Dokumentation

Auf der Seite Websites fügen Sie die Domains hinzu und verifizieren sie, die Grawlr scannen soll. Oben sehen Sie, wie viele Websites Sie im Verhältnis zu Ihrem Tariflimit bereits nutzen, sodass Sie Ihre Kapazität jederzeit im Blick behalten.

Über Website hinzufügen geben Sie einen leicht verständlichen Namen, die vollständige URL (einschließlich Schema) und eine Verifizierungsmethode an (Datei-Upload, DNS-TXT-Eintrag oder META-Tag). Nach dem Hinzufügen führt Sie das Dashboard durch die Verifizierung und bietet Aktionen wie Verifizieren oder Alle verifizieren, um Besitz und Scan-Bereitschaft zu bestätigen.

Jede Verifizierungsmethode ist für eine andere Situation gedacht:

• Datei-Upload – ideal, wenn Sie FTP- oder Deployment-Zugriff auf das Web-Root haben.
• DNS-TXT-Eintrag – perfekt, wenn Sie DNS kontrollieren, aber nicht den Anwendungscode.
• META-Tag – nützlich, wenn Sie Templates oder HTML-Header bearbeiten können.

Nach erfolgreicher Verifizierung zeigt jede Website-Karte den Verifizierungsstatus, den letzten Scan-Status und Schnellaktionen an. Hier verwalten Sie Ihre Sicherheitsfläche als Portfolio statt Website für Website.

Auf der Seite Endpoint-Pakete steuern Sie, welche Angriffsmuster Grawlr gegen Ihre Websites und APIs abspielt. Ein Nutzungs-Badge zeigt, wie viele Pakete Sie ausgewählt haben und wie viele Änderungen Sie in diesem Monat – abhängig von Ihrem Tarif – noch vornehmen können.

Sie können aktuell ausgewählte Pakete prüfen, Auswählen von Paketen öffnen, um Ihre Auswahl zu ändern, und verfügbare Pakete nach Typ filtern (Monatlich, Plattform, Angriffstyp, Branche oder Starter). Starter- und Monatspakete eignen sich gut als Basis, während Plattform- und Angriffstyp-Pakete feinere Tests für bestimmte Stacks und Schwachstellenklassen ermöglichen.

Eine typische Strategie ist:

• Mit einem Starter- oder Monatspaket für breite Abdeckung beginnen.
• Plattform-Pakete für die tatsächlich eingesetzten Technologien hinzufügen (zum Beispiel WordPress oder Laravel).
• Angriffstyp-Pakete ergänzen, wenn Sie tiefer auf Injections, Auth-Flows oder andere Risiken eingehen möchten.

Da Pakete aktualisiert werden, sobald neue Angriffsmuster auftauchen, erhalten Sie frisches Testverhalten, ohne ständig selbst an Low-Level-Regeln schrauben zu müssen.

Auf der Seite Sicherheitsscans sind alle automatisierten Tests aufgelistet, die Grawlr für Ihr Konto ausführt. Sie sehen, welche Scans laufen, welche abgeschlossen sind und welche möglicherweise fehlgeschlagen sind.

Verwenden Sie die Statusfilter (Abgeschlossen, Läuft, Ausstehend, Fehlgeschlagen, Abgebrochen), die Filter für Scan-Typen (Geplant, Initial) und die Datumsauswahl, um die Ansicht einzugrenzen. Wenn etwas fehlschlägt, können Sie die Fehlerdetails prüfen, Konfigurationsprobleme wie eine offline befindliche Website beheben und den Scan erneut starten. Abgeschlossene Scans verlinken direkt auf detaillierte Berichte im Bereich Berichte, in denen Sie Ergebnisse und Maßnahmen genauer untersuchen können.

In der Ansicht Scans beantworten Sie Fragen wie: Sind unsere geplanten Tests tatsächlich gelaufen, was hat sich seit letzter Woche geändert und gibt es Fehlschläge, die unseren Sicherheits-Workflow blockieren? Sie arbeitet Hand in Hand mit Benachrichtigungen und Berichten, um Ihnen sowohl eine Zeitleiste als auch einen Deep Dive in die Ergebnisse zu geben.

Die Seite Benachrichtigungen zentralisiert Konto- und Sicherheitsereignisse: neue Scan-Ergebnisse, wichtige Sicherheitswarnungen, Änderungen am Abonnement und andere zentrale Aktivitäten in Ihrem Workspace.

Sie sehen ungelesene und Gesamtzahlen auf einen Blick, können nach allen, ungelesenen, gelesenen oder dringenden Meldungen filtern, alle Nachrichten mit einem Klick als gelesen markieren und verlinkte Scan-Berichte direkt aus relevanten Benachrichtigungen öffnen. Behandeln Sie dies als Ihren Aktivitäts-Posteingang – wenn etwas Wichtiges passiert, sehen Sie es hier zuerst.

Typische Benachrichtigungstypen sind:

• Scan abgeschlossen mit neuen Findings.
• Scan fehlgeschlagen aufgrund von Konnektivitäts- oder Konfigurationsproblemen.
• Abonnement- oder abrechnungsbezogene Änderungen, die Limits beeinflussen können.
• Wichtige Plattform-Updates, die Ihre Sicherheitslage beeinflussen könnten.

Anstatt durch Logs oder E-Mail-Threads zu scrollen, können Sie Benachrichtigungen als einen zentralen In-Product-Feed für das nutzen, was gerade wirklich wichtig ist.

Audit Logs protokollieren, wer wann was in Ihrem Konto getan hat – essenziell für Compliance, Fehlersuche und interne Sicherheitsprüfungen. Jede relevante Aktion im Dashboard wird mit Zeitstempel und Akteur erfasst.

Mit Filtern können Sie sich auf Nutzerereignisse, Website-Ereignisse, Abrechnungsereignisse oder Sicherheitsereignisse konzentrieren. Eine Datumsauswahl ermöglicht die Untersuchung eines bestimmten Zeitraums, und abhängig von Ihrem Tarif können Sie Logs möglicherweise auch in externe Compliance- oder Monitoring-Tools exportieren.

Typische Anwendungsfälle sind die Rekonstruktion, wer vor einem Vorfall eine Website-Konfiguration geändert hat, der Nachweis gegenüber Auditoren, dass nur autorisierte Nutzer sensible Aktionen durchgeführt haben, oder die Korrelation von Grawlr-Ereignissen mit anderen Logs in Ihrem SIEM. Audit Logs verwandeln „Wir glauben, das ist passiert“ in „Wir können genau zeigen, was wann passiert ist“.

Auf der Seite Team laden Sie Kollegen ein und steuern, wer auf welche Teile Ihres Grawlr-Workspaces zugreifen darf. Sie ist so gestaltet, dass nicht-technische Stakeholder Berichte sicher einsehen können, während ein kleineres Kernteam Scans, Websites und Abrechnung verwaltet.

Hier können Sie neue Mitglieder per E-Mail einladen und Rollen zuweisen (Owner, Admin, Member, Viewer), ausstehende Einladungen einsehen und erneut senden oder abbrechen, Rollen und Basisdaten bestehender Mitglieder bearbeiten und Konten sperren, ohne deren Historie zu verlieren. So können Sie Zugriffe an die tatsächliche Arbeitsweise Ihrer Organisation anpassen.

Ein typisches Muster ist, ein oder zwei Owner zu behalten, einige Admins für den täglichen Sicherheitsbetrieb zu haben, mehrere Members für Berichte und Website-Konfigurationen einzubinden und Viewers für Führungskräfte oder Stakeholder bereitzustellen, die nur lesenden Zugriff benötigen. Klare Rollen reduzieren Fehler und machen Sicherheitsverantwortung sichtbar.