Vyrex Security Team

Threat Intelligence: Indicators of Compromise sinnvoll nutzen

Wie KMU Indicators of Compromise nutzen: IOC-Feeds bewerten, Wazuh CTI integrieren und Triage-Prozesse aufbauen – ohne dediziertes SOC-Team.

Threat Intelligence KMUIOC FeedsWazuh CTIIndicators of CompromiseNIS-2 Bedrohungsintelligenz

Threat Intelligence: Indicators of Compromise sinnvoll nutzen\n\n> Key Takeaways\n> - IOCs sind maschinenlesbare Hinweise auf Kompromittierungen — isoliert betrachtet aber oft wertlos.\n> - Qualität vor Quantität: Ein Feed mit 500 validierten IOCs schlägt 500.000 ungefilterte Einträge.\n> - Wazuh lässt sich nativ an MISP und Flat-File-Quellen anbinden — ohne Enterprise-Lizenz.\n> - NIS-2 verlangt Threat-Intelligence-Prozesse; IOC-Management zählt zur technischen Schutzmaßnahme.\n> - Effektiver Einsatz erfordert Kontext, Triage und einen klaren Response-Prozess.\n\n## Was sind Indicators of Compromise?\n\nIndicators of Compromise (IOCs) sind digitale Artefakte, die auf eine stattgefundene oder laufende Kompromittierung eines Systems hinweisen. Der Begriff stammt aus der forensischen Analyse: Sicherheitsanalysten entdecken nach einem Vorfall Spuren — eine unbekannte IP-Adresse in den Firewall-Logs, ein auffälliger Registry-Key, die SHA-256-Prüfsumme einer bekannten Malware-Datei. Diese Artefakte werden dokumentiert, geteilt und können anschließend in anderen Umgebungen proaktiv gesucht werden.\n\nDas klingt einfacher als es ist. Ein IOC ist immer eine Momentaufnahme: Die IP-Adresse eines Command-and-Control-Servers kann innerhalb von Stunden wechseln. Ein MD5-Hash ist seit Jahren als kryptographisch unsicher bekannt — SHA-256 ist Mindeststandard. Eine Domain, die heute Malware ausliefert, gehört morgen einem legitimen Unternehmen, das sie nach Ablauf übernommen hat.\n\n### IOC-Typen im Überblick\n\n| Typ | Beispiel | Typische Bedrohung |\n|-----|----------|--------------------|\n| IPv4/IPv6-Adresse | 185.220.101.47 | C2-Server, Tor-Exit-Node |\n| Domain / FQDN | update-microsoft-kb[.]com | Phishing, DGA-Domain |\n| URL | hxxps://evil[.]tld/payload.exe | Payload-Download |\n| Datei-Hash (SHA-256) | 3b4c5d... | Malware-Sample |\n| E-Mail-Absender | billing@invoice-secure[.]ru | BEC, Phishing |\n| Registry-Key | HKCU\Software\Classes\ms-settings\shell\open\command | UAC-Bypass |\n| Mutex | Global\\MsWinZonesCacheCounterMutex0 | Emotet, Qakbot |\n| YARA-Regel | Zeichenkettenbasiertes Muster | Malware-Familie |\n\nDie Tabelle zeigt bereits das Problem: Die Typen sind heterogen, veralten unterschiedlich schnell und erfordern verschiedene Matching-Mechanismen. Wer alle IOCs gleich behandelt und undifferenziert in sein SIEM kippt, erzeugt vor allem eines: Alert-Fatigue durch False Positives.\n\n## IOC-Feeds: Quellen, Qualität und Fallstricke\n\nDer Markt für Threat-Intelligence-Feeds ist unübersichtlich. Kommerzielle Anbieter verlangen fünfstellige Jahresbeträge, kostenlose Quellen schwanken erheblich in der Qualität. Für KMU ohne dediziertes Threat-Intel-Team empfiehlt sich ein pragmatischer Einstieg mit wenigen, gut kuratierten Quellen.\n\n### Empfehlenswerte Open-Source-Feeds\n\nAbuse.ch ThreatFox: Hochwertige, eng kuratierte IOC-Datenbank mit Hashes, IP-Adressen und Domains. API-fähig, MISP-kompatibel, geringe False-Positive-Rate durch Community-Validierung. Confidence-Scores ermöglichen Schwellenwert-Filterung.\n\nFeodo Tracker: Spezialisiert auf C2-Server von Banking-Trojanern und Botnets (Emotet, Qakbot, IcedID, AsyncRAT). Tagesaktuell, direkt als IP-Blockliste nutzbar, minimale False Positives durch enge Fokussierung.\n\nAlienVault OTX (Open Threat Exchange): Einer der größten community-getriebenen Feeds mit breiter Abdeckung. Vorteil: direkter API-Zugriff, MISP-kompatibel. Nachteil: höhere False-Positive-Rate durch fehlende zentrale Validierung. Zwingend mit Whitelisting kombinieren.\n\nMISP Threat Sharing: Das Malware Information Sharing Platform-Projekt ermöglicht den Austausch in vertrauenswürdigen Communities (ISACs, CERTs, Sektoren). Das BSI betreibt eigene MISP-Instanzen. Für NIS-2-pflichtige Unternehmen ist eine MISP-Anbindung strategisch sinnvoll.\n\nCISA Known Exploited Vulnerabilities (KEV): Streng genommen kein IOC-Feed, aber unverzichtbar für Patch-Priorisierung. CISA pflegt eine Liste aktiv ausgenutzter CVEs — wer KEV-Einträge in seiner Patch-Planung ignoriert, handelt grob fahrlässig.\n\n### Qualitätskriterien für die Feed-Auswahl\n\nBevor ein neuer Feed in die Produktivumgebung aufgenommen wird, sollten folgende Punkte geprüft werden:\n\n- TTL (Time-to-Live): IOCs veralten schnell. C2-IPs wechseln innerhalb von Stunden. Ein Feed ohne TTL-Angabe oder Ablaufdatum ist operativ wertlos.\n- Confidence Score: Feeds mit Bewertungsskala (z. B. 0–100) ermöglichen schwellenwertbasierte Filterung und vermeiden blinde Alert-Eskalation.\n- False-Positive-Historie: Enthält der Feed bekannte CDN-Ranges, Cloudflare-IPs oder legitime Analyse-Domains? Sofort aussortieren.\n- Taxonomie: MISP-Tags, MITRE ATT&CK-Mapping, TLP-Klassifikation (Traffic Light Protocol) — ohne diese Metadaten fehlt der operative Kontext für die Triage.\n\n## IOC-Integration in Wazuh\n\nWazuh unterstützt ab Version 4.x IOC-Integration über zwei Wege: native MISP-Anbindung über das Integration-Modul und CDB-Listen (Constant Databases) für Flat-File-Feeds. Beide Wege funktionieren ohne kommerzielle Lizenz.\n\n### MISP-Integration konfigurieren\n\nDie Konfiguration erfolgt in der ossec.conf. Ein minimales Setup für einen MISP-Server im internen Netz:\n\nxml\n<ossec_config>\n <integration>\n <name>misp</name>\n <hook_url>https://misp.intern/attributes/restSearch</hook_url>\n <api_key>DEIN_MISP_API_KEY</api_key>\n <alert_format>json</alert_format>\n <rule_id>100100,100101,100102</rule_id>\n </integration>\n</ossec_config>\n\n\nDer MISP-Server muss per TLS erreichbar sein. Selbstsignierte Zertifikate erfordern <ssl_verify>no</ssl_verify> — in Produktivumgebungen durch ein CA-signiertes Zertifikat ersetzen.\n\n### CDB-Listen für Flat-File-Feeds\n\nFür IP-Blocklisten ohne MISP-Infrastruktur eignen sich CDB-Listen. Wazuh lädt diese im laufenden Betrieb ohne Neustart neu. Ein automatisiertes Update via Cron:\n\n```bash\n#!/bin/bash\n# Feodo Tracker C2-Blocklist taeglich aktualisieren\ncurl -s https://feodotracker.abuse.ch/downloads/ipblocklist.txt \\n | grep -v \

FAQ

Häufige Fragen

Was ist der Unterschied zwischen IOCs und TTPs?

IOCs (Indicators of Compromise) sind konkrete, oft kurzlebige Artefakte wie IP-Adressen, Datei-Hashes oder Domains, die auf eine bekannte Bedrohung hinweisen. TTPs (Tactics, Techniques and Procedures) beschreiben das Verhalten eines Angreifers auf einer abstrakteren Ebene – etwa 'Credential Dumping via LSASS' (MITRE ATT&CK T1003). TTPs veralten deutlich langsamer als IOCs und sind schwerer zu umgehen, erfordern aber Verhaltensanalyse statt simpler Signatur-Matches. Eine reife Erkennungsstrategie kombiniert beides: IOCs für bekannte Bedrohungen, TTP-basierte Regeln für unbekannte Angreifer.

Welche kostenlosen IOC-Feeds eignen sich für KMU ohne eigenes Threat-Intel-Team?

Drei Quellen bieten einen guten Einstieg mit überschaubarer False-Positive-Rate: Abuse.ch ThreatFox liefert aktuelle Hashes, IPs und Domains mit MISP-kompatibler API. Der Feodo Tracker von Abuse.ch ist auf Banking-Trojaner-C2-Server spezialisiert und tagesaktuell als Blockliste nutzbar. AlienVault OTX bietet breite Community-Abdeckung, erfordert aber konsequentes Whitelisting. Ergänzend ist die CISA Known Exploited Vulnerabilities (KEV)-Liste für Patch-Priorisierung unverzichtbar. Alle vier Quellen sind kostenlos und API-fähig.

Wie integriere ich IOC-Feeds in Wazuh, ohne eine kommerzielle Lizenz zu benötigen?

Wazuh unterstützt ab Version 4.x nativ CDB-Listen (Constant Databases), die als Blocklisten fungieren. IOC-Feeds lassen sich per Cronjob täglich in eine CDB-Datei schreiben; Wazuh lädt diese im laufenden Betrieb ohne Neustart neu. Für MISP-Anbindung steht ein natives Integration-Modul in ossec.conf zur Verfügung. Alternativ können Flat-File-Feeds (IP-Listen, Domain-Listen) direkt als CDB importiert werden. Die Erkennungsregeln referenzieren diese Listen per 'list'-Feld und lösen bei Match einen konfigurierbaren Alert-Level aus. Alles funktioniert mit der Open-Source-Version von Wazuh.