Bei einer Cyber-Untersuchung (Threat Hunting) wird der SOC-Analyst systematisch mit unbekannten IP-Adressen konfrontiert. Eine Maschine in der Buchhaltung kommuniziert mit einem Remote-Server über Port 4444. Handelt es sich um einen legitimen neuen Cloud-Dienst, der vom IT-Team bereitgestellt wird, oder um einen „Command & Control“ (C2)-Server, der von russischen Cyberkriminellen kontrolliert wird?
Um eine Entscheidung zu treffen, verlassen sich Sicherheitsteams auf Threat Intelligence und insbesondere auf Plattformen wieAlienVault OTX(Offener Bedrohungsaustausch). Es reicht jedoch nicht aus, Rohdaten zu haben. Entdecken Sie, wie die algorithmische Integration von Akuity SOC diese komplexen Daten in eine klare und unmittelbare Entscheidungsbewertung umwandelt.
Was ist AlienVault OTX?
AlienVault OTX ist eines der weltweit größten Netzwerke zum Austausch von Bedrohungsinformationen. Es funktioniert nach einem Community-Prinzip: Tausende von Cybersicherheitsforschern, SOCs und automatisierten Algorithmen teilen „Pulses“.
Ein „Pulse“ ist eine Gruppierung von Indicators of Compromise (IOCs), die mit einer bestimmten Bedrohung verknüpft sind, beispielsweise einer Ransomware-Kampagne oder einer APT-Hackergruppe (Advanced Persistent Threat). Wenn in Brasilien beobachtet wurde, dass eine IP-Adresse Malware verbreitet, veröffentlicht ein Forscher einen Pulse. Von da an weiß die ganze Welt, dass diese IP kompromittiert ist.
Das Rohdatenproblem (Alarmstufe Rot-Syndrom)
Wenn AlienVault eine Goldmine ist, birgt seine „rohe“ Verwendung das Risiko falsch positiver Ergebnisse. Eine IP-Adresse, die zu einem riesigen Cloud-Dienst wie Amazon Web Services (AWS) oder Microsoft Azure gehört, kann durchaus mit bösartigen Pulses in Verbindung gebracht werden, da Hacker auch Server auf diesen Plattformen mieten.
Das Blockieren einer vollständigen Azure-IP-Adresse, weil sie vor sechs Monaten einmal gemeldet wurde, birgt die Gefahr, dass legitime Dienste in Ihrem eigenen Unternehmen lahmgelegt werden. Der SOC-Analyst muss also die Dinge klären, die Informationen abwägen, die ASN (Autonomous System Number) und das Domain-Registrierungsdatum analysieren. Eine intellektuell schwere Aufgabe inmitten des Krisenmanagements.
Akuitys Radialmaß: Algorithmisches OSINT
Um den Analysten zu entlasten, enthält die Akuity SOC-Plattform eine proprietäre Reputationsberechnungs-Engine, die die AlienVault OTX API (sowie andere Datenbanken) abfragt und Bewertungsmodifikatoren anwendet, um a anzuzeigenRadiale Risikoanzeige im Bereich von 0 bis 100.
So wird der Score berechnet und angepasst:
1. Analyse dunkler Infrastrukturen
Der Algorithmus überprüft das Erstellungsdatum und die Reputation der mit der IP verknüpften Domain. Erkennt das System Anomalien, erhöht es den Risikoscore drastisch. In den von der Gemini-KI generierten „Analystennotizen“ (angezeigt in einer blauen glasmorphischen Karte unter dem Messgerät) lesen Sie beispielsweise:
„Infrastrukturanalyse deckt Risiken auf: Aktuelle Registrierung (weniger als 100 Tage) oder keine Popularität (nicht in der Top 1M der Welt vertreten).“
2. Erkennung von Malware und kritischen Signaturen
Der Wert springt in Richtung kritisches Rot (90-100/100), wenn die IP aktiv mit der Verbreitung von Schadcode in Verbindung steht. In der AI-Notiz wird Folgendes angegeben:
„Vorhandensein von X Beispiel(en) aktiver Malware(s), die mit dieser Infrastruktur kommuniziert“oder auch„Vorhandensein äußerst gefährlicher kritischer Signaturen im Zusammenhang mit C2-Servern, Trojanern oder APT-Kampagnen.“
3. Malus-Anpassung (Verhinderung falsch positiver Ergebnisse)
Hier beweist der Algorithmus seinen Wert. Wenn die IP-Adresse viel Lärm erzeugt (massive Port-Scans im Internet), aber keine Malware verbreitet und zu einem bekannten Suchanbieter (wie Shodan oder Censys) gehört, wendet das System einen Dämpfer an.
In der Notiz wird Folgendes angegeben:„Kontextanpassung angewendet: Strafe von -15 Punkten, da die erkannte Hauptaktivität ein Scan oder ein Honeypot ohne kritische Malware ist.“Der Score bleibt gelb (mittlere Alarmstufe), löst aber nicht die Panik eines roten Scores aus.
Fazit: Treffen Sie fundierte Entscheidungen
Threat Intelligence ist nur dann wertvoll, wenn sie umsetzbar ist. Indem Sie Tausende roher und manchmal widersprüchlicher Community-Signale in einen geglätteten, KI-kontextualisierten, leicht lesbaren Reputations-Score umwandeln, geben Sie Ihren L1-Analysten das Vertrauen, den harten Block-Knopf zu drücken.
Bewerten Sie Ihre Kompromissindikatoren, ohne Ihre Benutzeroberfläche zu verlassen.> Entdecken Sie, wie das Modul funktioniertBewertung der IP-Reputation (AlienVault)Akuity SOC optimiert Ihre Netzwerkuntersuchungen.