# Workflow hinzufügen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Workflow hinzufügen** in der rechten oberen Ecke der [Workflow-Übersicht](/docs/manual/bedienung-der-plattform/siem/workflows.md#workflows-ubersicht), um einen neuen Workflow zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Workflows** → **Hinzufügen**.

<figure><img src="/files/0n2yVdhfybwxbwBEesDL" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Workflow hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um den neuen Workflow zu speichern und erstellen.&#x20;

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Workflow hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

***

## Grundeinstellungen

<figure><img src="/files/Qxsfr84s0QbbMthZDpJ0" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.46875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td>Gib dem Workflow einen aussagekräftigen Namen.</td></tr><tr><td>Beschreibung</td><td><p>Beschreibe den Workflow genauer. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Dieses Feld ist optional.</p></div></td></tr><tr><td>Workflow-Verantwortlicher</td><td><p>Lege einen Benutzer fest, der für die Funktionalität des Workflows verantwortlich ist.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig eingetragene Workflow-Verantwortliche ist der Benutzer, der den Workflow erstellt.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Workflow-Verantwortlicher</strong>, um eine Liste aller verfügbaren Benutzer auszuklappen, und wähle einen Benutzer aus. Oder nutze die Freitexteingabe, um Benutzer aus der Liste schneller zu finden.<br> </p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-xmark">:circle-xmark:</i> neben einem hinzugefügten Benutzer, um ihn aus dem Feld <strong>Workflow-Verantwortlicher</strong> zu entfernen.</p></td></tr><tr><td>Incident-Verantwortlicher</td><td><p>Lege einen Benutzer fest, der für die Überprüfung und Bearbeitung von Ereignisse verantwortlich ist, die durch diesen Workflow ausgelöst wurden. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig eingetragene Incident-Verantwortliche ist der Benutzer, der den Workflow erstellt.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Incident-Verantwortlicher</strong>, um eine Liste aller verfügbaren Benutzer auszuklappen, und wähle einen Benutzer aus. Oder nutze die Freitexteingabe, um Benutzer aus der Liste schneller zu finden.<br> </p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-xmark">:circle-xmark:</i> neben einem hinzugefügten Benutzer, um ihn aus dem Feld <strong>Incident-Verantwortlicher</strong> zu entfernen.</p></td></tr><tr><td>Schweregrad</td><td><p>Lege einen Schweregrad für den Workflow fest. Dieser wird für <a href="/pages/U2pJphz3phoNcbjzZJzv">Ereignisse</a>, die durch den Workflow ausgelöst werden, übernommen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig angegebene Schweregrad ist <strong>Medium</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Schweregrad</strong>, um eine Liste aller verfügbaren Schweregrade auszuklappen, und wähle einen Schweregrad aus.</p><p><br>Folgende Schweregrade stehen zur Verfügung:</p><ul><li><strong>Critical</strong>: Der Workflow hat eine sehr hohe Kritikalität.</li><li><strong>High</strong>: Das Workflow hat eine hohe Kritikalität.</li><li><strong>Medium</strong>: Das Workflow hat eine mittlere Kritikalität.</li><li><strong>Low</strong>: Das Workflow hat eine geringe Kritikalität.</li></ul></td></tr><tr><td>Aktiviert</td><td><p>Aktiviere den Workflow, damit Logs entsprechend der definierten Bedingungen überprüft werden und ein Ereignis ausgelöst wird, wenn die Bedingungen erfüllt sind.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Aktiviert</strong> oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um den Workflow zu deaktivieren.</p></td></tr></tbody></table>

## Workflowbedingungen

Hier legst du fest, welche Bedingungen zutreffen müssen, damit der Workflow ein entsprechendes Ereignis auslöst.

<figure><img src="/files/3Jqtr5S7zl6QMrLf82Vu" alt=""><figcaption></figcaption></figure>

### Workflowbedingung hinzufügen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Workflowbedingungen hinzufügen**, um dem Workflow einen bereits existierenden, verwalteten oder benutzerdefinierten Stream hinzuzufügen. Dieser filtert alle Roh-Logs aus dem Data Lake entsprechend vor.

Es öffnet sich ein neues Fenster **Event-Stream** mit den Tabs [Verwaltete Event-Streams](#tab-1-verwaltete-event-streams) und [Deine Event-Streams](#tab-2-deine-event-streams). Klicke auf einen Tab, um in die entsprechende Ansicht zu wechseln.

<i class="fa-magnifying-glass">:magnifying-glass:</i> Nutze die Freitextsuche über das Feld **Suchen**, um Streams in der jeweiligen Liste schneller zu finden.&#x20;

<div align="left"><figure><img src="/files/6LCVkx1GKCPtLawAjY3E" alt="" width="389"><figcaption></figcaption></figure></div>

#### Tab 1: Verwaltete Event-Streams

Unter dem Tab **Verwaltete Event-Streams** findest du von Enginsight bereitgestellte Streams. Diese sind nach Log-Quellen gruppiert.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Aufklappen**-Symbol <i class="fa-angle-down">:angle-down:</i> rechts neben einer Stream-Gruppe, um eine Liste aller zugehörigen Streams auszuklappen. Klicke auf das **Einklappen**-Symbol <i class="fa-angle-up">:angle-up:</i> um diese wieder einzuklappen.

<div align="left"><figure><img src="/files/Ku8qpnvZwyfzyua3JVQ6" alt="" width="430"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf einen Stream aus der Liste, um diesen auszuwählen und dem Workflow hinzuzufügen.

#### Tab 2: Deine Event-Streams

Unter dem Tab **Deine Event-Streams** findest du deine benutzerdefinierten Streams. Dies können Streams sein, die du unter SIEM → [Streams](/docs/manual/bedienung-der-plattform/siem/streams.md) hinzugefügt hast, oder Streams, die du aus der Data-Lake-Ansicht heraus [gespeichert hast](#stream-speichern). &#x20;

{% hint style="info" %}
Wenn du noch keine eigenen Streams angelegt hast, ist diese Ansicht leer.
{% endhint %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf einen Stream aus der Liste, um diesen auszuwählen und dem Workflow hinzuzufügen.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> rechts neben einem Stream-Namen, um diesen zu löschen.

{% hint style="danger" %}
**Bitte beachte**: Gelöschte Streams sind unwiederbringlich verloren!
{% endhint %}

### Bedingung hinzufügen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Bedingung hinzufügen** rechts neben einem ausgewählten Stream, um die Workflow-Bedingung, die auf diesem Stream basiert, optional noch granularer zu gestalten. Es werden weitere Eingabefelder angezeigt.

{% hint style="info" %}
Du kannst einem ausgewählten Stream beliebig viele Unterbedingungen hinzufügen.
{% endhint %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einer hinzugefügten Unterbedingung, um diese wieder zu entfernen.

<figure><img src="/files/rFNOecx0IOkJVSqKZGuh" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Typ</td><td><p>Lege den Element-Typ fest, nach dem du den ausgewählten Stream noch weiter filtern möchtest.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Typ</strong>, um eine Liste aller verfügbaren Element-Typen auszuklappen, und wähle einen Typ aus.</p><p></p><p>Folgende Typen stehen zur Verfügung:</p><ul><li><strong>Group</strong>: Filtere den Stream nach einem spezifischen Feld.</li><li><strong>Filter</strong>: Filtere den Stream nach einem spezifischen Feldwert.</li><li><strong>Display Field</strong>: Lege ein Feld fest, das bei einem ausgelösten Ereignis explizit angezeigt wird.</li><li><strong>Zeitfenster</strong>: Filtere den Stream nach einem spezifischen Zeitraum.</li></ul></td></tr></tbody></table>

<i class="fa-shuffle">:shuffle:</i> Je nachdem, welche Auswahl du im Feld **Typ** triffst, werden unterschiedliche weitere Eingabefelder angezeigt:

{% tabs %}
{% tab title="Typ: Group" %} <i class="fa-eye">:eye:</i> Das folgende Eingabefeld wird nur angezeigt, wenn du im Feld **Typ** die Option **Group** auswählst.

<div align="left"><figure><img src="/files/tFkS47SIPsoUyU4mWdC3" alt=""><figcaption></figcaption></figure></div>

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Feldname</td><td><p>Lege ein Feld fest, das du dem Stream als Unterbedingung hinzufügen möchtest.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Feldname</strong>, um eine Liste aller verfügbaren Felder auszuklappen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden. </p></td></tr></tbody></table>
{% endtab %}

{% tab title="Typ: Filter" %} <i class="fa-eye">:eye:</i> Die folgenden Eingabefelder werden nur angezeigt, wenn du im Feld **Typ** die Option **Filter** auswählst.

<figure><img src="/files/KZyXbYcBSUgZPnh4GKax" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Feldname</td><td><p>Lege ein Feld fest, das du dem Stream als Unterbedingung hinzufügen möchtest.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Feldname</strong>, um eine Liste aller verfügbaren Felder auszuklappen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden.</p></td></tr><tr><td>Operator</td><td><p>Lege fest, welcher Operator für den gewählten Feldwert gelten soll.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig ausgewählte Operator ist <strong>Gleich</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Operator</strong>, um eine Liste aller verfügbaren Optionen auszuklappen.<br><br>Folgende Optionen stehen zur Verfügung:</p><ul><li><strong>Gleich</strong>: Es werden nur Log-Einträge berücksichtigt, in denen der Feldwert genau dem angegebenen Wert entspricht.</li><li><strong>Ungleich</strong>: Es werden nur Log-Einträge berücksichtigt, in denen der Feldwert nicht dem angegebenen Wert entspricht.</li></ul></td></tr><tr><td>Wert</td><td><p>Gib einen spezifischen Feldwert für das ausgewählte Feld an.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Wert</strong> und gib den Wert für das Feld als Freitext ein. Bestätige deine Eingabe mit der <strong>Enter</strong>-Taste.</p></td></tr></tbody></table>
{% endtab %}

{% tab title="Typ: Display Field" %} <i class="fa-eye">:eye:</i> Das folgende Eingabefeld wird nur angezeigt, wenn du im Feld **Typ** die Option **Display Field** auswählst.

<div align="left"><figure><img src="/files/ksaGVmgOzr9f4zBBF2lH" alt=""><figcaption></figcaption></figure></div>

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Feldname</td><td><p>Lege ein Feld fest, das bei einem ausgelösten Ereignis explizit angezeigt wird.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Feldname</strong>, um eine Liste aller verfügbaren Felder auszuklappen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden. </p></td></tr></tbody></table>
{% endtab %}

{% tab title="Typ: Zeitfenster" %} <i class="fa-eye">:eye:</i> Das folgende Eingabefeld wird nur angezeigt, wenn du im Feld **Typ** die Option **Zeitfenster** auswählst.

<div align="left"><figure><img src="/files/fKRAAz34bHsVX7rHvi5F" alt=""><figcaption></figcaption></figure></div>

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Cron-Ausdruck</td><td><p>Lege ein Zeitfenster fest, das du dem Stream als Unterbedingung hinzufügen möchtest. </p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Cron-Ausdruck</strong> und gib manuell einen Cron-Ausdruck ein. Oder klicke auf das <strong>Erweitern</strong>-Symbol <i class="fa-arrow-up-right-and-arrow-down-left-from-center">:arrow-up-right-and-arrow-down-left-from-center:</i>  im Feld <strong>Cron-Ausdruck</strong>, um ein neues Fenster mit einer Datumsauswahl zu öffnen. </p></td></tr></tbody></table>

#### Datumsauswahl

<div align="left"><figure><img src="/files/9aTCyo6HhmXgZKbTAfRx" alt="" width="529"><figcaption></figcaption></figure></div>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.328125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Zeitzone</td><td><p>Lege die Zeitzone fest, für die das Zeitfenster gelten soll.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig ausgewählte Zeitzone ist <strong>(GMT+01:00) MEZ – Europe/Berlin</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Zeitzone</strong>, um eine Liste aller verfügbaren Zeitzonen auszuklappen.</p></td></tr><tr><td>Cron-Ausdruck (Vixie/Unix)</td><td><p>Zeigt das Zeitfenster als Cron-Ausdruck an.<br><br>Der Cron-Ausdruck aktualisiert sich automatisch, sobald du ein Zeitintervall mit der Datumsauswahl auswählst.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig angegebene Cron-Ausdruck ist <strong>0*/6***</strong>. Dies bedeutet, dass das entsprechende Logs alle 6 Stunden analysiert werden.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Cron-Ausdruck</strong>, um den Cron-Ausdruck manuell anzupassen.</p></td></tr><tr><td>Nächste Ausführung (Lokale Zeitzone)</td><td>Zeigt das genaue Datum und die Uhrzeit für das kommende Zeitfenster an.</td></tr><tr><td>Beschreibung</td><td>Zeigt das Zeitfenster als Beschreibung in Worten an.</td></tr><tr><td>Datumsauswahl</td><td>Lege ein benutzerdefiniertes Zeitfenster fest.<br><br>Wähle dazu mithilfe der Datumsauswahl die Minuten, Stunden, Tage im Monat, Monate, oder Wochentage aus.</td></tr></tbody></table>
{% endtab %}
{% endtabs %}

### Schwellwerte

Hier kannst du für eine spezifische Workflow-Bedingung oder für eine Sequenz aus Workflow-Bedingungen Schwellwerte definieren.&#x20;

#### Schwellwerte für eine spezifische Workflow-Bedingung definieren

Nach der Auswahl eines Streams als Workflow-Bedingung wird dir der Name des Streams als (erste) Workflow-Bedingung angezeigt. Du kannst nun definieren, wann die Bedingung als erfüllt oder nicht erfüllt gilt.&#x20;

{% hint style="info" %}
Standardmäßig gilt folgende Einstellung: "Diese Bedingung **ist** erfüllt, wenn das Ereignis mindestens **1** mal auftritt."
{% endhint %}

<div align="left"><figure><img src="/files/elpNiuAfrY020NOxF5nJ" alt=""><figcaption></figcaption></figure></div>

Folgende Optionen stehen dir zur Verfügung:

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Diese Bedingung "<strong>x</strong>" erfüllt,...</td><td><p>Lege fest, ob eine Bedingung als erfüllt bzw. nicht erfüllt gilt.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in folgendes Feld:<br><br><img src="/files/enCBnNcgSdSRlfrAFERw" alt=""></p><p></p><p>Wähle eine der folgenden Optionen aus:</p><ul><li><strong>ist</strong>: Die Bedingung gilt als erfüllt.</li><li><strong>ist nicht</strong>: Die Bedingung gilt nicht als erfüllt.</li></ul></td></tr><tr><td>...wenn das Ereignis mindestens "<strong>x</strong>" mal...</td><td><p>Lege fest, wie oft die Bedingung stattfinden muss, um als erfüllt bzw. nicht erfüllt zu gelten.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in folgendes Feld:</p><p></p><p><img src="/files/J5jYbX7g9OEoNSpzP36f" alt="" data-size="original"></p><p></p><p>Nutze die Buttons <i class="fa-angle-up">:angle-up:</i> und <i class="fa-angle-down">:angle-down:</i>, um die Anzahl höher oder niedriger einzustellen, oder gib manuell eine Zahl ein und bestätige deine Eingabe mit der <strong>Enter</strong>-Taste.</p></td></tr><tr><td>...innerhalb von "<strong>x</strong>" y auftritt.</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn du im Feld <strong>...wenn das Ereignis mindestens</strong> "<strong>x</strong>" <strong>mal...</strong> den Wert <strong>2</strong> oder mehr einträgst. </p><p></p><p>Lege den Wert für den Zeitraum fest, in dem die Bedingung auftreten muss, um als erfüllt bzw. nicht erfüllt zu gelten.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in folgendes Feld:</p><p></p><p><img src="/files/V48puOa0TntlbzBe8SJr" alt="" data-size="original"></p><p></p><p>Nutze die Buttons <i class="fa-angle-up">:angle-up:</i> und <i class="fa-angle-down">:angle-down:</i>, um die Anzahl höher oder niedriger einzustellen, oder gib manuell eine Zahl ein und bestätige deine Eingabe mit der <strong>Enter</strong>-Taste.</p></td></tr><tr><td>...innerhalb von x "<strong>y</strong>" auftritt.</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn du im Feld <strong>...wenn das Ereignis mindestens</strong> "<strong>x</strong>" <strong>mal...</strong> den Wert <strong>2</strong> oder mehr einträgst.</p><p></p><p>Lege die Einheit für den Zeitraum fest, in dem die Bedingung auftreten muss, um als erfüllt bzw. nicht erfüllt zu gelten. </p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in folgendes Feld:</p><p></p><p><img src="/files/NH592nxjjHnmZ4higKVy" alt="" data-size="original"></p><p></p><p>Wähle eine der folgenden Optionen aus:</p><ul><li><strong>Minuten</strong>: Der zuvor angegebene Wert definiert die Zeitspanne in Minuten.</li><li><strong>Stunden</strong>: Der zuvor angegebene Wert definiert die Zeitspanne in Stunden.</li></ul></td></tr></tbody></table>

#### Schwellwert für eine Folge-Workflow-Bedingung definieren

<i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn du mindestens 2 oder mehr Streams als [Workflow-Bedingungen hinzugefügt](#workflowbedingung-hinzufugen) hast.

Nachdem du einen zweiten Stream als weitere Workflow-Bedingung ausgewählt hast, wird dir ein weiterer Satz angezeigt, in dem du einen Schwellwert für die Folge-Workflow-Bedingung definieren kannst.&#x20;

{% hint style="info" %}
Standardmäßig gilt folgende Einstellung: "Die nächste Bedingung **x** soll innerhalb von **10 Minuten** folgen."
{% endhint %}

<figure><img src="/files/4T2r6WbWSKsa1oXrlSlB" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen dir zur Verfügung:

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Die nächste Bedingung "<strong>x</strong>"...</td><td>Zeigt den Namen des Streams, der als nächste Workflow-Bedingung festgelegt wurde.</td></tr><tr><td>...soll innerhalb von "<strong>x</strong>" y folgen.</td><td><p>Lege den Wert für den Zeitraum fest, nach dem die nächste Workflow-Bedingung eintreten soll.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in folgendes Feld:</p><p></p><p><img src="/files/OVaB5TYFa92Oo1gJjvad" alt="" data-size="original"></p><p></p><p>Nutze die Buttons <i class="fa-angle-up">:angle-up:</i> und <i class="fa-angle-down">:angle-down:</i>, um die Anzahl höher oder niedriger einzustellen, oder gib manuell eine Zahl ein und bestätige deine Eingabe mit der <strong>Enter</strong>-Taste.</p></td></tr><tr><td>...soll innerhalb von x "<strong>y</strong>" folgen.</td><td><p>Lege die Einheit für den Zeitraum fest, nach dem die nächste Workflow-Bedingung eintreten soll.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in folgendes Feld:</p><p></p><p><img src="/files/h0LFh9qpmenLjsfcLznp" alt="" data-size="original"></p><p></p><p>Wähle eine der folgenden Optionen aus:</p><ul><li><strong>Minuten</strong>: Der zuvor angegebene Wert definiert die Zeitspanne in Minuten.</li><li><strong>Stunden</strong>: Der zuvor angegebene Wert definiert die Zeitspanne in Stunden.</li></ul></td></tr></tbody></table>

### Aktionen für Workflowbedingungen

<table><thead><tr><th width="199.8125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Bearbeiten</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Bearbeiten</strong>-Symbol <i class="fa-pencil">:pencil:</i> neben einer Workflow-Bedingung, um den ausgewählten <a href="#stream-auswahlen">Stream zu ändern</a>.</td></tr><tr><td>Löschen</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Löschen</strong>-Symbol <i class="fa-trash">:trash:</i> neben einer Workflow-Bedingung, um diese mit allen Unterbedingungen und Schwellwert-Definitionen aus dem Workflow zu entfernen.</td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/workflows/workflow-hinzufugen.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.