# Playbook hinzufügen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Playbook hinzufügen** in der rechten oberen Ecke der [Playbook-Übersicht](/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar/playbooks.md#playbooks-ubersicht), um ein neues Playbook zu erstellen. Es öffnet sich das Fenster **Playbook hinzufügen**.

<div align="left"><figure><img src="/files/fNxLHLEKB85R7N0kNbBM" alt="" width="473"><figcaption></figcaption></figure></div>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.47265625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td>Gib dem Playbook einen aussagekräftigen Namen.</td></tr><tr><td>Beschreibung</td><td><p>Beschreibe das Playbook genauer. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Dieses Feld ist optional.</p></div></td></tr><tr><td>Aktiviert</td><td><p>Erlaube dem Playbook aktiv Daten zu korrelieren und automatisierte Abläufe einzuleiten.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Aktiviert</strong> oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um das Playbook zu deaktivieren.</p></td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Schließen**, um zurück zur Listenübersicht zu gelangen.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, nachdem du alle Einstellungen vorgenommen hast, um ein neues Playbook zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Orchestrierung (SOAR)**→ **Playbooks** → **Hinzufügen**.

Das Playbook sieht zu Beginn wie folgt aus:

<figure><img src="/files/vo8FtMg1eMdU7Qiw6WRT" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Playbook hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um das neue Playbook zu speichern und zu erstellen.&#x20;

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Änderungen speichern** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

***

## Playbook-Ansicht anpassen

Du hast verschiedene Möglichkeiten, die Playbook-Ansicht anzupassen:

![](/files/zfPloeTpRgwbxLiuqTR1)

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Vergrößern**-Symbol <i class="fa-magnifying-glass-plus">:magnifying-glass-plus:</i> in der rechten oberen Ecke der Arbeitsfläche, um in die Ansicht hineinzuzoomen, oder klicke auf das **Verkleinern**-Symbol <i class="fa-magnifying-glass-minus">:magnifying-glass-minus:</i>, um aus der Ansicht herauszuzoomen. Oder scrolle <i class="fa-computer-mouse-scrollwheel">:computer-mouse-scrollwheel:</i> mit deiner Maus, um die Darstellung entsprechend anzupassen.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Ansicht anpassen**-Symbol <i class="fa-expand">:expand:</i> in der rechten oberen Ecke der Arbeitsfläche, um die Darstellung automatisch zu skalieren, sodass alle Bestandteile des Playbooks zentriert auf der Arbeitsfläche angezeigt werden.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke mit der linken Maustaste auf den dunklen Ausschnitt in der **Arbeitsflächen-Vorschau** ganz oben rechts und halte sie gedrückt, um den sichtbaren Bereich an die gewünschte Position zu verschieben.

### Kacheln platzieren

Du kannst Kacheln beliebig auf dem Bearbeitungsbereich platzieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke mit der linken Maustaste auf einen Funktions-Baustein und halte sie gedrückt, um den entsprechenden Baustein an beliebiger Stelle auf der Arbeitsfläche als Kachel einzufügen.

<div align="left"><figure><img src="/files/q0RzATJPnDNUQpH42gOM" alt="" width="470"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke und halte dazu eine Kachel mit der linken Maustaste, um sie via Drag-and-Drop zu verschieben und neu zu platzieren.

<div align="left"><figure><img src="/files/WXJ25osfRQ6zo6ICIBmb" alt="" width="563"><figcaption></figcaption></figure></div>

### Kacheln verbinden

Um einen oder mehrere konkrete Ablaufpfade innerhalb eines Playbooks zu erstellen, müssen Kacheln miteinander verbunden werden. Die Verbindungen bestimmen, welche Informationen wie weiterverarbeitet werden.&#x20;

Jede Kachel hat einen **Eingangspunkt** <i class="fa-circle">:circle:</i> am oberen Rand der Kachel sowie mindestens einen **Ausgangspunkt** <i class="fa-circle">:circle:</i> am unteren Rand der Kachel. Ausnahmen sind die Startpunkt- sowie die Endpunkt-Kacheln.

<div align="left"><figure><img src="/files/Ux4a60BljkZg6SgHpcgu" alt=""><figcaption></figcaption></figure></div>

<i class="fa-arrow-pointer">:arrow-pointer:</i> Fahre mir dem Mauszeiger über einen Ausgangspunkt einer Kachel, bis sich der Cursor in ein **Plus**-Symbol <i class="fa-plus">:plus:</i> ändert. Klicke dann mit der linken Maustaste auf den **Ausgangspunkt** <i class="fa-circle">:circle:</i> und ziehe bei gedrückter Maustaste eine Verbindung zu einem **Eingangspunkt** <i class="fa-circle">:circle:</i> einer anderen Kachel.

<div align="left"><figure><img src="/files/C0qwYgCy5S2P2mHslNF6" alt="" width="467"><figcaption></figcaption></figure></div>

<i class="fa-arrow-pointer">:arrow-pointer:</i> Fahre mir dem Mauszeiger über die Verbindungslinie zwischen zwei Kacheln, bis ein **Löschen**-Symbol <i class="fa-trash">:trash:</i> erscheint. Klicke darauf, um die entsprechende Verbindung aufzuheben.

<div align="left"><figure><img src="/files/XEuFEO8sTq1ZRhEljm7Z" alt="" width="327"><figcaption></figcaption></figure></div>

### Aktionen für Kacheln

<i class="fa-arrow-pointer">:arrow-pointer:</i> Fahre mit dem Mauszeiger über eine Kachel auf der Arbeitsfläche, um alle Aktionen für diese Kachel einzublenden.

<div align="left"><figure><img src="/files/A8vCy11hgRc5SnIhnt3v" alt="" width="253"><figcaption></figcaption></figure></div>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.47265625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Bearbeiten</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Bearbeiten</strong>-Symbol <i class="fa-pen">:pen:</i> um die Kachel entsprechend ihrer Funktion zu konfigurieren.</td></tr><tr><td>Kopieren</td><td><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Kopieren</strong>-Symbol <i class="fa-clone">:clone:</i> um die Kachel mit allen vorgenommenen Konfigurationen zu duplizieren. Die duplizierte Kachel erscheint unterhalb der bereits existierenden Kachel.</p><p><br><img src="/files/Y4JCa88TPbW8rZSrYtYC" alt=""></p></td></tr><tr><td>Löschen</td><td><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Löschen</strong>, um die entsprechende Kachel zu löschen.</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Gelöschte Kacheln sind unwiederbringlich verloren!</p></div></td></tr></tbody></table>

***

## Linkes Seitenmenü&#x20;

Im linken Seitenmenü kannst du zum Einen [allgemeine Einstellungen](#allgemeine-einstellungen) vornehmen und zum Anderen [Funktions-Bausteine](#funktions-bausteien) wählen, mit deren Hilfe du benutzerdefinierte Reaktionsabläufe erstellen kannst.

<div align="left"><figure><img src="/files/UQIryo2ni8tgprz1IAQ2" alt="" width="146"><figcaption></figcaption></figure></div>

### Allgemeine Einstellungen

<table><thead><tr><th width="200.47265625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td><p>Zeigt den benutzerdefinierten Namen des Playbooks. </p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Bearbeiten</strong>-Symbol <i class="fa-pen">:pen:</i> um den Namen des Playbooks zu ändern.</p></td></tr><tr><td>Revision</td><td><p>Zeigt die eindeutige Revisions-Kennung des aktuellen Stands des Playbooks.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Beim Anlegen eines neuen Playbooks bleibt diese Zeile leer.</p></div></td></tr></tbody></table>

### Funktions-Bausteine

Folgende Bausteine stehen für unterschiedliche Funktionen zur Verfügung:

<table><thead><tr><th width="200.47265625">Funktions-Baustein</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Kontext (Kontext)</td><td><p>Lege Felder fest, nach denen eingehende Logs automatisch gruppiert und anschließend weiterverarbeitet werden können. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Ein eingefügter Kontext-Baustein erscheint als <a href="#kachel-kontext">Kontext-Kachel</a> auf der Arbeitsfläche.</p></div></td></tr><tr><td>Filter (Datenverarbeitung)</td><td><p>Lege Filterregeln fest, um Daten aufgrund spezifischer Bedingungen von der weiteren Verarbeitung auszuschließen. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Ein eingefügter Filter-Baustein erscheint als <a href="#kachel-filter">Filter-Kachel</a> auf der Arbeitsfläche.</p></div></td></tr><tr><td>Entscheidung (Datenverarbeitung)</td><td><p>Lege Bedingungen fest, um kontextbasiert unterschiedliche Ablaufpfade zu ermöglichen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Ein eingefügter Entscheidungs-Baustein erscheint als <a href="#kachel-entscheidung">Entscheidungs-Kachel</a> auf der Arbeitsfläche.</p></div></td></tr><tr><td>Aktion (Aktionen)</td><td><p>Lege Regeln für eine Aktion fest, die beim Eintreten einer bestimmten Bedingung ausgeführt wird.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Ein eingefügter Aktions-Baustein erscheint als <a href="#kachel-aktion">Aktions-Kachel</a> auf der Arbeitsfläche.</p></div></td></tr><tr><td>LLM (Aktionen)</td><td><p>Nutze einen angebundenen LLM (Large Language Model)-Anbieter und definiere Prompts, um KI-basierte Aktionen durchzuführen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Ein eingefügter LLM-Baustein erscheint als <a href="#kachel-llm">LLM-Kachel</a> auf der Arbeitsfläche.</p></div></td></tr><tr><td>Benachrichtigung (Aktionen)</td><td><p>Erstelle eine E-Mail-Vorlage für automatisierte Benachrichtigungen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Ein eingefügter Benachrichtigungs-Baustein erscheint als <a href="#kachel-benachrichtigung">Benachrichtigung-Kachel</a> auf der Arbeitsfläche.</p></div></td></tr></tbody></table>

***

## Playbook erstellen

### Kachel: Startpunkt

Hier legst du einen Auslöser für dein Playbook fest.

{% hint style="danger" %}
**Bitte beachte**: Die Auswahl eines Startpunkts ist obligatorisch und dient als Voraussetzung, um dem Playbook weitere Funktions-Bausteine hinzuzufügen. Nach dem Hinzufügen eines Startpunkts kann als nächster Baustein nur eine [Kontext-Kachel](#kachel-kontext) hinzugefügt werden.
{% endhint %}

<div align="left"><figure><img src="/files/LloZMih6iOm5PNeMAeBs" alt="" width="212"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Auslöser auswählen** in der Startpunkt-Kachel, um ein neues Fenster zu öffnen, in dem du Einstellungen für den Startpunkt des Playbooks festlegen kannst.

<figure><img src="/files/6vXtajv080VDY3tbOpjx" alt=""><figcaption></figcaption></figure>

<table><thead><tr><th width="200.0390625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Workflow</td><td><p>Lege einen <a href="/pages/OsVueaYyKbFcGEfKDqLB">Workflow</a> fest, der als Startbedingung für das Playbook dient. Erst wenn der Workflow getriggert wird, treten weitere Schritte des Playbooks in Kraft.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Workflow</strong>, um eine Liste aller verfügbaren Workflows auszuklappen, und wähle einen Workflow aus. Oder nutze die Freitexteingabe, um Workflows in der Liste schneller zu finden.</p></td></tr></tbody></table>

<i class="fa-eye">:eye:</i> Die ausgewählte Startbedingung wird dir nach Auswahl eines Workflows als Vorschau unterhalb des Felds **Workflow** angezeigt.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, um den ausgewählten Workflow als Startbedingung hinzuzufügen.

### Kachel: Kontext

<i class="fa-eye">:eye:</i> Eine Kontext-Kachel kann dem Playbook erst hinzugefügt werden, wenn du einen [Startpunkt](#kachel-startpunkt) festgelegt hast.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Bearbeiten**-Symbol <i class="fa-pen">:pen:</i> neben einer Kontext-Kachel, um ein neues Fenster zu öffnen, in dem du den Kontext konfigurieren kannst. &#x20;

<figure><img src="/files/8c5SiXU1XQbqYyZKFXeA" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **Kontext**, um der Kontext-Kachel einen aussagekräftigen Anzeigenamen zu geben.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Add Variable**, um einen Bereich mit weiteren Eingabefeldern zu öffnen, in dem du ein Feld festlegen kannst, nach dem eingehende Logs bspw. automatisch gruppiert und anschließend weiterverarbeitet werden sollen.

<figure><img src="/files/oObsx84mqhQ8KQVOh4Fr" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.0390625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Feldname</td><td><p>Lege ein Feld fest, nach dem eingehende Logs gruppiert werden sollen.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Feldname</strong>, um eine Liste aller verfügbaren Feldnamen auszuklappen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden. </p></td></tr><tr><td>Variablenname</td><td><p>Lege einen Namen für die Gruppierung fest.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig vergebene Variablenname entspricht dem Feldnamen.</p></div></td></tr><tr><td>Aggregator</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du die Option <strong>Secondary Variable</strong> wählst.</p><p></p><p>Lege fest, wie Feldwerte aggregiert und angezeigt werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Je nach Datentyp der gewählten Metrik sind nicht alle Aggregatoren sinnvoll oder verfügbar. Numerische Felder eignen sich z. B. für Durchschnitts- oder Summenberechnungen, während Textfelder meist nur für Minimal- und Maximalwerte genutzt werden können.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Aggregator</strong>, um eine Liste aller verfügbaren Optionen auszuklappen. <br><br>Folgende Optionen stehen zur Verfügung:</p><ul><li><strong>Array</strong>: Es werden alle vorhandenen Messwerte berücksichtigt.</li><li><strong>Set</strong>: Es werden nur Messwerte berücksichtigt, die sich voneinander unterscheiden.</li></ul></td></tr><tr><td>Primary Variable</td><td><p>Lege fest, dass es sich bei dem zuvor ausgewählten Feld um ein Primärfeld handeln soll. <br><br>Primärfelder dienen dem Playbook zur automatischen Gruppierung von eingehenden Logs, wenn die entsprechenden Feldwerte übereinstimmen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig ausgewählt.</p></div></td></tr><tr><td>Secondary Variable</td><td><p>Lege fest, dass es sich bei dem zuvor ausgewählten Feld um ein Sekundärfeld handelt. <br><br>Sekundärfelder werden nicht zur Gruppierung von eingehenden Logs genutzt, sondern dienen lediglich der Anreicherung um zusätzliche Informationen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist nicht standardmäßig ausgewählt.</p></div></td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, um das Feld als Kontext-Variable hinzuzufügen.

<figure><img src="/files/wRJBjXrNEvEcd5BJ87UB" alt=""><figcaption></figcaption></figure>

Du hast nun folgende weitere Möglichkeiten:

<table><thead><tr><th width="228.85546875">Aktion</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Weitere Kontext-Variable hinzufügen</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> <strong>Add Variable</strong>, um ein weiteres Feld festzulegen, nach dem eingehende Logs gruppiert werden sollen.</td></tr><tr><td>Kontext-Variablen sortieren</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Raster</strong>-Symbol <i class="fa-grip-dots-vertical">:grip-dots-vertical:</i> links neben einer Kontext-Variable und ziehe dieses bei gedrückter Maustaste an eine beliebige Stelle in der Auflistung, um die Gruppier-Reihenfolge zu ändern.  </td></tr><tr><td>Kontext-Variable löschen</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Löschen</strong>-Symbol rechts neben einer Kontext-Variable <i class="fa-trash">:trash:</i>, um diese aus der Liste zu entfernen.</td></tr><tr><td>Speichern</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Übernehmen</strong>, um deine vorgenommenen Einstellungen zu speichern und zur Arbeitsfläche zurückzukehren.</td></tr><tr><td>Abbrechen</td><td><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Abbrechen</strong>, um ohne zu speichern direkt zur Arbeitsfläche zurückzukehren.</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Verlässt du diese Ansicht, ohne auf <strong>Übernehmen</strong> zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!</p></div></td></tr></tbody></table>

***

### Kachel: Filter

<i class="fa-eye">:eye:</i> Eine Filter-Kachel kann dem Playbook erst hinzugefügt werden, wenn du einen [Startpunkt](#kachel-startpunkt) festgelegt und eine [Kontext-Kachel](#kachel-kontext) konfiguriert hast.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Bearbeiten**-Symbol <i class="fa-pen">:pen:</i> neben einer Filter-Kachel, um ein neues Fenster zu öffnen, in dem du den Filter konfigurieren kannst, um Daten aufgrund spezifischer Bedingungen von der weiteren Verarbeitung auszuschließen.&#x20;

<figure><img src="/files/uCi2w6iYOGF0QmnYbvXo" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **Filter**, um der Filter-Kachel einen aussagekräftigen Anzeigenamen zu geben.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Bedingung**, um einen Bereich mit weiteren Eingabefeldern zu öffnen, in dem du verschiedene Filterbedingungen definieren kannst.

Zwei oder mehr Bedingungen können mit dem Operator **UND** sowie mit dem Operator **ODER** verbunden werden. Zudem ist es möglich, einer Bedingung mit Klick auf  <i class="fa-plus">:plus:</i> **Unterbedingung** eine Unterbedingung hinzuzufügen.

{% hint style="info" %}
Bedingungen und Unterbedingungen sind beliebig verschachtelbar. Dies wird grafisch als hierarchischer Bedingungsbaum dargestellt.
{% endhint %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einer hinzugefügten Bedingung oder Unterbedingung, um diese aus dem Bedingungsbaum zu entfernen.

<figure><img src="/files/ABQxrWbnHYsPQOnYop0W" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.1484375">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Operator</td><td><p>Lege fest, wie du zwei oder mehr Bedingungen verknüpfen möchtest.<br><br>Folgende Operatoren stehen zur Verfügung:</p><ul><li><strong>AND</strong>: Die erste Bedingung und die zweite Bedingung müssen zutreffen.</li><li><strong>OR</strong>: Mindestens eine der Bedingungen muss zutreffen.</li></ul></td></tr><tr><td>Kontextvariable</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du eine <strong>Bedingung</strong> oder <strong>Unterbedingung</strong> hinzufügst.</p><p></p><p>Wähle eine zuvor erstellte Kontext-Variable (eine Feld-Gruppierung) aus, auf deren Basis du eine Filterregel erstellen möchtest.</p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Kontextvariable</strong>, um eine Liste aller verfügbaren Kontext-Variablen auszuklappen, und wähle eine Variable aus. Oder nutze die Freitexteingabe, um Variablen in der Liste schneller zu finden.</p></td></tr><tr><td>Operator</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du eine <strong>Bedingung</strong> oder <strong>Unterbedingung</strong> hinzufügst und dieser eine <strong>Kontextvariable</strong> zuordnest.</p><p></p><p>Lege einen Operator für den im Folgenden zu definierenden Feldwert fest, um irrelevante Werte entsprechend herauszufiltern.</p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Operator</strong>, um eine Liste aller verfügbaren Operatoren auszuklappen, und wähle einen aus.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die zur Verfügung stehenden Operatoren können sich je nach Feld, auf dem eine gewählte Kontext-Variable basiert, unterscheiden. </p></div><p>Folgende Operatoren können zur Verfügung stehen:</p><ul><li><strong>Größer als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds größer ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Größer gleich als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds gleich oder größer ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Kleiner als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds kleiner ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Kleiner gleich als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds gleich oder kleiner ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Gleich</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds mit dem im Folgenden definierten Wert übereinstimmt, werden behalten und weiterverarbeitet.</li><li><strong>Ungleich</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds nicht mit dem im Folgenden definierten Wert übereinstimmt, werden behalten und weiterverarbeitet.</li><li><strong>Regulärer Ausdruck</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds dem im Folgenden angegebenen Muster (Regex) entspricht, werden behalten und weiterverarbeitet.</li></ul></td></tr><tr><td>Wert</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du im Feld <strong>Operator</strong> die Optionen <strong>Gleich</strong> oder <strong>Ungleich</strong> auswählst.</p><p></p><p>Definiere einen Feldwert für das als Kontext-Variable definierte Feld, um irrelevante Logs gemäß dem zuvor gewählten Operator auszuschließen.<br><br>Werte können bspw. Zahlen oder auch ein boolescher Wert (True oder False) sein.</p></td></tr><tr><td>Pattern (Regex) (Syntax: RE2)</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du im Feld Operator die Option <strong>Regulärer Ausdruck</strong> auswählst.<br><br>Gib einen regulären Ausdruck (Regex) in RE2-Syntax ein, um irrelevante Logs gemäß dem angegebenen Muster auszuschließen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die RE2-Syntax bezieht sich auf die RE2 Regex-Engine von Google.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Fahnen</strong>-Symbol <i class="fa-flag">:flag:</i> am Ende eines Eingabefelds, um das Fenster <a href="#regex-flags">Regex Flags</a> zu öffnen. Hier kannst du Einstellungen für deinen regulären Ausdruck festlegen.</p></td></tr></tbody></table>

#### Regex Flags

<div align="left"><figure><img src="/files/pTWnRs2nisHXldnhRYOx" alt=""><figcaption></figcaption></figure></div>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Multiline</td><td><p>Lege fest, ob Zeilenanfang und -ende in einem mehrzeiligen Text erkannt werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist nicht standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Multiline</strong>, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um die Option zu deaktivieren.</p></td></tr><tr><td>Case Insensitive</td><td><p>Lege fest, ob Groß- und Kleinschreibung ignoriert werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist nicht standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Case Insensitive</strong>, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um die Option zu deaktivieren.</p></td></tr></tbody></table>

<p align="center">---------------</p>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, um deine vorgenommenen Einstellungen zu speichern und zur Arbeitsfläche zurückzukehren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Abbrechen**, um ohne zu speichern direkt zur Arbeitsfläche zurückzukehren.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Übernehmen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

***

### Kachel: Entscheidung

<i class="fa-eye">:eye:</i> Eine Entscheidungs-Kachel kann dem Playbook erst hinzugefügt werden, wenn du einen [Startpunkt](#kachel-startpunkt) festgelegt und eine [Kontext-Kachel](#kachel-kontext) konfiguriert hast.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Bearbeiten**-Symbol <i class="fa-pen">:pen:</i> neben einer Entscheidungs-Kachel, um ein neues Fenster zu öffnen, in dem du eine if-else-Bedingung konfigurieren kannst, um kontextbasiert unterschiedliche Ablaufpfade zu ermöglichen.&#x20;

<figure><img src="/files/gKGaQhhpMPn0jlchv3PK" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **Entscheidung**, um der Entscheidungs-Kachel einen aussagekräftigen Anzeigenamen zu geben.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Entscheidung hinzufügen**, um einen neuen Entscheidungspfad zu erstellen.

{% hint style="info" %}
Für jede hinzugefügte Entscheidung erhält die Entscheidungs-Kachel auf der Arbeitsfläche einen zusätzlichen Ausgangspunkt für eine weitere [Kachel-Verbindung](#kacheln-verbinden), über den separate Ablaufpfade definiert werden können.
{% endhint %}

<figure><img src="/files/XCJk6BobNkvp7FLodh2I" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **Bedingungsbezeichnung (Optional)**, um der Bedingung einen aussagekräftigen Anzeigenamen zu geben.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Bedingung**, um einen Bereich mit weiteren Eingabefeldern zu öffnen, in dem du verschiedene Filterbedingungen definieren kannst.

Zwei oder mehr Bedingungen können mit dem Operator **UND** sowie mit dem Operator **ODER** verbunden werden. Zudem ist es möglich, einer Bedingung mit Klick auf  <i class="fa-plus">:plus:</i> **Unterbedingung** eine Unterbedingung hinzuzufügen.

{% hint style="info" %}
Bedingungen und Unterbedingungen sind beliebig verschachtelbar. Dies wird grafisch als hierarchischer Bedingungsbaum dargestellt.
{% endhint %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einer hinzugefügten Bedingung oder Unterbedingung, um diese aus dem Bedingungsbaum zu entfernen.

<figure><img src="/files/xVSReuxDYx3Wp5In4JaF" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.1484375">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Operator</td><td><p>Lege fest, wie du zwei oder mehr Bedingungen verknüpfen möchtest.<br><br>Folgende Operatoren stehen zur Verfügung:</p><ul><li><strong>AND</strong>: Die erste Bedingung und die zweite Bedingung müssen zutreffen.</li><li><strong>OR</strong>: Mindestens eine der Bedingungen muss zutreffen.</li></ul></td></tr><tr><td>Kontextvariable</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du eine <strong>Bedingung</strong> oder <strong>Unterbedingung</strong> hinzufügst.</p><p></p><p>Wähle eine zuvor erstellte Kontext-Variable (eine Feld-Gruppierung) aus, auf deren Basis du eine Filterregel erstellen möchtest.</p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Kontextvariable</strong>, um eine Liste aller verfügbaren Kontext-Variablen auszuklappen, und wähle eine Variable aus. Oder nutze die Freitexteingabe, um Variablen in der Liste schneller zu finden.</p></td></tr><tr><td>Operator</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du eine <strong>Bedingung</strong> oder <strong>Unterbedingung</strong> hinzufügst und dieser eine <strong>Kontextvariable</strong> zuordnest.</p><p></p><p>Lege einen Operator für den im Folgenden zu definierenden Feldwert fest, um irrelevante Werte entsprechend herauszufiltern.</p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Operator</strong>, um eine Liste aller verfügbaren Operatoren auszuklappen, und wähle einen aus.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die zur Verfügung stehenden Operatoren können sich je nach Feld, auf dem eine gewählte Kontext-Variable basiert, unterscheiden. </p></div><p>Folgende Operatoren können zur Verfügung stehen:</p><ul><li><strong>Größer als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds größer ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Größer gleich als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds gleich oder größer ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Kleiner als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds kleiner ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Kleiner gleich als</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds gleich oder kleiner ist als der im Folgenden definierte Wert, werden behalten und weiterverarbeitet.</li><li><strong>Gleich</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds mit dem im Folgenden definierten Wert übereinstimmt, werden behalten und weiterverarbeitet.</li><li><strong>Ungleich</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds nicht mit dem im Folgenden definierten Wert übereinstimmt, werden behalten und weiterverarbeitet.</li><li><strong>Regulärer Ausdruck</strong>: Alle Logs, in denen der Wert des als Kontext-Variable definierten Felds dem im Folgenden angegebenen Muster (Regex) entspricht, werden behalten und weiterverarbeitet.</li></ul></td></tr><tr><td>Wert</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du im Feld <strong>Operator</strong> die Optionen <strong>Gleich</strong> oder <strong>Ungleich</strong> auswählst.</p><p></p><p>Definiere einen Feldwert für das als Kontext-Variable definierte Feld, um irrelevante Logs gemäß dem zuvor gewählten Operator auszuschließen.<br><br>Werte können bspw. Zahlen oder auch ein boolescher Wert (True oder False) sein.</p></td></tr><tr><td>Pattern (Regex) (Syntax: RE2)</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld ist nur sichtbar, wenn du im Feld Operator die Option <strong>Regulärer Ausdruck</strong> auswählst.<br><br>Gib einen regulären Ausdruck (Regex) in RE2-Syntax ein, um irrelevante Logs gemäß dem angegebenen Muster auszuschließen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die RE2-Syntax bezieht sich auf die RE2 Regex-Engine von Google.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Fahnen</strong>-Symbol <i class="fa-flag">:flag:</i> am Ende eines Eingabefelds, um das Fenster <a href="#regex-flags">Regex Flags</a> zu öffnen. Hier kannst du Einstellungen für deinen regulären Ausdruck festlegen.</p></td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Entscheidung hinzufügen**, um einen weiteren Entscheidungspfad zu erstellen.

{% hint style="warning" %}
**Bitte beachte**: Die Prüfung der Entscheidungen erfolgt in der Reihenfolge ihrer Erstellung.
{% endhint %}

<figure><img src="/files/e9Pq5JSjmS3UAc2sBjj6" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einer hinzugefügten Entscheidung, um diese wieder zu entfernen.

<p align="center">---------------</p>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, um deine vorgenommenen Einstellungen zu speichern und zur Arbeitsfläche zurückzukehren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Abbrechen**, um ohne zu speichern direkt zur Arbeitsfläche zurückzukehren.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Übernehmen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

***

### Kachel: Aktion

<i class="fa-eye">:eye:</i> Eine Aktions-Kachel kann dem Playbook erst hinzugefügt werden, wenn du einen [Startpunkt](#kachel-startpunkt) festgelegt und eine [Kontext-Kachel](#kachel-kontext) konfiguriert hast.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Bearbeiten**-Symbol <i class="fa-pen">:pen:</i> neben einer Aktions-Kachel, um ein neues Fenster zu öffnen, in dem du eine Aktion konfigurieren kannst, die beim Eintreten einer bestimmten Bedingung ausgeführt wird.

<figure><img src="/files/EBJtCPX2hE5pzbEi7BdE" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **Aktion**, um der Aktions-Kachel einen aussagekräftigen Anzeigenamen zu geben.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf den Button **Webhook**, um einen Bereich mit weiteren Eingabefeldern zu öffnen.

<figure><img src="/files/86EehfIBbuXl7utSSWcn" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.0390625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Methode</td><td><p>Lege fest, mit welcher HTTP-Methode die Anfrage an die Ziel-URL gesendet werden soll.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig angegebene HTTP-Methode ist <strong>POST</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Methode</strong>, um eine Liste aller verfügbaren Optionen auszuklappen.<br></p><p>Folgende Optionen stehen zur Verfügung:</p><ul><li><strong>GET</strong>: Diese Methode ruft Daten vom Zielsystem ab.</li><li><strong>POST</strong>: Diese Methode erstellt neue Daten im Zielsystem oder übermittelt Daten an das Zielsystem.</li><li><strong>PATCH</strong>: Diese Methode aktualisiert bestehende Daten im Zielsystem teilweise.</li><li><strong>PUT</strong>: Diese Methode aktualisiert bestehende Daten im Zielsystem vollständig.</li><li><strong>DELETE</strong>: Diese Methode löscht bestehende Daten im Zielsystem.</li></ul></td></tr><tr><td>Base-Url</td><td>Gib die Ziel-URL ein, an die die Webhook-Anfrage gesendet werden soll.</td></tr><tr><td>HTTP-Header Name</td><td>Gib die Bezeichnung für einen HTTP-Header an, den du als Zusatzinformation an die Ziel-URL übergeben möchtest.</td></tr><tr><td>Wert </td><td>Gib den zugehörigen Wert für den zuvor definierten HTTP-Header an.</td></tr><tr><td>Body Variablen</td><td><p>Zeigt alle verfügbaren Variablen, die du im Feld <strong>Anfrage-Body</strong> verwenden kannst, sowie die zugehörigen Platzhalter.</p><div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p><strong>Bitte beachte</strong>: Die zur Verfügung stehenden Variablen unterscheiden sich je nach <a href="#kachel-kontext">Kontext</a>, dem die Aktion innerhalb eines Ablaufpfades zugeordnet ist.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke mit der linken Maustaste auf das <strong>Grid</strong>-Symbol <i class="fa-grip-vertical">:grip-vertical:</i> neben einem Platzhalter und halte sie gedrückt, um den Platzhalter per Drag-and-Drop an beliebiger Stelle in das Feld <strong>Anfrage-Body</strong> einzufügen.</p></td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **HTTP-Header hinzufügen**, um weitere HTTP-Header zu ergänzen.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> rechts neben einem hinzugefügten HTTP-Header, um diesen wieder zu entfernen.

#### Anfrage-Body

Hier kannst du den Inhalt der HTTP-Anfrage festlegen, der an die Ziel-URL übermittelt werden soll.

{% hint style="info" %}
Nutze hier bei Bedarf auch die verfügbaren Platzhalter aus dem Bereich **Body Variablen**.
{% endhint %}

<div align="left"><figure><img src="/files/kPtpgaZ8fUUyrEwOKdFk" alt="" width="523"><figcaption></figcaption></figure></div>

<p align="center">---------------</p>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, um deine vorgenommenen Einstellungen zu speichern und zur Arbeitsfläche zurückzukehren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Abbrechen**, um ohne zu speichern direkt zur Arbeitsfläche zurückzukehren.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Übernehmen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

***

### Kachel: LLM

<i class="fa-eye">:eye:</i> Eine LLM-Kachel kann dem Playbook erst hinzugefügt werden, wenn du einen [Startpunkt](#kachel-startpunkt) festgelegt und eine [Kontext-Kachel](#kachel-kontext) konfiguriert hast.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Bearbeiten**-Symbol <i class="fa-pen">:pen:</i> neben einer LLM-Kachel, um ein neues Fenster zu öffnen, in dem du einen LLM-Anbieter und Prompts definieren kannst, um KI-basierte Aktionen durchzuführen.

<figure><img src="/files/BDC6BzK2wnCOz8f9dfKn" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **LLM**, um der LLM-Kachel einen aussagekräftigen Anzeigenamen zu geben.

Folgende weitere Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.0390625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>LLM Provider</td><td><p>Lege den LLM-Anbieter fest, den du nutzen möchtest.</p><div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p><strong>Bitte beachte</strong>: Um hier einen LLM-Anbieter auswählen zu können, musst du diesen zuvor unter <strong>SIEM</strong> → <strong>Orchestrierung (SOAR)</strong> → <a href="/pages/YoJIepMOeFsBJgouuitW">LLM Provider</a> hinzugefügt haben.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>LLM Provider</strong>, um eine Liste aller verfügbaren LLM-Provider auszuklappen, und wähle einen Anbieter aus. Oder nutze die Freitexteingabe, um LLM-Provider in der Liste schneller zu finden.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-xmark">:circle-xmark:</i> neben einem ausgewählten LLM-Anbieter, um ihn aus dem Feld <strong>LLM Provider</strong> zu entfernen.</p></td></tr><tr><td>Zusammenfassung</td><td><p>Wähle diese Option, um eingehende Logs kontextbasiert durch das LLM zusammenfassen zu lassen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig ausgewählt.</p></div></td></tr><tr><td>Entscheidung</td><td>Wähle diese Option, um eingehende Logs kontextbasiert durch das LLM unterschiedlichen Weiterverarbeitungs-Pfaden zuzuordnen.<br><br><i class="fa-shuffle">:shuffle:</i> Wenn du die Option <strong>Entscheidung</strong> wählst, öffnet sich ein weiterer Bereich mit zusätzlichen Eingabefeldern, in denen du <a href="#entscheidungen">weitere Einstellungen</a> definieren kannst.</td></tr><tr><td>Benutzerdefiniert</td><td>Wähle diese Option, um eingehende Logs anhand einer benutzerdefinierten Anweisung kontextbasiert durch das LLM bspw. analysieren zu lassen oder Problemstellungen zu formulieren.</td></tr><tr><td>Zusätzlicher Prompt</td><td><i class="fa-eye">:eye:</i> Dieses Feld wird nur angezeigt, wenn du zuvor die Option <strong>Zusammenfassung</strong> oder <strong>Entscheidung</strong> gewählt hast.<br><br>Gib dem LLM weitere Anweisungen mit, die bei der Zusammenfassung der Logs oder bei einer Entscheidung berücksichtigt werden sollen.</td></tr><tr><td>Prompt</td><td><p><i class="fa-eye">:eye:</i> Dieses Feld wird nur angezeigt, wenn du zuvor die Option <strong>Benutzerdefiniert</strong> gewählt hast.<br></p><p>Gib einen benutzerdefinierten Prompt an, den das LLM beachten soll.</p></td></tr><tr><td>Gedankengang anzeigen</td><td><p>Aktiviere diese Option, um den Gedankengang des LLMs inklusive aller Zwischenschritte für eine bessere Nachvollziehbarkeit anzeigen zu lassen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Gedanken anzeigen</strong>, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um die Option zu deaktivieren.</p></td></tr><tr><td>Tool-Aufrufe aktivieren</td><td><p>Aktiviere diese Option, um dem LLM den Zugriff auf externe Quellen wie Webseiten oder Datenbanken für präzisere Antworten zu erlauben.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist nicht standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Tool-Aufrufe aktivieren</strong>, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um die Option zu deaktivieren.</p></td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einer hinzugefügten Entscheidung, um diese wieder zu entfernen.

<p align="center">---------------</p>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, um deine vorgenommenen Einstellungen zu speichern und zur Arbeitsfläche zurückzukehren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Abbrechen**, um ohne zu speichern direkt zur Arbeitsfläche zurückzukehren.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Übernehmen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

#### Entscheidungen

<i class="fa-eye">:eye:</i> Dieser Bereich ist nur sichtbar, wenn du zuvor die Option **Entscheidung** gewählt hast.

Hier kannst du festlegen, welche konkreten Entscheidungen das LLM treffen soll.

<div align="left"><figure><img src="/files/CFXY6KK9uohzBr9ockRV" alt="" width="563"><figcaption></figcaption></figure></div>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="207.765625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Beschriftung</td><td>Gib dem Entscheidungspfad einen aussagekräftigen Namen.</td></tr><tr><td>Entscheidungskriterium</td><td>Gib eine präzise formulierte Beschreibung ein, unter welcher Bedingung diese Entscheidung durch das LLM getroffen werden soll.</td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Entscheidung hinzufügen**, um einen weiteren Entscheidungspfad zu definieren.

{% hint style="info" %}
Für jede hinzugefügte Entscheidung erhält die LLM-Kachel auf der Arbeitsfläche einen zusätzlichen Ausgangspunkt für eine weitere [Kachel-Verbindung](#kacheln-verbinden), über den separate Ablaufpfade definiert werden können.
{% endhint %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einer hinzugefügten Entscheidung, um den entsprechenden Entscheidungspfad zu löschen.

#### Erweiterte Einstellungen

<i class="fa-eye">:eye:</i> Dieser Bereich ist nur sichtbar, wenn du zuvor die Option **Entscheidung** gewählt hast.

Hier kannst du zusätzliche Einstellungen zur Steuerung der Antwort durch das LLM vornehmen.

<figure><img src="/files/FvaPHxflz5oKsr2zSK5o" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.0390625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Default Action</td><td><p>Lege fest, welcher Entscheidungspfad verwendet werden soll, wenn innerhalb des definierten Zeitlimits keine Antwort des LLM erfolgt.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig eingetragene <strong>Default Action</strong> ist die zuerst erstellte Entscheidung.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Default Action</strong>, um eine Liste aller verfügbaren Entscheidungspfade auszuklappen, und wähle einen Entscheidungspfad aus.</p></td></tr><tr><td>Timeout</td><td><p>Lege das Zeitlimit in Sekunden fest, in dem das LLM eine Antwort zurückgeben muss. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Bei Überschreitung des Zeitlimits wird der im Feld <strong>Default Action</strong> definierte Entscheidungspfad ausgeführt. Das standardmäßig angegebene Zeitlimit beträgt <strong>60 Sekunden</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Timeout</strong>, um die Anzahl <i class="fa-angle-up">:angle-up:</i> höher oder <i class="fa-angle-down">:angle-down:</i> niedriger einzustellen oder gib manuell eine Zahl ein und bestätige deine Eingabe mit der Enter-Taste. </p></td></tr></tbody></table>

***

### Kachel: Benachrichtigung&#x20;

<i class="fa-eye">:eye:</i> Eine Benachrichtigungs-Kachel kann dem Playbook erst hinzugefügt werden, wenn du einen [Startpunkt](#kachel-startpunkt) festgelegt und eine [Kontext-Kachel](#kachel-kontext) konfiguriert hast.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Bearbeiten**-Symbol <i class="fa-pen">:pen:</i> neben einer Benachrichtigungs-Kachel, um ein neues Fenster zu öffnen, in dem du eine E-Mail-Vorlage für automatisierte Benachrichtigungen konfigurieren kannst.

<figure><img src="/files/M9TlFs3XVwTh6oGApIge" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **Benachrichtigung**, um der Benachrichtigungs-Kachel einen aussagekräftigen Anzeigenamen zu geben.

Folgende weitere Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.0390625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Betreff</td><td>Gib einen aussagekräftigen Betreff für die E-Mail-Vorlage ein, der den Inhalt der Benachrichtigung präzise beschreibt.</td></tr><tr><td>Body (Markdown + Mustache)</td><td><p>Gib den Inhalt der Benachrichtigung ein. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der Text kann mit Markdown formatiert werden. Nutze hier bei Bedarf auch die verfügbaren Platzhalter aus dem Bereich <strong>Body Variablen</strong>.</p></div></td></tr><tr><td>Body Variablen</td><td><p>Zeigt alle verfügbaren Mustache-Variablen, die du im Feld <strong>Body (Markdown + Mustache)</strong> verwenden kannst, sowie die zugehörigen Platzhalter.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke mit der linken Maustaste auf das <strong>Grid</strong>-Symbol <i class="fa-grip-vertical">:grip-vertical:</i> neben einem Platzhalter und halte sie gedrückt, um den Platzhalter per Drag-and-Drop an beliebiger Stelle in das Feld <strong>Body (Markdown + Mustache)</strong> einzufügen.</p></td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Minimal Template** rechts im Feld **Betreff**, um im Feld **Body (Markdown + Mustache)** eine Minimal-Vorlage für den E-Mail-Body inklusive voreingefügter Platzhalter anzuzeigen.&#x20;

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Preview** rechts im Feld **Betreff**, um eine Vorschau des E-Mail-Bodies anzuzeigen.

{% hint style="warning" %}
**Bitte beachte**: Die zur Verfügung stehenden Mustache-Variablen unterscheiden sich je nach [Kontext](#kachel-kontext), dem die Benachrichtigung innerhalb eines Ablaufpfades zugeordnet ist.
{% endhint %}

<figure><img src="/files/3s8BJ4p2sVmeBuEYVjoC" alt=""><figcaption></figcaption></figure>

#### Benachrichtigungskanäle

Hier kannst du festlegen, wer Benachrichtigungen, die auf der entsprechenden E-Mail-Vorlage basieren, erhalten soll.

<figure><img src="/files/M8EHjuaPfsk3Obt7ifvj" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.0390625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Type</td><td><p>Zeigt, über welchen Kommunikationskanal die Benachrichtigung erfolgen soll.</p><div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p><strong>Bitte beachte</strong>: Aktuell ist ausschließlich die Benachrichtigung über E-Mail möglich.</p></div></td></tr><tr><td>Nachrichtenempfänger</td><td><p>Lege fest, wer der Empfänger der E-Mail-Benachrichtigung sein soll.</p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Nachrichtenempfänger</strong>, um eine Liste aller verfügbaren Benutzer auszuklappen, und wähle einen Benutzer aus. Oder nutze die Freitexteingabe, um Benutzer in der Liste schneller zu finden.</p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-x">:circle-x:</i> neben einem hinzugefügten Benutzer, um ihn aus dem Feld <strong>Nachrichtenempfänger</strong></p><p>zu entfernen.</p></td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Add Channel**, um weitere Eingabefelder anzuzeigen, in dem du einen zusätzlichen Kommunikationskanal und Empfänger festlegen kannst.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einem hinzugefügten Benachrichtigungskanal, um ihn wieder zu entfernen.

<p align="center">---------------</p>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Übernehmen**, um deine vorgenommenen Einstellungen zu speichern und zur Arbeitsfläche zurückzukehren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Abbrechen**, um ohne zu speichern direkt zur Arbeitsfläche zurückzukehren.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Übernehmen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

***

### Kachel: Endpunkt

Die Endpunkt-Kachel markiert das Ende eines Ablaufpfads im Playbook. Nach Erreichen des Endpunkts wird die Verarbeitung für diesen Pfad beendet.

<div align="left"><figure><img src="/files/EnUAq1bokvKCzdWvC1pF" alt=""><figcaption></figcaption></figure></div>

{% hint style="danger" %}
**Bitte beachte**: Die letzte Kachel eines Ablaufpfades innerhalb des Playbooks muss immer die Endpunkt-Kachel sein, um die Funktionalität des Playbooks zu gewährleisten.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar/playbooks/playbook-hinzufugen.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.