# Intrusion Detection System

Mit dem Intrusion Detection System (IDS) von Enginsight kannst du den Netzwerkverkehr auf allen Hosts, auf denen ein [Pulsar installiert](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-komponenten/pulsar.md) wurde, beobachten, um Angriffe, Missbrauch und Verstöße gegen Sicherheitsrichtlinien zu erkennen. Kombiniert mit dem [Shield-Feature](/docs/manual/bedienung-der-plattform/shield.md), dem Intrusion Prevention System (IPS) von Enginsight, lassen sich erkannte Netzwerkattacken zudem automatisiert verhindern.&#x20;

Für die Erkennung (Detection) von Netzwerkanomalien und Angriffen werden System- und Netzwerkaktivitäten mithilfe von mehreren tausend vordefinierten Regelwerken, überwiegend sog. Snort Community Rules, analysiert und in der Enginsight Plattform angezeigt.

Das Enginsight IDS bietet ein [stufenbasiertes Erkennungssystem](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-intrusion-detection-system-ids) in Form von 5 Leveln, welche es erlauben, eine individuelle Balance zwischen Performance und Sicherheit einzustellen.

***

## Voraussetzungen

**Aktivierung des IDS**:

Damit Netzwerkanomalien erkannt und, basierend darauf, Netzwerkattacken mithilfe von Shield geblockt werden können, müssen folgende Einstellungen vorgenommen werden:

* Das *Erkennen* von Netzwerkanomalien muss in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md#core-feature) oder unter **Hosts** → **Policies** mit einer [entsprechenden Richtlinie aktiviert sein](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-intrusion-detection-system-ids).
* Das *Blocken* von Netzwerkattacken muss in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md#core-feature) oder unter **Hosts** → **Policies** mit einer [entsprechenden Richtlinie aktiviert sein](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-shield-ips).

***

## Weitere Hinweise

* Nach der Aktivierung des IDS lernt dieses zunächst die zugrunde liegende IT-Infrastruktur kennen. In dieser Lernphase kann es vermehrt zu falsch-positiven Erkennungen kommen. Wir empfehlen, diesen Zeitraum zu nutzen, um legitimen Netzwerkverkehr und unkritische Aktivitäten, die als auffällig erkannt werden, zu identifizieren und gegebenenfalls auf die [Whitelist](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/whitelist.md) zu setzen.
* Bei der Erstellung von Whitelist-Einträgen gilt es zu beachten, dass die Ausnahmen passgenau sind. Wir empfehlen, Whitelist-Einträge nicht zu großflächig anzulegen, da diese den Sicherheitsgedanken des IDS untergraben, ähnlich einer "any any" Firewall-Regel.

***

## IDS: Menüstruktur

Unter **Hosts** → **Intrusion Detection System** findest du verschiedene Optionen, um Netzwerkanomalien und Netzwerkattacken in Echtzeit zu erkennen und darauf zu reagieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf den Menüpunkt **Intrusion Detection System**, um das dazugehörige Untermenü aus- oder einzuklappen.&#x20;

Folgende Untermenüpunkte stehen zur Verfügung:

{% columns %}
{% column width="33.33333333333333%" %}

<figure><img src="/files/eDAZjyqGfG3FHeQUKvHA" alt=""><figcaption></figcaption></figure>
{% endcolumn %}

{% column width="66.66666666666667%" %}

* [Dashboard](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/dashboard.md)
* [Netzwerkanomalien](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/netzwerkanomalien.md)
* [Whitelist](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/whitelist.md)
* [Weltkarte](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/weltkarte.md)
  {% endcolumn %}
  {% endcolumns %}

<i class="fa-grip-dots-vertical">:grip-dots-vertical:</i> Klicke und halte den Menüpunkt **Intrusion Detection System**, um ihn im Menübaum via Drag-and-Drop inklusive aller Untermenüpunkte zu verschieben.&#x20;


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.