Threat Intelligence: Indicators of Compromise sinnvoll nutzen
Wie KMU IOC-Feeds qualitätsbewusst einsetzen, Wazuh CTI integrieren und damit NIS-2-Anforderungen erfüllen – ohne Alert-Fatigue.
Threat Intelligence: Indicators of Compromise sinnvoll nutzen
Key Takeaways
- IOCs sind maschinenlesbare Hinweise auf bekannte Angriffe – nützlich nur bei hoher Qualität und relevantem Kontext
- Ungefilterter Feed-Einsatz erzeugt Alert-Fatigue; KMU brauchen priorisierte, aktuelle Feeds
- Wazuh bietet native CTI-Integration über CDB-Listen und ein flexibles Integrations-Framework
- NIS-2 fordert den dokumentierten Einsatz von Bedrohungsinformationen – ein IOC-Programm liefert den operativen Unterbau
Was sind Indicators of Compromise?
IOCs sind beobachtbare Artefakte, die auf eine Kompromittierung oder einen laufenden Angriff hinweisen. Klassische Typen:
- IP-Adressen: Command-and-Control-Server bekannter Malware-Familien
- Domains: Phishing-Domains, algorithmisch generierte Hostnamen (DGAs)
- File Hashes (MD5, SHA-1, SHA-256): Fingerabdrücke bekannter Schaddateien
- URLs: Exploit-Kit-Landing-Pages, Malware-Download-Quellen
- E-Mail-Adressen und Header: Absenderadressen von Spear-Phishing-Kampagnen
Der Wert eines IOC hängt direkt von seiner Aktualität und seinem Kontext ab. Eine IP-Adresse, die vor drei Jahren als C2-Server bekannt war, ist heute möglicherweise legitim oder einem anderen Akteur zugeordnet. Ohne Verfallsdatum und Confidence-Score ist ein IOC mehr Rauschen als Signal.
Das Pyramid-of-Pain-Prinzip: Warum Hashes allein nicht reichen
Das Konzept der „Pyramid of Pain
Häufige Fragen
Was ist der Unterschied zwischen einem IOC und einem TTP?
Ein IOC (Indicator of Compromise) ist ein beobachtbares Artefakt – z. B. eine IP-Adresse, ein Datei-Hash oder eine Domain – das auf eine bekannte Bedrohung hinweist. Ein TTP (Tactic, Technique, Procedure) beschreibt das Verhalten eines Angreifers unabhängig von konkreten Artefakten, z. B. 'Angreifer nutzen PowerShell für laterale Bewegung'. TTPs sind schwerer für Angreifer zu ändern und damit wertvoller für nachhaltige Erkennung. Effektive CTI-Programme kombinieren beide Ebenen.
Wie viele IOC-Feeds sollte ein KMU einbinden?
Weniger ist mehr. Für den Einstieg reichen zwei bis drei hochwertige, spezialisierte Feeds – etwa Feodo Tracker für C2-IPs und URLhaus für Malware-URLs. Zu viele unkuratierte Feeds führen zu Alert-Fatigue: Teams, die täglich Dutzende False Positives abarbeiten, verpassen echte Vorfälle. Erst nach Stabilisierung des Prozesses und Messung der False-Positive-Rate sollte das Feed-Portfolio erweitert werden.
Sind IOC-Feeds auch für Microsoft 365-Umgebungen ohne eigenes SIEM relevant?
Ja. Microsoft Sentinel unterstützt den STIX/TAXII-Standard nativ – externe Feeds lassen sich direkt als Datenquelle einbinden und über KQL-Abfragen mit Defender for Endpoint-Daten korrelieren. Auch ohne Sentinel können IOC-Listen über Microsoft Defender Threat Intelligence oder als Custom Indicators in Defender for Endpoint gepflegt werden, um bekannte Schaddomains und Hashes direkt zu blockieren.