarts lief, und wird nur aktualisiert, wenn Sie einen Host neu starten.
Autorun-Registrierungsschlüssel
Einige Anwendungen registrieren Dateien, die automatisch ausgeführt werden, wenn der Computer gestartet wird oder wenn sich ein Benutzer am System anmeldet. Während diese Dateien normalerweise erforderlich und harmlos sind, werden sie leider von Spyware, Trojanern und Viren missbraucht.
EventSentry überwacht bestimmte Registrierungsorte und benachrichtigt Sie, wenn eine Anwendung an einem der überwachten Orte hinzugefügt oder entfernt wird. Bitte beachten Sie, dass zu diesem Zeitpunkt nur die Registrierungsschlüssel HKEY_LOCAL_MACHINE überwacht werden, die alle Benutzer des Systems betreffen. HKEY_CURRENT_USER-Schlüssel werden nicht überwacht.
EventSentry überwacht die folgenden Registrierungswerte:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell
EventSentry monitors the following registry keys:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Logon
Autorun-Verzeichnisse
Zusätzlich zu den oben aufgeführten Registrierungsschlüsseln überwacht diese Funktion auch die folgenden Verzeichnisse und benachrichtigt Sie, wenn eine Datei hinzugefügt wird:
<Documents and Settings>\All Users\Start Menu\Programs\Startup
Zusätzliche Informationen
Der Registrierungsunterschlüssel "Active Setup\Installated Components" ist dafür vorgesehen, von Installationen verwendet zu werden, um sicherzustellen, dass alle Benutzer eines Systems aktuelle Informationen in ihrem Profil haben, und wird als solcher jedes Mal überprüft, wenn sich ein Benutzer anmeldet. Dieser Schlüssel wurde leider von Software missbraucht, um bösartige Anwendungen zu installieren und auszuführen. Wir bitten Sie dringend, alle Änderungen an diesem Registrierungsschlüssel zu untersuchen um sicherzustellen, dass sich nur autorisierte Anwendungen dort registrieren.
Im nächsten Kapitel finden Sie alle Ereignisaufzeichnungen, die mit dieser Funktion in das Ereignisprotokoll der Anwendung aufgenommen wurden.
* Der Umfang der von EventSentry aufgezeichneten Informationen hängt von den Informationen ab, die von der Installationsroutine der jeweiligen Software bereitgestellt werden. Es obliegt dem Softwarehersteller zu bestimmen, wie viele Installationen er in der Registry aufzeichnet. Die meiste moderne Software wird den Namen, den Herausgeber und die Version der installierten Anwendung protokollieren.
** Einige Informationen sind möglicherweise nicht verfügbar. Modell und Hersteller sind auf den meisten vorinstallierten Computern verfügbar; die registrierte Firma ist nur verfügbar, wenn dies bei der Installation angegeben wurde; in einigen Fällen zeigen die CPU-Informationen (insbesondere bei älteren Modellen) nicht den CPU-Typ an.
