Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Threat Intelligence Feeds: Integration in SIEM, Firewall und EDR - Firewall-Schutz und Netzwerkfilterung
Threat Intelligence

Threat Intelligence Feeds: Integration in SIEM, Firewall und EDR

Threat Intelligence Feeds liefern aktuelle Informationen über bösartige IPs, Domains, Datei-Hashes und Angriffsmuster. Dieser Guide erklärt: STIX/TAXII-Standard für TI-Austausch, kostenlose Feeds (Abuse.ch, AlienVault OTX, MISP), kommerzielle Anbieter (Recorded Future, CrowdStrike Falcon Intelligence), Integration in SIEM (Splunk, Microsoft Sentinel), Firewall-Automation und EDR-Enrichment. Inklusive Feed-Qualitätsbewertung und False-Positive-Management.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
10 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Threat Intelligence Feeds ermöglichen proaktive IT-Sicherheit, indem sie aktuelle Informationen über bösartige IPs, Domains und Malware-Hashes liefern, um bekannte Bedrohungsindikatoren frühzeitig zu blockieren. Der Artikel beleuchtet die Integration dieser Feeds in bestehende Sicherheitssysteme wie SIEM, Firewall und EDR. Er erklärt den STIX/TAXII-Standard für den automatisierten Austausch und stellt sowohl kostenlose Quellen wie Abuse.ch (z.B. MalwareBazaar, URLhaus) und AlienVault OTX als auch kommerzielle Anbieter wie Recorded Future und CrowdStrike Falcon Intelligence vor. Entscheidend für den effektiven Einsatz ist die sorgfältige Bewertung der Feed-Qualität hinsichtlich Aktualität, False-Positive-Rate und Abdeckung, um Fehlalarme zu minimieren und den Schutz zu maximieren.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (6 Abschnitte)

Threat Intelligence Feeds sind strukturierte Datenquellen die Informationen über bekannte Bedrohungen liefern: bösartige IP-Adressen, kompromittierte Domains, Malware-Hashes und Angriffsmuster (TTPs). Diese Daten ermöglichen proaktive Erkennung - statt auf Angriffe zu reagieren, werden bekannte Bedrohungs-Indikatoren aktiv geblockt. Der Schlüssel liegt in der richtigen Integration und Qualitätsbewertung der Feeds.

Threat Intelligence Grundkonzepte

TI-Typen und Verwendungszweck

Tactical TI (Indicators of Compromise - IoCs):

  • IPs, Domains, URLs, Datei-Hashes (MD5, SHA256), E-Mail-Adressen
  • Sofort verwendbar für Blockierung und Detection
  • Kurzlebig: ändert sich täglich/stündlich
  • Einsatz: SIEM, Firewall, Proxy, EDR

Operational TI:

  • Angriffsmuster bestimmter Gruppen (TTPs)
  • Kampagnen-Informationen: wer greift an, wie, wen
  • Mittelfristig: Wochen bis Monate
  • Einsatz: SOC-Priorisierung, Incident Response

Strategic TI:

  • Bedrohungslandschaft: geopolitische Risiken, Branchen-Trends
  • Langfristig: Monate bis Jahre
  • Einsatz: CISO-Entscheidungen, Risikobewertung, Board-Reporting

IoC-Typen im Detail

IoC-TypBeschreibung
IP-AdressenKnown-bad C2-Server, Scanner, Botnets
DomainsPhishing-Domains, C2-Domains, Malware-Downloads
URLsSpezifische Malware-Download-URLs, Exploit-Pages
HashesSHA256 von Malware-Samples
EmailBekannte Spam-/Phishing-Absender
ZertifikateC2-TLS-Zertifikate (via JA3-Fingerprint)

STIX und TAXII

STIX (Structured Threat Information Expression) ist das Standard-Format für TI-Austausch (JSON-basiert). STIX 2.1 definiert SDOs (Domain Objects) und SROs (Relationships) für Objekte wie Indicator, Malware, Campaign, Threat-Actor und Tool.

TAXII (Trusted Automated Exchange of Intelligence) ist das Transport-Protokoll für STIX-Objekte: Ein Client (SIEM oder Firewall) abonniert einen TAXII-Server und erhält regelmäßige Updates.

Kostenlose Threat Intelligence Feeds

Abuse.ch - wichtigste kostenlose Quelle

MalwareBazaar ist eine Malware-Sample-Datenbank mit API für Hash-Lookups (https://mb-api.abuse.ch/api/v1/). Ein einfacher POST-Request mit dem SHA256-Hash gibt zurück, ob eine Datei als bekannte Malware klassifiziert ist.

URLhaus liefert täglich aktualisierte Malware-Distribution-URLs als CSV oder JSON-Feed (https://urlhaus-api.abuse.ch/v1/urls/recent/).

ThreatFox stellt IoCs für bekannte Malware-Familien bereit - C2-IPs und Domains für Emotet, Cobalt Strike u.a. (https://threatfox-api.abuse.ch/api/v1/).

AlienVault OTX (Open Threat Exchange)

OTX ist die größte Open-Source-TI-Community mit kuratierten "Pulses" (TI-Paketen). Die Python-SDK ermöglicht direkte Indicator-Abfragen:

from OTXv2 import OTXv2, IndicatorTypes
otx = OTXv2("API_KEY")
details = otx.get_indicator_details_full(
    IndicatorTypes.DOMAIN, "suspicious-domain.com"
)

Kostenlos mit Account über https://otx.alienvault.com/api/v1/indicators/.

MISP (Malware Information Sharing Platform)

MISP ist eine self-hosted TI-Plattform mit Community-Feeds (CIRCL, CERT.eu u.a.), TAXII-Kompatibilität und eigener TI-Sammlung plus Community-Austausch. Ideal für Unternehmen die eigene Erkenntnisse teilen und strukturiert aggregieren wollen.

Weitere kostenlose Feeds

FeedInhalt
Feodo TrackerEmotet/IcedID/Qakbot C2-IPs
Emerging ThreatsSnort/Suricata Rules (ET-Open)
SpamhausSpam-IPs, Botnet-C&C
PhishTankPhishing-URLs
Cisco TalosIP/Domain Reputation
VirusTotalHash-Lookups (4 pro Minute kostenlos)

Kommerzielle Threat Intelligence

Kommerzielle TI-Anbieter im Überblick

Recorded Future:

  • Automatisiertes Intelligence aus 1 Million+ Quellen
  • Echtzeit-Risiko-Score für IPs/Domains/Hashes
  • Integration: API, SIEM-Plugins, Browser-Extension
  • Stärke: Vorhersage-Intelligenz ("was wird bald angegriffen?")
  • Preis: ab ~50.000$/Jahr (Enterprise)

CrowdStrike Falcon Intelligence:

  • Direkt in CrowdStrike EDR integriert
  • Actor-basiert: Attribution zu APT-Gruppen (BEAR, PANDA, etc.)
  • Malware-Analyse-Service
  • Preis: Add-on zu Falcon-Plattform

Mandiant Advantage (Google):

  • Ursprung Mandiant: viele IR-Engagements → einzigartige TI
  • Threat Actor Profiles: detaillierte APT-Beschreibungen
  • Breach Intelligence: eigene Daten kompromittiert?

Palo Alto Unit 42:

  • AutoFocus: Malware-Analyse + TI-Integration
  • In NGFW und Cortex XDR integriert
  • Besonders stark bei APT-Tracking

Feed-Qualitätsbewertung

KriteriumFrage
AktualitätWie schnell neue IoCs? (Stunden vs. Tage)
False-Positive-RateWie viele legitime IPs werden geblockt?
AbdeckungWelche Bedrohungstypen? welche Regionen?
EnrichmentNur IoC oder auch Kontext (Malware-Familie, Kampagne)?
STIX-KompatibilitätEinfach integrierbar?
Preis/LeistungROI für die Unternehmensgröße?

SIEM-Integration

Microsoft Sentinel

In Sentinel werden TI-Feeds über den Data Connector "Threat Intelligence TAXII" eingebunden. Nach der Konfiguration mit API-Root-URL und Collection-ID landen STIX-Objekte aus MISP, OTX oder kommerziellen Quellen in der ThreatIntelligenceIndicator-Tabelle. Eine KQL-Query zur Erkennung bekannter C2-IPs im Netzwerkverkehr:

ThreatIntelligenceIndicator
| where ThreatType == "botnet"
| join kind=inner (
    NetworkCommunicationEvents
    | where RemotePort == 80 or RemotePort == 443
) on $left.NetworkDestinationIP == $right.RemoteIP
| project TimeGenerated, Computer, RemoteIP, ThreatType, ConfidenceScore

Splunk + Threat Intelligence Framework

Splunk Enterprise Security enthält einen TI Manager für Feed-Verwaltung und automatische IoC-Abgleiche. Feeds lassen sich über die Splunk-API auch programmatisch aktualisieren: Das Python-SDK erlaubt direktes Schreiben in KV-Store-Collections, sodass externe Feed-Daten minütlich eingespeist werden können.

Elastic/OpenSearch

Für Elastic-Umgebungen liefert das Filebeat-Threatintel-Input-Plugin fertige Integrationen für Abuse.ch, MISP und weitere Quellen. Ein stündlicher Poll-Intervall ist für die meisten KMU ausreichend. Die integrierten Kibana-Dashboards für Threat Intelligence visualisieren Treffer direkt gegen eingehende Netzwerk-Logs.

Firewall-Automation

Dynamische Blocklisten

Palo Alto NGFW unterstützt External Dynamic Lists (EDL): Eine URL-Liste mit bösartigen IPs wird in regelmäßigen Abständen abgerufen und automatisch in Sicherheitsregeln angewendet. MineMeld ist ein Open-Source-Aggregator der mehrere Feeds zusammenführt und als einzelne EDL-URL exportiert.

Fortinet FortiGate bietet über den Typ external-resource mit external-resource-type domain-list eine vergleichbare Funktion: Eine täglich aktualisierte Textdatei von einem internen TI-Server wird automatisch als Blockliste geladen.

pfSense + pfBlockerNG (KMU-Lösung)

pfBlockerNG ist die pragmatische Lösung für KMU mit pfSense: Updates alle 6 Stunden, fertige Integration für Emerging Threats, Abuse.ch und Spamhaus. Besonders wertvoll ist das DNS-Blocking, das bösartige Domains auf DNS-Ebene blockiert - eine Umgehung durch IP-Direktverbindung ist damit ausgeschlossen.

False Positive Management

Typische FP-Szenarien

  • CDN-IPs (Cloudflare, AWS) als "bad" markiert → alle Cloudflare-Sites blockiert!
  • Shared Hosting: böse Domain auf gleicher IP wie legitime Sites
  • Dynamische IPs: heute böse, morgen vergeben an legitimen ISP-Kunden
  • VPN-Exit-Nodes: markiert aber genutzt von echten Mitarbeitern

False-Positive-Prüfung vor Integration

Neue Feeds sollten vor dem Produktiveinsatz gegen eine Liste bekannter legitimer Ressourcen geprüft werden. Stimmen IoCs aus dem neuen Feed mit Google DNS (8.8.8.8), Cloudflare DNS (1.1.1.1) oder eigenen CDN-Ranges überein, ist der Feed zu aggressiv oder enthält veraltete Einträge.

Konfidenz-Scores nutzen

KonfidenzAktion
> 90automatisch blocken
50-90alert, manuell prüfen
< 50nur logging

Eine Whitelist für bekannte kritische Dienste (Google DNS, Cloudflare DNS, eigene CDN-Ranges, wichtige Business-Services) muss vor jeder TI-basierten Blockierung geprüft werden.

TI-ROI messen

  • Blockierte bekannte-bösartige Verbindungen/Tag
  • Alert-Enrichment: wie viele Alerts wurden durch TI angereichert?
  • FP-Rate: % der TI-basierten Alerts die sich als FP herausstellten
  • MTTD-Reduzierung: wie viel schneller erkannt dank TI?

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

E-Mail
PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

11 Publikationen
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV