Threat Intelligence

Threat Intelligence Feeds: Integration in SIEM, Firewall und EDR

Threat Intelligence Feeds liefern aktuelle Informationen über bösartige IPs, Domains, Datei-Hashes und Angriffsmuster. Dieser Guide erklärt: STIX/TAXII-Standard für TI-Austausch, kostenlose Feeds (Abuse.ch, AlienVault OTX, MISP), kommerzielle Anbieter (Recorded Future, CrowdStrike Falcon Intelligence), Integration in SIEM (Splunk, Microsoft Sentinel), Firewall-Automation und EDR-Enrichment. Inklusive Feed-Qualitätsbewertung und False-Positive-Management.

Jan Hörnemann Chief Operating Officer · Prokurist

| 4. März 2026 | 10 Min. Lesezeit

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Threat Intelligence Feeds ermöglichen proaktive IT-Sicherheit, indem sie aktuelle Informationen über bösartige IPs, Domains und Malware-Hashes liefern, um bekannte Bedrohungsindikatoren frühzeitig zu blockieren. Der Artikel beleuchtet die Integration dieser Feeds in bestehende Sicherheitssysteme wie SIEM, Firewall und EDR. Er erklärt den STIX/TAXII-Standard für den automatisierten Austausch und stellt sowohl kostenlose Quellen wie Abuse.ch (z.B. MalwareBazaar, URLhaus) und AlienVault OTX als auch kommerzielle Anbieter wie Recorded Future und CrowdStrike Falcon Intelligence vor. Entscheidend für den effektiven Einsatz ist die sorgfältige Bewertung der Feed-Qualität hinsichtlich Aktualität, False-Positive-Rate und Abdeckung, um Fehlalarme zu minimieren und den Schutz zu maximieren.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (6 Abschnitte)

Threat Intelligence Feeds sind strukturierte Datenquellen die Informationen über bekannte Bedrohungen liefern: bösartige IP-Adressen, kompromittierte Domains, Malware-Hashes und Angriffsmuster (TTPs). Diese Daten ermöglichen proaktive Erkennung - statt auf Angriffe zu reagieren, werden bekannte Bedrohungs-Indikatoren aktiv geblockt. Der Schlüssel liegt in der richtigen Integration und Qualitätsbewertung der Feeds.

Threat Intelligence Grundkonzepte

TI-Typen und Verwendungszweck

Tactical TI (Indicators of Compromise - IoCs):

IPs, Domains, URLs, Datei-Hashes (MD5, SHA256), E-Mail-Adressen
Sofort verwendbar für Blockierung und Detection
Kurzlebig: ändert sich täglich/stündlich
Einsatz: SIEM, Firewall, Proxy, EDR

Operational TI:

Angriffsmuster bestimmter Gruppen (TTPs)
Kampagnen-Informationen: wer greift an, wie, wen
Mittelfristig: Wochen bis Monate
Einsatz: SOC-Priorisierung, Incident Response

Strategic TI:

Bedrohungslandschaft: geopolitische Risiken, Branchen-Trends
Langfristig: Monate bis Jahre
Einsatz: CISO-Entscheidungen, Risikobewertung, Board-Reporting

IoC-Typen im Detail

IoC-Typ	Beschreibung
IP-Adressen	Known-bad C2-Server, Scanner, Botnets
Domains	Phishing-Domains, C2-Domains, Malware-Downloads
URLs	Spezifische Malware-Download-URLs, Exploit-Pages
Hashes	SHA256 von Malware-Samples
Email	Bekannte Spam-/Phishing-Absender
Zertifikate	C2-TLS-Zertifikate (via JA3-Fingerprint)

STIX und TAXII

STIX (Structured Threat Information Expression):

Standard-Format für TI-Austausch (JSON-basiert)
STIX 2.1 (aktuell): SDOs (Domain Objects) + SROs (Relationships)
Objekte: Indicator, Malware, Campaign, Threat-Actor, Tool, etc.

TAXII (Trusted Automated Exchange of Intelligence):

Transport-Protokoll für STIX-Objekte
Client (SIEM/Firewall) abonniert TAXII-Server → regelmäßige Updates

Kostenlose Threat Intelligence Feeds

Abuse.ch - wichtigste kostenlose Quelle

MalwareBazaar: Malware-Sample-Datenbank

# Hash-Abfrage: "Ist diese Datei bekannte Malware?"
curl -X POST "https://mb-api.abuse.ch/api/v1/" \
  -d "query=get_info&hash=SHA256_HASH"

URLhaus: Malware-Distribution-URLs

Feed (CSV/JSON): https://urlhaus-api.abuse.ch/v1/urls/recent/
Täglich aktualisiert

ThreatFox: IoCs für bekannte Malware-Familien

C2-IPs, Domains für Emotet, Cobalt Strike, etc.
API: https://threatfox-api.abuse.ch/api/v1/

AlienVault OTX (Open Threat Exchange)

Größte Open-Source-TI-Community
Pulses: kuratierte TI-Pakete
API: https://otx.alienvault.com/api/v1/indicators/
Kostenlos mit Account

# Python OTX-SDK:
from OTXv2 import OTXv2, IndicatorTypes
otx = OTXv2("API_KEY")
# Indicator abfragen:
details = otx.get_indicator_details_full(
    IndicatorTypes.DOMAIN, "suspicious-domain.com"
)

Self-hosted TI-Plattform
Community-Feeds (CIRCL, CERT.eu, etc.)
TAXII-kompatibel
Ideal für: eigene TI-Sammlung + Community-Austausch

Weitere kostenlose Feeds

Feed	Inhalt
Feodo Tracker	Emotet/IcedID/Qakbot C2-IPs
Emerging Threats	Snort/Suricata Rules (ET-Open)
Spamhaus	Spam-IPs, Botnet-C&C
PhishTank	Phishing-URLs
Cisco Talos	IP/Domain Reputation
VirusTotal	Hash-Lookups (4 pro Minute kostenlos)

Kommerzielle Threat Intelligence

Kommerzielle TI-Anbieter im Überblick

Recorded Future:

Automatisiertes Intelligence aus 1 Million+ Quellen
Echtzeit-Risiko-Score für IPs/Domains/Hashes
Integration: API, SIEM-Plugins, Browser-Extension
Stärke: Vorhersage-Intelligenz (“was wird bald angegriffen?”)
Preis: ab ~50.000$/Jahr (Enterprise)

CrowdStrike Falcon Intelligence:

Direkt in CrowdStrike EDR integriert
Actor-basiert: Attribution zu APT-Gruppen (BEAR, PANDA, etc.)
Malware-Analyse-Service
Preis: Add-on zu Falcon-Plattform

Mandiant Advantage (Google):

Ursprung Mandiant: viele IR-Engagements → einzigartige TI
Threat Actor Profiles: detaillierte APT-Beschreibungen
Breach Intelligence: eigene Daten kompromittiert?

Palo Alto Unit 42:

AutoFocus: Malware-Analyse + TI-Integration
In NGFW und Cortex XDR integriert
Besonders stark bei APT-Tracking

Feed-Qualitätsbewertung

Kriterium	Frage
Aktualität	Wie schnell neue IoCs? (Stunden vs. Tage)
False-Positive-Rate	Wie viele legitime IPs werden geblockt?
Abdeckung	Welche Bedrohungstypen? welche Regionen?
Enrichment	Nur IoC oder auch Kontext (Malware-Familie, Kampagne)?
STIX-Kompatibilität	Einfach integrierbar?
Preis/Leistung	ROI für die Unternehmensgröße?

SIEM-Integration

Microsoft Sentinel

// Threat Intelligence Connector aktivieren:
// Sentinel → Data Connectors → Threat Intelligence TAXII

// STIX-Objekte aus MISP/OTX importieren:
// Connector: Threat Intelligence TAXII
// Collection API Root: https://misp.internal/taxii/
// Collection ID: <UUID>

// KQL-Query: bekannte C2-IPs in Netzwerk-Logs:
ThreatIntelligenceIndicator
| where ThreatType == "botnet"
| join kind=inner (
    NetworkCommunicationEvents
    | where RemotePort == 80 or RemotePort == 443
) on $left.NetworkDestinationIP == $right.RemoteIP
| project TimeGenerated, Computer, RemoteIP, ThreatType, ConfidenceScore

Splunk + Threat Intelligence Framework

// Enterprise Security: Threat Intelligence Framework
// → Threat Intelligence Manager: Feed-Verwaltung
// → TI Lookup: IoC gegen Events abgleichen

// SPL-Query:
index=firewall src_ip IN [tstats count FROM datamodel=Threat_Intelligence]
| stats count by src_ip, dest_ip, action
| where action="blocked"
| lookup threat_intel_lookup ip AS src_ip OUTPUT threat_category confidence

# Automated Threat Intel Update (Python + Splunk API):
import splunklib.client as client
service = client.connect(host="splunk.internal", port=8089, token="TOKEN")
kvstore = service.kvstore["threat_intel_ips"]
# Feed-Daten einfügen:
for ip in feed_data['ips']:
    kvstore.data.insert({'ip': ip['ip'], 'score': ip['score']})

Elastic/OpenSearch

# Threat Intel Integration via Filebeat:
# filebeat.yml:
inputs:
  - type: threatintel
    provider: abusedb
    api_key: API_KEY
    interval: 1h

-- Abfrage in Kibana (ESQL):
FROM logs-network.traffic
| LOOKUP threat_intel_ips ON source.ip
| WHERE threat_score > 80
| STATS count BY source.ip, threat_category

Firewall-Automation

Palo Alto Networks + MineMeld

# MineMeld: Open-Source-TI-Aggregator
# Aggregiert Feeds → exportiert als EDL (External Dynamic List)

# Palo Alto NGFW: EDL-Objekt:
set address "TI-Bad-IPs" type dynamic
  set dynamic url "https://minemeld.internal/api/v1/taxa/EDL-IPs"

# Sicherheitsregel: TI-IPs blocken:
set rulebase security rules "Block-TI-IPs" from any to any
  source address "TI-Bad-IPs"
  action deny
  log-action log-forward

Fortinet FortiGate + FortiGuard

# Eigene Threat-Feed-Liste:
config firewall address
  edit "custom-ti-blocklist"
    set type external-resource
    set interface "wan1"
    set external-resource-type domain-list
    set external-resource-url "https://ti-server.internal/blocklist.txt"
    set refresh-rate 1440  # täglich
  next
end

pfSense + pfBlockerNG (KMU-Lösung)

Update alle 6 Stunden
Feeds: Emerging Threats, Abuse.ch, Spamhaus
DNS-Blocking: Domains auf DNS-Ebene blocken (keine IP-Umgehung)

False Positive Management

Typische FP-Szenarien

CDN-IPs (Cloudflare, AWS) als “bad” markiert → alle Cloudflare-Sites blockiert!
Shared Hosting: böse Domain auf gleicher IP wie legitime Sites
Dynamische IPs: heute böse, morgen vergeben an legitimen ISP-Kunden
VPN-Exit-Nodes: markiert aber genutzt von echten Mitarbeitern

False-Positive-Prüfung vor Integration

# Neue IoC-Liste gegen bekannte legitime Ressourcen prüfen:
known_good = ['8.8.8.8', '1.1.1.1', '4.2.2.1',
              'google.com', 'microsoft.com', 'example.com']
new_feed = load_feed('feed.txt')

false_positives = [ip for ip in new_feed if ip in known_good]
if false_positives:
    print(f"FP detected: {false_positives}")

Konfidenz-Scores nutzen

Konfidenz	Aktion
> 90	automatisch blocken
50-90	alert, manuell prüfen
< 50	nur logging

Whitelist pflegen

# Immer vor TI-Blockierung prüfen:
WHITELIST = [
  '8.8.8.8', '8.8.4.4',          # Google DNS
  '1.1.1.1', '1.0.0.1',          # Cloudflare DNS
  '185.152.65.0/24',              # Eigene CDN-Range
  '*.google.com', '*.microsoft.com'  # Wichtige Business-Services
]

TI-ROI messen

Blockierte bekannte-bösartige Verbindungen/Tag
Alert-Enrichment: wie viele Alerts wurden durch TI angereichert?
FP-Rate: % der TI-basierten Alerts die sich als FP herausstellten
MTTD-Reduzierung: wie viel schneller erkannt dank TI?

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

Zertifiziert ISO 27001ISO 9001AZAVBSI