# Aktive Bedrohungen Die Aktive-Bedrohungen-Übersicht bietet dir einen detaillierten Überblick über alle erkannten aktiven Advanced Persistent Threats (APT). {% hint style="danger" %} **Bitte beachte**: Damit hier Werte angezeigt werden können, musst du die Option **Advanced Persistent Threats** in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md#core-feature) oder unter **Hosts** → **Policies** mit [einer entsprechenden Richtlinie aktivieren](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#advanced-persistent-threats). {% endhint %} {% hint style="warning" %} **Bitte beachte**: Da die Datei **edr.cache** des Pulsars in jedem Scan als APT erkannt wird, empfehlen wir, für diese einen [Whitelist-Eintrag zu erstellen](/docs/manual/bedienung-der-plattform/hosts/advanced-persistent-threats/whitelist/whitelist-eintrag-hinzufugen.md). {% endhint %} *** Navigiere zu **Hosts** → **Advanced Persistent Threats** → **Aktive Bedrohungen** um eine Zeitleiste sowie eine Auflistung aller erkannten aktiven Bedrohungen anzuzeigen.

Du kannst der [Aktive-Bedrohungen-Übersicht](#aktive-bedrohungen-ubersicht) unter anderem entnehmen: * in welchem Dateipfad auf welchem Host eine APT mit einem bestimmten Schweregrad entdeckt wurde. * welche Pläne das Regelwerk enthalten, mit dem die entsprechende APT entdeckt wurde. * wann genau die APT entdeckt wurde. Des Weiteren hast du hier die Möglichkeit, [Start- und Endzeitpunkt](#start-und-endzeitpunkt-festlegen) für die Betrachtung festzulegen sowie erkannte APTs [auf die Whitelist zu setzen](/docs/manual/bedienung-der-plattform/hosts/advanced-persistent-threats/whitelist/whitelist-eintrag-hinzufugen.md). *** ## Navigation Klicke in das Feld **Freitextsuche** oberhalb der Liste und gib einen frei gewählten Suchbegriff ein, um bestimmte Listenelemente zu finden. Klicke auf das **Aktualisieren**-Symbol oberhalb der Liste, um alle Listenelemente zu aktualisieren. Scrolle in der Liste nach unten oder passe die Ergebnisanzeige pro Seite an: ![](/files/2OyJnQuiS9EayPZHDbB3) um weitere Einträge in der Liste zu sehen.\ Nutze die Seitennavigation: ![](/files/IWrRD7h50XDr2neLTKmC) um zwischen mehreren Seiten zu wechseln. ### Start- und Endzeitpunkt festlegen Klicke auf **Startzeitpunkt** bzw. **Endzeitpunkt** in der rechten oberen Ecke, um einen Startzeitpunkt bzw. Endzeitpunkt für die Betrachtung zu definieren. Es öffnet sich die Datumsauswahl. {% tabs %} {% tab title="Relativer Zeitraum" %} Stelle manuell einen **relativen Zeitraum** ein. Du kannst auch einen relativen Zeitraum aus einer der **Vorlagen** auswählen.

Klicke in das Feld mit der standardmäßigen Einstellung **Tage zuvor**, um eine Liste aller verfügbaren Zeiträume auszuklappen. Wähle einen Zeitraum aus. Gib im Zahlenfeld die Anzahl der Sekunden, Minuten, Stunden, Tage oder Wochen ein, die du anzeigen möchtest. Standardmäßig ist hier der Wert **1** eingestellt. Bestätige deine Angaben mit Klick auf **Übernehmen**. {% endtab %} {% tab title="Absoluter Zeitraum" %} Wähle ein Datum aus der Kalenderansicht aus.

Klicke optional auf **Uhrzeit**, um mithilfe der Wählscheibe eine genaue Uhrzeit im 24-Stunden-Format festzulegen. Wähle zunächst eine Stunde aus. Die Wählscheibe springt daraufhin auf die Minutenanzeige. Wähle hier entsprechend die Minuten aus. Bestätige deine Angaben mit Klick auf **Übernehmen**. {% endtab %} {% endtabs %} Klicke auf **Zurücksetzen** in der rechten oberen Ecke, um die vorgenommenen Einstellungen für den betrachteten Zeitraum zurückzusetzen. ### Liste filtern Klicke auf das **Filtern**-Symbol oberhalb der Liste, um die Liste nach vordefinierten Parametern zu filtern.

Verfügbare Filter

Parameter	Art	Beschreibung
Host	String	Filtere nach einem bestimmten Host, auf dem eine APT entdeckt wurde, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Hosts angezeigt.
Plan	String	Filtere nach einem bestimmten Plan, dem das Regelwerk zugeordnet ist, durch das die APT erkannt wurde, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Pläne angezeigt.
Regelwerk	String	Filtere nach einem bestimmten Regelwerk, durch das die APT erkannt wurde, oder schließe dieses aus den Ergebnissen aus. Es werden alle verfügbaren Regelwerke angezeigt.
Schweregrad	String	Filtere nach einem bestimmten Schweregrad, der einer APT zugeordnet ist, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Schweregrade angezeigt.

### Listenelemente sortieren Klicke im Tabellenkopf auf das **Sortieren**-Symbol neben einem Spaltennamen, um nach der jeweiligen Spalte in aufsteigender Reihenfolge oder in absteigender Reihenfolge zu sortieren. Klicke auf das **Sortieren**-Symbol oberhalb der Liste, um die Priorität der vorgenommenen Sortierung anzupassen. Es öffnet sich ein Menü, in dem alle Spalten angezeigt werden, nach denen die Liste sortiert ist. Verschiebe die angezeigten Elemente per Drag-and-Drop, um die Sortierpriorität zu ändern. *** ## Aktive Bedrohungen: Zeitleiste

Die Aktive-Bedrohungen-Zeitleiste zeigt ein Säulendiagramm mit der jeweiligen Anzahl aller erkannten APTs über den gewählten Zeitraum hinweg. Fahre mit dem Mauszeiger über eine Säule im Diagramm, um die aggregierte Anzahl der registrierten Erkennungen von APTs zu einem bestimmten Zeitpunkt anzuzeigen. *** ## Aktive Bedrohungen: Übersicht

Die Aktive-Bedrohungen-Übersicht ist als tabellarische Liste aufgebaut. Du kannst der Liste folgende Informationen entnehmen:

Spalte	Beschreibung
Schweregrad	Zeigt den Schweregrad der erkannten APT. Folgende Schweregrade können angezeigt werden: Critical: Die APT hat eine sehr hohe Kritikalität. High: Die APT hat eine hohe Kritikalität. Medium: Die APT hat eine mittlere Kritikalität. Low: Die APT hat eine niedrige Kritikalität.
Standort	Zeigt den Dateipfad, der die APT enthält. Zudem werden Datum und Uhrzeit der ersten Erkennung sowie Datum und Uhrzeit der letzten Erkennung angezeigt. Klicke auf einen Dateipfad, um zur jeweiligen Detailansicht für die erkannte aktive Bedrohung zu navigieren.
Regelwerk	Zeigt das Regelwerk, durch das die APT erkannt wurde. Klicke auf den Namen eines Regelwerks, um zur jeweiligen Bearbeitungsansicht zu navigieren.
Plan	Zeigt den Plan oder die Pläne, die das Regelwerk enthalten, durch das die APT erkannt wurde. Klicke auf den Namen eines Plans, um zur jeweiligen Bearbeitungsansicht zu navigieren.
Host	Zeigt den Namen des Hosts, auf dem die APT gefunden wurde. Klicke auf den Namen eines Hosts, um zur jeweiligen Host-Detailansicht zu navigieren.
Detektiert am	Zeigt das genaue Datum und die genaue Uhrzeit, wann die APT erkannt wurde.
Aktionen	Setze die erkannte APT auf die Whitelist. Klicke dazu auf Whitelist hinzufügen. Es öffnet sich ein neues Fenster, in dem du direkt einen neuen Whitelist-Eintrag erstellen kannst.

*** ## Aktive Bedrohung: Detailansicht Klicke auf einen Dateipfad in der Spalte **Standort**, um zur jeweiligen [Detailansicht für die aktive Bedrohung](/docs/manual/bedienung-der-plattform/hosts/advanced-persistent-threats/aktive-bedrohungen/aktive-bedrohungen-detailansicht.md) zu gelangen. *** ## Whitelist-Eintrag hinzufügen Dieses Fenster wird nur angezeigt, wenn du in der Aktive-Bedrohungen-Übersicht neben einem Listenelement auf **Whitelist hinzufügen** klickst.

Klicke auf **Whitelist hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um den neuen Whitelist-Eintrag zu speichern und erstellen. Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Whitelist hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} ### Grundeinstellungen

Option	Beschreibung
Name	Gib dem Whitelist-Eintrag einen aussagekräftigen Namen.
Beschreibung	Beschreibe den Whitelist-Eintrag genauer. Dieses Feld ist optional.

### Zugeordnete Hosts Lege Hosts fest, für die der Whitelist-Eintrag gelten soll. {% hint style="info" %} Der standardmäßig angegebene Host ist der des in der Aktive-Bedrohungen-Übersicht ausgewählten Listenelements. {% endhint %} Klicke dazu in das Feld **Hosts**, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen oder mehrere Hosts aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden.\ \ Klicke auf das **Entfernen**-Symbol neben einem hinzugefügten Host, um ihn aus dem Feld **Hosts** zu entfernen. ### Dateipfade Lege Dateipfade fest, für die der Whitelist-Eintrag gelten soll.

Option	Beschreibung
Dateipfad	Gib einen Dateipfad ein. Du kannst hier Wildcards (*) verwenden.
Feld hinzufügen	Klicke auf Feld hinzufügen, um den Dateipfad dem Whitelist-Eintrag hinzuzufügen und ein weiteres Feld für die Angabe eines weiteren Dateipfads anzuzeigen.
Löschen	Klicke auf das Löschen-Symbol neben einem hinzugefügten Dateipfad, um den entsprechenden Pfad aus dem Regelwerk zu entfernen.

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/hosts/advanced-persistent-threats/aktive-bedrohungen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.