AEGYS DATALYTICS
AEGYS MONITOR

So funktioniert
AEGYS Monitor

Vom Anschluss der Appliance über die kontinuierliche Erfassung bis zur strukturierten Auswertung. Diese Seite zeigt, was technisch passiert — und was nicht.

Diese Seite beschreibt, wie AEGYS Monitor arbeitet. Den autonomen Pentest erklären wir auf der eigenen Seite → AEGYS Pentest.

SO FUNKTIONIERT ES

Drei Schritte. Mehr nicht.

Anschließen, Erfassen, Einordnen. Was die drei Schritte konkret bedeuten — ohne Marketingbegriffe, ohne Verschleierung.

01

Anschließen

Die Appliance ans Netzwerk bringen

AEGYS Monitor wird passiv ans Netzwerk angeschlossen — über einen SPAN- oder Mirror-Port am Switch oder über einen Netzwerk-TAP. Beide Varianten erfordern keine Eingriffe in produktive Systeme und keine Software auf Endpunkten.

Welche Anbindung sinnvoll ist, hängt von Ihrem Netzwerk ab: Bei mehreren Standorten oder segmentierten Bereichen wählen wir gemeinsam den Punkt, an dem die relevante Kommunikation sichtbar wird. Den Anschluss machen wir nicht im Self-Service — wir kommen vor Ort oder begleiten Sie remote.

Typischer Aufwand: unter zwei Stunden. Keine Konfiguration auf Ihren Systemen, keine Änderung an Routing oder Firewall-Regeln im Standardbetrieb.

AEGYS Monitor — passiv über SPAN-Port oder TAP an das Netzwerk angeschlossen

AEGYS Monitor

Switch / Router
SPAN-Port oder TAP
AEGYS Monitor
Ihr Netzwerk — läuft unverändert weiter
Passive Erfassung — kein Eingriff in den Datenfluss
02

Erfassen

Was AEGYS Monitor sieht — und was nicht

Sobald die Appliance angeschlossen ist, erfasst sie kontinuierlich Verbindungs-Metadaten: Quell- und Zielsysteme, Volumen, Protokolle, Ports, Zeitstempel. Standardmäßig werden ausschließlich Metadaten erfasst — keine vollständigen Paketinhalte.

Eine erweiterte Erfassung mit Deep Packet Inspection oder PCAP ist technisch möglich, aber optional und nur nach ausdrücklicher Vereinbarung. Welcher Erfassungsmodus passt, ist eine bewusste Entscheidung pro Einsatz, nicht ein fester Zustand.

Die erfassten Metadaten werden verschlüsselt an die AEGYS-Auswertungsumgebung in Deutschland übertragen. Wo Ihre Daten konkret liegen, beschreiben wir gleich im nächsten Abschnitt.

03

Einordnen

Aus Aktivität wird eine Entscheidung

Sie sehen nicht isolierte Logeinträge, sondern Zusammenhänge: Welche internen Systeme kommunizieren mit welchen externen Zielen? Gibt es ungewöhnliche laterale Bewegungen? Findet Kommunikation statt, die nicht zum normalen Betriebsbild passt?

Die Auswertung kombiniert Verhaltensanalyse mit kuratierter Threat Intelligence. Auf Wunsch besprechen wir die Ergebnisse gemeinsam mit Ihrem Team — strukturiert, klar, ohne Interpretationsspielraum.

Das Ergebnis ist keine Datenmenge, sondern eine belastbare Einschätzung der aktuellen Lage.

Datenfluss

Erfassung beim Kunden. Auswertung in Deutschland.

Die Auswertung von AEGYS Monitor läuft in Deutschland, in unserem Rechenzentrum.
Was das bedeutet:

Erfassung beim Kunden

AEGYS Monitor steht in Ihrem Netzwerk und erfasst passiv die Netzwerk-Kommunikation, ohne Eingriff in produktive Systeme.

Verschlüsselte Übertragung

Die erfassten Metadaten werden verschlüsselt an unsere Auswertungsumgebung übertragen. Standard: TLS-gesicherte ausgehende Verbindung vom Monitor zur AEGYS-Plattform.

Auswertung in Deutschland

Die Verarbeitung erfolgt ausschließlich in unserer Auswertungsumgebung in Deutschland. Keine Übertragung in Drittstaaten. Keine Hyperscaler-Cloud — AWS, Azure, Google Cloud sind nicht beteiligt.

Diese Architektur ist ein bewusster Kompromiss: Die Auswertung profitiert von kontinuierlich gepflegten Threat-Feeds, Verhaltens-Modellen und der gemeinsamen Sicht über mehrere Kundenumgebungen. Die Daten verlassen aber nie Deutschland — und nie europäisches Recht.

Beim KundenIn der AEGYS-Auswertungsumgebung (Deutschland)
AEGYS Monitor (Hardware)Verbindungs-Metadaten zur Auswertung
Netzwerk-Erfassung (passiv)Strukturierte Bewertung und Verlauf
Konfiguration des MonitorsAktualisierte Threat Intelligence und Modelle

Vollständige Details zur Datenverarbeitung, zum Auftragsverarbeitungsvertrag (AVV) und zur DSGVO-Konformität stellen wir auf Anfrage zur Verfügung.

Konkretes Ergebnis

Konkrete Erkenntnisse aus dem laufenden Betrieb

Die Auswertung ist keine Logsammlung. Es ist eine Sicht auf das, was tatsächlich passiert — als Grundlage für Entscheidungen.

  • Welche internen Systeme aktuell mit dem Internet kommunizieren — und mit welchen Zielen.

  • Verbindungen zu auffälligen oder bekanntermaßen schädlichen Hosts (C2-Indikatoren).

  • Ungewöhnliche laterale Bewegungen zwischen internen Systemen.

  • Datenabflüsse, die im Verhältnis zum normalen Betriebsbild aus dem Muster fallen.

  • Wie sich Aktivität gegenüber dem normalen Betriebsbild verändert — auch nach einem Vorfall.

Nicht nur Daten. Zusammenhänge.

Erkennung

Warum AEGYS Monitor Dinge sieht, die andere übersehen

Klassische Detection-Systeme erkennen, was sie kennen. Der AEGYS Monitor arbeitet ergänzend dazu — mit zwei Methoden, die sich gegenseitig stützen.

Verhaltensanalyse

Was nicht zum Betriebsbild passt

Während der ersten Stunden eines Einsatzes lernt AEGYS Monitor das normale Kommunikationsverhalten Ihres Netzwerks: welche Systeme miteinander sprechen, welche externen Ziele üblich sind, welche Volumen normal wirken. Auf dieser Basis werden Abweichungen identifiziert — neue externe Ziele, ungewöhnliche laterale Verbindungen, atypische Datenflüsse.

Verhaltensanalyse erkennt auch Aktivitäten, für die noch keine bekannte Signatur existiert. Das ist insbesondere nach gezielten Angriffen relevant, bei denen Angreifer eigene, nicht öffentlich bekannte Infrastruktur nutzen.

Threat Intelligence

Was bekanntermaßen problematisch ist

Parallel zur Verhaltensanalyse läuft ein Abgleich mit kuratierten Threat-Intelligence-Quellen: bekannt schädliche Hosts, Command-and-Control-Server, kompromittierte Endpoints, verdächtige Domains. Erkannt werden Verbindungen zu solchen Zielen — auch wenn sie aus dem normalen Betriebsbild des Netzwerks heraus zunächst unauffällig wirken.

Threat Intelligence zeigt Bedrohungen, die als solche bereits identifiziert sind, aber im normalen Rauschen unentdeckt bleiben würden.

Verhalten ohne Threat Intelligence produziert zu viel Rauschen. Threat Intelligence ohne Verhalten verpasst neue Angriffe. Erst die Kombination ergibt eine Aussage, auf die sich Entscheidungen stützen lassen.

Datenmodell

Datensparsamkeit als Standard

Welche Daten erfasst werden, ist eine bewusste Entscheidung pro Einsatz und nicht ein fester Umfang.

ErfassungsmodusWas erfasst wirdWann sinnvoll
Standard (Metadaten)Verbindungs-Metadaten: Quelle, Ziel, Volumen, Protokoll, Port, ZeitstempelKontinuierlicher Monitor-Betrieb, Reality-Check, datenschutzsensible Umgebungen
Erweitert (DPI)Metadaten plus Deep Packet Inspection: Protokoll-Details, ausgewählte HeaderDetailliertere Analyse bei Bedarf, nach ausdrücklicher Vereinbarung
Vollerfassung (PCAP)Vollständige Paket-Mitschnitte für definierte ZeiträumeForensische Analyse nach einem Vorfall, nur nach ausdrücklicher Vereinbarung

Der Erfassungsmodus wird vor dem Einsatz festgelegt und dokumentiert. Standardmäßig arbeiten wir mit Metadaten — eine Erweiterung erfolgt nur dann, wenn der Anwendungsfall es erfordert und Sie es ausdrücklich freigeben.

Abgrenzung

Wo AEGYS Monitor nicht passt

Eine ehrliche Liste. Wenn Sie eine der folgenden Aufgaben lösen müssen, ist AEGYS nicht das richtige Werkzeug:

  • Kein Echtzeit-Schutz

    AEGYS Monitor blockiert keine Angriffe und ersetzt keine Firewall, kein Intrusion-Prevention-System.

  • Kein Endpoint-System

    Aktivität auf einzelnen Endgeräten (Prozesse, Dateien, Speicheroperationen) wird nicht erfasst. Dafür ist EDR zuständig.

  • Kein SIEM-Implementierungs-Projekt

    Klassische SIEM-Implementierungen sind kunden-individuelle Projekte: Use Cases werden für die spezifische Umgebung geschrieben, Log-Anbindung wird einzeln konfiguriert, ein dediziertes SOC-Team wird aufgebaut. Der Monitor liefert dieselben Plattform-Capabilities als Standard-Service: vorkonfigurierte Detection-Logik, Standard-Anbindung, gemeinsame Auswertung mit dem AEGYS-Team. Wer ein kunden-individuelles Implementierungs-Projekt sucht, ist bei einem klassischen SIEM-Anbieter besser aufgehoben.

  • Keine Schwachstellen-Bewertung

    Was einem Angreifer in Ihrer Umgebung möglich wäre, zeigt der → AEGYS Pentest, nicht der Monitor.

AEGYS Monitor macht eine Sache: Es zeigt, was im Netzwerk tatsächlich passiert — kontinuierlich, unabhängig, ohne Projekt. Für alles andere gibt es bessere Werkzeuge.

Monitor Einsatz-Modi

Reality-Check oder kontinuierliche Sicht

Aus der Funktionsweise ergeben sich zwei typische Einsatz-Modi. Welcher passt, hängt von Ihrer Situation ab.

Reality-Check · Einstiegsweg

Punktuelle Auswertung

AEGYS Monitor wird für einen definierten Zeitraum eingesetzt — typischerweise Tage bis Wochen. Im Anschluss erhalten Sie eine strukturierte Auswertung als Entscheidungsgrundlage. Daten werden nach Ihren Vorgaben gelöscht. Der Monitor wird wieder entfernt — oder bleibt für den Weiterbetrieb.

Typische Anlässe: nach einem Sicherheitsvorfall, bei einem konkreten Verdacht, vor einem Audit oder als jährlicher Plausibilitätscheck.

Standard

Kontinuierliche Sicht — Subscription

AEGYS Monitor bleibt im Netzwerk. Auswertungen erfolgen in einem mit Ihnen vereinbarten Rhythmus. Die Subscription ist asset-basiert berechnet, jederzeit beendbar — ohne langfristige Vertragsbindung.

Geeignet für Organisationen, die eine kontinuierliche zweite Sicht auf ihr Netzwerk wollen, ohne ein eigenes SIEM-Projekt aufzusetzen.

Häufiger Verlauf in der Praxis: Reality-Check als Einstieg → Auswertung zeigt offene Fragen → Übergang in den kontinuierlichen Betrieb. Welche Variante passt, klären wir im Erstgespräch.

Ablauf

Vom Erstgespräch bis zur laufenden Auswertung

Eine vertikale Timeline mit fünf Stationen — bewusst ohne harte Tagesangaben, weil Netzwerke und Anlässe sich unterscheiden.

  1. 01

    Erstgespräch

    15 Minuten am Telefon. Wir verstehen die Situation und prüfen gemeinsam, ob AEGYS für Ihren Fall sinnvoll ist. Wenn nicht, sagen wir das.

  2. 02

    Technische Vorbereitung

    Klärung der Details: Anschlusspunkt, Logistik, Termin vor Ort. Sie erhalten eine kurze Vorbereitungs-Checkliste, was wir am Tag des Anschlusses brauchen.

  3. 03

    Anschluss

    Wir kommen zu Ihnen oder begleiten Sie remote. Der Monitor wird angeschlossen und in Betrieb genommen. Aufwand: typischerweise unter zwei Stunden.

  4. 04

    Erste Erkenntnisse

    Erste Auffälligkeiten sind innerhalb weniger Stunden sichtbar. Wann eine belastbare Lagebewertung vorliegt, hängt von Netzwerkgröße und Aktivität ab — oft ein bis wenige Tage.

  5. 05

    Auswertung

    Wir besprechen die Erkenntnisse gemeinsam: Was wurde gefunden, wie ist es einzuschätzen, was sind die nächsten Schritte. Im kontinuierlichen Modus wiederholen sich Auswertungen in einem mit Ihnen vereinbarten Rhythmus.

Häufige Fragen

Technische Details auf einen Blick

Noch unsicher?

Sehen Sie in 2 Minuten, ob Ihr Netzwerk blinde Flecken hat

Bevor wir sprechen: Der kostenlose Netzwerk-Check gibt Ihnen in 2 Minuten eine erste Orientierung, wo Ihr Netzwerk blinde Flecken haben könnte — anonym, ohne Dateneingabe.

Netzwerk-Check starten
15-Minuten-Erstgespräch

Sehen Sie selbst, was in Ihrem Netzwerk wirklich passiert.

15 Minuten genügen, um zu klären, ob AEGYS Monitor, AEGYS Pentest oder beides für Ihre Situation passen. Kein Sales-Call. Wenn nicht passend, sagen wir das offen.

15 Minuten. Kein Sales-Call.