# Netzwerkanomalien

Die Netzwerkanomalien-Übersicht bietet dir einen detaillierten Überblick über alle erkannten Netzwerkanomalien und ermöglicht es dir, Netzwerkattacken direkt zu blockieren.

{% hint style="danger" %}
**Bitte beachte**: Damit hier Werte angezeigt werden können, müssen folgende Voraussetzungen erfüllt sein:

* Das *Erkennen* von Netzwerkanomalien muss in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md#core-feature) oder unter **Hosts** → **Policies** mit einer [entsprechenden Richtlinie aktiviert sein](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-intrusion-detection-system-ids).
* Das *Blockieren* von Netzwerkattacken muss in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md#core-feature) oder unter **Hosts** → **Policies** mit einer [entsprechenden Richtlinie aktiviert sein](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-shield-ips).
  {% endhint %}

{% hint style="info" %}
Die Speicherzeit für erkannte Netzwerkanomalien beträgt standardmäßig drei Tage. Du kannst diesen Zeitraum über die Enginsight Konfigurationsdatei anpassen.
{% endhint %}

{% hint style="success" icon="lightbulb" %}
Mehr Informationen, wie du die Speicherzeiten von Log-Einträgen verändern kannst, findest du in unserer Knowledge Base: [Wie kann ich die Speicherzeiten meiner Enginsight Logs anpassen?](https://docs.enginsight.com/docs/knowledge-base/logging/wie-kann-ich-die-speicherzeiten-meiner-enginsight-logs-anpassen)
{% endhint %}

***

<i class="fa-compass">:compass:</i> Navigiere zu **Hosts** → **Intrusion Detection System** → **Netzwerkanomalien** um eine Zeitleiste sowie eine Auflistung aller erkannten Netzwerkanomalien anzuzeigen.

<figure><img src="/files/DzS5D39dPwy73mf4JFis" alt=""><figcaption></figcaption></figure>

Du kannst der [Netzwerkanomalien-Übersicht](#netzwerkanomalien-ubersicht) unter anderem entnehmen:

* welche Art der Netzwerkattacke mit welchem Schweregrad erkannt wurde.
* welche IP-Adresse aus welchem Land welchen Ziel-Host angegriffen hat.
* wann die Netzwerkattacke erkannt oder blockiert wurde.

Des Weiteren hast du hier die Möglichkeit, [Start- und Endzeitpunkt](#start-und-endzeitpunkt-festlegen) für die Betrachtung festzulegen, die gesamte [Liste zu exportieren](#liste-exportieren) sowie für erkannte Netzwerkanomalien ein [manuelles Regelwerk hinzuzufügen](#netzwerkanomalie-blockieren).

***

## Navigation

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <i class="fa-magnifying-glass">:magnifying-glass:</i> **Freitextsuche** oberhalb der Liste und gib einen frei gewählten Suchbegriff ein, um bestimmte Listenelemente zu finden.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Aktualisieren**-Symbol <i class="fa-arrows-rotate-reverse">:arrows-rotate-reverse:</i> oberhalb der Liste, um alle Listenelemente zu aktualisieren.

<i class="fa-computer-mouse-scrollwheel">:computer-mouse-scrollwheel:</i> Scrolle in der Liste nach unten oder passe die Ergebnisanzeige pro Seite an: ![](/files/2OyJnQuiS9EayPZHDbB3) um weitere Einträge in der Liste zu sehen.\
Nutze die Seitennavigation: ![](/files/IWrRD7h50XDr2neLTKmC) um zwischen mehreren Seiten zu wechseln.&#x20;

### Start- und Endzeitpunkt festlegen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-calendar-days">:calendar-days:</i> **Startzeitpunkt** bzw. <i class="fa-calendar-days">:calendar-days:</i> **Endzeitpunkt** in der rechten oberen Ecke, um einen Startzeitpunkt bzw. Endzeitpunkt für die Betrachtung zu definieren. Es öffnet sich die Datumsauswahl.

{% tabs %}
{% tab title="Relativer Zeitraum" %}
Stelle manuell einen **relativen Zeitraum** ein. Du kannst auch einen relativen Zeitraum aus einer der **Vorlagen** auswählen.

<div align="left"><figure><img src="/files/r57QiEZwtvSqh1GG7vRE" alt="" width="236"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld mit der standardmäßigen Einstellung **Tage zuvor**, um eine Liste aller verfügbaren Zeiträume auszuklappen. Wähle einen Zeitraum aus.

Gib im Zahlenfeld die Anzahl der Sekunden, Minuten, Stunden, Tage oder Wochen ein, die du anzeigen möchtest. Standardmäßig ist hier der Wert **1** eingestellt.

Bestätige deine Angaben mit Klick auf **Übernehmen**.
{% endtab %}

{% tab title="Absoluter Zeitraum" %}
Wähle ein Datum aus der Kalenderansicht aus.

<div align="left"><figure><img src="/files/HzeQylEhWTQpSlSm7nNz" alt="" width="164"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke optional auf <i class="fa-clock">:clock:</i> **Uhrzeit**, um mithilfe der Wählscheibe eine genaue Uhrzeit im 24-Stunden-Format festzulegen. Wähle zunächst eine Stunde aus. Die Wählscheibe springt daraufhin auf die Minutenanzeige. Wähle hier entsprechend die Minuten aus.&#x20;

Bestätige deine Angaben mit Klick auf **Übernehmen**.
{% endtab %}
{% endtabs %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-arrow-rotate-left">:arrow-rotate-left:</i> **Zurücksetzen** in der rechten oberen Ecke, um die vorgenommenen Einstellungen für den betrachteten Zeitraum zurückzusetzen.

### Liste filtern

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Filtern**-Symbol <i class="fa-filter">:filter:</i> oberhalb der Liste, um die Liste nach vordefinierten Parametern zu filtern.

<details>

<summary>Verfügbare Filter</summary>

<table><thead><tr><th width="206.60546875">Parameter</th><th width="116.515625">Art</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Aktion</td><td>String</td><td>Filtere nach erkannten Netzwerkanomalien oder geblockten Netzwerkattacken.</td></tr><tr><td>Blockiert</td><td>Boolean</td><td><p>Filtere danach, ob eine mögliche Netzwerkattacke geblockt wurde oder nicht.<br></p><p>Folgende Werte stehen zur Verfügung:</p><ul><li><strong>True</strong>: Die Netzwerkanomalie wurde als mögliche Netzwerkattacke erkannt und geblockt.</li><li><strong>False</strong>: Die mögliche Netzwerkattacke wurde nicht geblockt.</li></ul></td></tr><tr><td>Host</td><td>String</td><td>Filtere nach einem bestimmten Host, auf dem eine Netzwerkanomalie erkannt wurde, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Hosts angezeigt.</td></tr><tr><td>Kontinent</td><td>String</td><td>Filtere nach einem bestimmten Kontinent, von dem aus eine mögliche Netzwerkattacke durchgeführt wurde, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Kontinente angezeigt.</td></tr><tr><td>Land</td><td>String</td><td>Filtere nach einem bestimmten Land, von dem aus eine mögliche Netzwerkattacke durchgeführt wurde, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Länder angezeigt.</td></tr><tr><td>Quelle IP</td><td>String</td><td>Filtere nach einer bestimmten IP-Adresse, von der aus eine mögliche Netzwerkattacke durchgeführt wurde, oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Quell-IP-Adressen angezeigt.</td></tr><tr><td>Schweregrad</td><td>String</td><td>Filtere nach einer Netzwerkanomalie mit einem bestimmten Schweregrad oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Schweregrade angezeigt.</td></tr><tr><td>Typ</td><td>String</td><td>Filtere nach einer bestimmten Art von Netzwerkanomalie oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Netzwerkanomalie-Typen angezeigt.</td></tr></tbody></table>

</details>

### Listenelemente sortieren

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke im Tabellenkopf auf das **Sortieren**-Symbol <i class="fa-sort">:sort:</i> neben einem Spaltennamen, um nach der jeweiligen Spalte in aufsteigender Reihenfolge <i class="fa-angle-up">:angle-up:</i> oder in absteigender Reihenfolge <i class="fa-chevron-down">:chevron-down:</i> zu sortieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Sortieren**-Symbol <i class="fa-bars-sort">:bars-sort:</i> oberhalb der Liste, um die Priorität der vorgenommenen Sortierung anzupassen. Es öffnet sich ein Menü, in dem alle Spalten angezeigt werden, nach denen die Liste sortiert ist. Verschiebe die angezeigten Elemente per Drag-and-Drop, um die Sortierpriorität zu ändern.

***

## Netzwerkanomalien: Zeitleiste

Die Netzwerkanomalien-Zeitleiste zeigt ein Säulendiagramm mit der jeweiligen Anzahl aller Netzwerkanomalien über den gewählten Zeitraum hinweg.

<figure><img src="/files/KHjR0EsDz9w0Z7uyvNVn" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf die Optionen **Low** (geringer Schweregrad), **Medium** (mittlerer Schweregrad), **High** (hoher Schweregrad) oder **Blockiert**, um die entsprechend kategorisierten Netzwerkanomalien aus- oder einzublenden.

<i class="fa-computer-mouse-scrollwheel">:computer-mouse-scrollwheel:</i> Fahre mit dem Mauszeiger über eine Säule im Diagramm, um die aggregierte Anzahl der entsprechend kategorisierten Netzwerkanomalien zu einem bestimmten Zeitpunkt anzuzeigen.&#x20;

***

## Netzwerkanomalien: Übersicht

<figure><img src="/files/VRo61PqTuCydCUPeEPn5" alt=""><figcaption></figcaption></figure>

Die Netzwerkanomalien-Übersicht ist als tabellarische Liste aufgebaut. Du kannst der Liste folgende Informationen entnehmen:

<table><thead><tr><th width="200.03125">Spalte</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Schweregrad</td><td><p>Zeigt den Schweregrad der erkannten Netzwerkanomalie.<br></p><p>Folgende Schweregrade können angezeigt werden:</p><ul><li><strong>High</strong>: Die Netzwerkanomalie hat eine hohe Kritikalität.</li><li><strong>Medium</strong>: Die Netzwerkanomalie hat eine mittlere Kritikalität.</li><li><strong>Low</strong>: Die Netzwerkanomalie hat eine geringe Kritikalität.</li></ul><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der Schweregrad ist ausgegraut, wenn die Netzwerkanomalie bereits automatisch oder manuell geblockt wurde.</p></div></td></tr><tr><td>Aktion</td><td><p>Zeigt den Status der Netzwerkanomalie.</p><p></p><p>Folgende Status können angezeigt werden:</p><ul><li><strong>Erkannt</strong>: Die Netzwerkanomalie wurde erkannt.</li><li><strong>Blockiert</strong>: Die Netzwerkanomalie wurde erkannt und blockiert.</li></ul></td></tr><tr><td>Typ</td><td>Zeigt die Art der Netzwerkattacke.</td></tr><tr><td>Quelle</td><td>Zeigt die IP-Adresse und das Land, von dem aus die Netzwerkattacke durchgeführt wurde.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Filtern</strong>-Symbol <i class="fa-filter">:filter:</i> neben einer Quelle, um die Liste direkt nach der jeweiligen Quelle zu filtern.</td></tr><tr><td>Ziel</td><td>Zeigt die IP-Adresse und den Namen des Hosts, auf den die Netzwerkattacke gerichtet war.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf einen Host-Namen, um zur jeweiligen <a href="/pages/2A0M45TxgQaeD6tpDIkK">Host-Detailansicht</a> zu navigieren.</td></tr><tr><td>Erkannt am</td><td>Zeigt das Datum und die Uhrzeit, wann die Netzwerkanomalie erkannt wurde.</td></tr><tr><td>Aktionen</td><td><p>Erstelle ein <a href="/pages/iMSmucKX63MTOFgUrlkb">manuelles Shield-Regelwerk</a> für die erkannte Netzwerkanomalie.<br></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu auf <a href="#anomalie-behandeln">Anomalie behandeln</a>. Es öffnet sich ein neues Fenster, in dem du direkt ein manuelles Regelwerk erstellen kannst.</p></td></tr><tr><td>Details</td><td>Zeige einen Auszug aus dem IDS-Log mit mehr Detailinformationen zur erkannten Netzwerkanomalie. Dies sind bspw. die verwendete HTTP-Methode oder auch die SID, die numerische ID der Regel, durch die die Netzwerkanomalie erkannt wurde.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu auf <strong>Details</strong>, um den Log-Auszug in einem neuen Fenster anzuzeigen. <br><br><img src="/files/rbCzGczLDtpjOfS0pwEc" alt=""></td></tr></tbody></table>

***

## Anomalie behandeln

<i class="fa-eye">:eye:</i> Dieses Fenster wird nur angezeigt, wenn du in der Netzwerkanomalien-Übersicht neben einem Listenelement auf **Anomalie behandeln** klickst.

<div align="left"><figure><img src="/files/mBCkCAMb7qzD8xi8k1Aj" alt="" width="394"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Manuelles Regelwerk hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um das neue manuelle Shield-Regelwerk zu speichern und erstellen.&#x20;

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Manuelles Regelwerk hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

### Grundeinstellungen

<table><thead><tr><th width="199.6796875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td><p>Gib dem Regelwerk einen aussagekräftigen Namen oder lasse den vordefinierten Namen stehen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig angegebene Name ist folgendermaßen aufgebaut: <strong>Quick [vordefinierte Aktion] [Quell-IP-Adresse]</strong>.</p></div></td></tr><tr><td>Aktion</td><td><p>Lege eine Aktion fest, die für die Netzwerkverbindung durchgesetzt werden soll, die die Netzwerkanomalie ausgelöst hat.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig ausgewählte Aktion ist <strong>Verwerfen (Drop)</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Aktion</strong>, um eine Liste aller verfügbaren Aktionen auszuklappen.</p><p></p><p>Folgende Aktionen stehen zur Verfügung:</p><ul><li><strong>Erlauben</strong>: Die betroffene Verbindung wird als vertrauenswürdig eingestuft und damit zugelassen. Für sie wird im Hintergrund ein Whitelist-Eintrag erstellt.</li><li><strong>Verwerfen (Drop)</strong>: Die betroffene Verbindung wird nicht zugelassen. Es wird dabei keine Antwort an das Quellsystem gesendet.</li><li><strong>Blockieren (Reject)</strong>: Die betroffene Verbindung wird aktiv unterbunden. Dabei wird eine entsprechende, negative Antwort an das Quellsystem gesendet.</li></ul><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Regelwerke, die Netzwerkverbindungen erlauben, überschreiben stets alle Regelwerke, die die entsprechenden Verbindungen verwerfen oder blockieren!</p></div><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Wir empfehlen für die Abwehr von Netzwerkattacken immer die Aktion <strong>Verwerfen (Drop)</strong> zu verwenden. Auf diese Weise werden dem Angreifer keine Informationen zum Einsatz einer Sicherheitssoftware geliefert.</p></div></td></tr><tr><td>Protokolle</td><td><p>Lege ein oder mehrere Transportprotokolle fest, die die Netzwerkverbindung, für die die Aktion gelten soll, näher definieren.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig angegebenen Protokolle sind <strong>Alle Protokolle</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Protokolle</strong>, um eine Liste aller verfügbaren Protokolle auszuklappen. Wähle ein Protokoll, mehrere Protokolle oder die Option <strong>Alle Protokolle</strong> aus.</p></td></tr></tbody></table>

### Quellen

Gib die Quelle (IP-Adressbereich oder Domain-Name) für die Netzwerkverbindung an, für die das manuelle Regelwerk gelten soll. Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.921875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Aktion</td><td><p>Lege fest, ob du die Quelle über ein Subnetz oder über einen Domain-Namen angeben möchtest.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig ausgewählte Aktion ist <strong>CIDR</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Aktion</strong>, um eine Liste aller verfügbaren Optionen auszuklappen.<br><br>Folgende Optionen stehen zur Verfügung:</p><ul><li><strong>CIDR</strong>: Gib als Quelle ein Subnetz in Classless Inter-Domain Routing (CIDR)-Notation an.</li><li><strong>FQDN</strong>: Gib als Quelle einen vollständigen Domain-Namen (Fully Qualified Domain Name; FQDN) an.</li></ul></td></tr><tr><td>CIDR</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Aktion</strong> die Option <strong>CIDR</strong> ausgewählt wurde.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig eingetragene CIDR ist das Subnetz des in der Netzwerkanomalien-Übersicht ausgewählten Listenelements.</p></div><p>Gib ein Subnetz in Classless Inter-Domain Routing (CIDR)-Notation an. Mehr Informationen zu möglichen Notationen erhältst du hier: <a href="/pages/ypnvncQhIQCt2IACvn3y">Angabe von IP-Adressbereichen und Subnetzen</a>.</p></td></tr><tr><td>FQDN</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Aktion</strong> die Option <strong>FQDN</strong> ausgewählt wurde.</p><p></p><p>Gib einen vollständigen Domain-Namen (Fully Qualified Domain Name; FQDN) inklusive aller Sub-Domänen an, z.B. <em>hostname.in.domain</em>. </p></td></tr><tr><td>Löschen</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Löschen</strong>-Symbol <i class="fa-trash">:trash:</i> um deine Eingaben zu entfernen.</td></tr></tbody></table>

### Ziele

{% hint style="warning" %}
**Bitte beachte**: Die manuelle Eingabe von Ziel-IP-Adressbereichen ist für Netzwerkanomalien standardmäßig deaktiviert. Das manuelle Regelwerk gilt standardmäßig für alle Ziel-IP-Adressbereiche (IPv4 0.0.0.0/0 und IPv6 ::/0) im Netzwerkverkehr.
{% endhint %}

### Zugeordnete Hosts

Lege fest, für welche Hosts oder Gruppen von Hosts das manuelle Regelwerk gelten soll. Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.5625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Host-Zuordnung</td><td><p>Lege fest, ob du Hosts über ihren Namen oder über Tags dem Regelwerk zuordnen möchtest.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig ausgewählte Host-Zuordnung ist <strong>Referenz</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Host-Zuordnung</strong>, um eine Liste aller verfügbaren Optionen auszuklappen.<br><br>Folgende Optionen stehen zur Verfügung:</p><ul><li><strong>Tags</strong>: Wähle Hosts über ihre zugeordneten Tags aus.</li><li><strong>Referenz</strong>: Wähle Hosts über ihren Namen aus.</li></ul></td></tr><tr><td>Hosts</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Host-Zuordnung</strong> die Option <strong>Referenz</strong> ausgewählt wurde.<br></p><p>Lege Hosts fest, die dem Regelwerk hinzugefügt werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig festgelegte Host ist der des in der Netzwerkanomalien-Übersicht ausgewählten Listenelements.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Hosts</strong>, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen oder mehrere Hosts aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden.<br></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-xmark">:circle-xmark:</i> neben einem hinzugefügten Host, um ihn aus dem Feld <strong>Hosts</strong> zu entfernen.</p></td></tr><tr><td>Tags</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Host-Zuordnung</strong> die Option <strong>Tags</strong> ausgewählt wurde.</p><p></p><p>Lege Tags für Gruppen von Hosts fest, die dem Regelwerk hinzugefügt werden sollen.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Tags</strong>, um eine Liste aller verfügbaren Tags auszuklappen, und wähle einen oder mehrere Tags aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden.<br></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-xmark">:circle-xmark:</i> neben einem hinzugefügten Tag, um ihn aus dem Feld <strong>Tags</strong> zu entfernen.</p></td></tr></tbody></table>

***

## Liste exportieren

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-down-to-line">:down-to-line:</i> **Alles exportieren** in der rechten oberen Ecke, um die gesamte Übersicht für den gewählten Zeitraum unabhängig von gesetzten Filtern herunterzuladen. Der Export der Datei erfolgt im CSV-Format.

{% hint style="info" %}
Die exportierte Datei findest du im standardmäßig von deinem Browser genutzten Speicherort.
{% endhint %}

***

## Weitere Ressourcen

**Knowledge Base**

* [Wie kann ich die Speicherzeiten meiner Enginsight Logs anpassen?](https://docs.enginsight.com/docs/knowledge-base/logging/wie-kann-ich-die-speicherzeiten-meiner-enginsight-logs-anpassen)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system/netzwerkanomalien.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.