Features
Wie ein Indikator in den Feed kommt
Die technische Entscheidungskette hinter Cybora: von Quellen und Verhalten über Korrelation, Kollateralschaden und Aging bis zur Auslieferung im Firewall-Feed.
Zuletzt aktualisiert: 29. Juni 2026
Auf dieser Seite
Ein Cybora-Feed ist keine rohe Sammlung von IPs, Domains und URLs. Jeder ausgelieferte Indikator durchläuft eine Bewertung, die technische Bedrohungssignale mit operativer Durchsetzbarkeit verbindet. Genau diese Entscheidungskette macht den Unterschied zwischen einer großen Liste und einem Feed, den Admins in produktiven Firewall-Policies vertreten können.
Das Grundprinzip ist einfach:
Entscheidungskette
Die einzelnen Schritte sind bewusst nachvollziehbar beschrieben. Konkrete Schwellenwerte, Gewichtungen, Partnerquellen und interne Scoring-Regeln bleiben geschützt, weil sie zur Qualität des Feeds gehören und nicht von Angreifern oder Wettbewerbern ausgenutzt werden sollen.
1. Quellen liefern Hinweise, keine fertigen Entscheidungen
Cybora nutzt unterschiedliche Signalquellen: OSINT, kommerzielle Threat-Intel-Feeds, Honeypots, Sensoren, reale Firewall-Beobachtungen aus produktiven Umgebungen und vorsichtig bewertete Identity-Signale wie wiederholte fehlgeschlagene Cloud-Logins.
Keine Quelle ist für sich allein perfekt. OSINT kann schnell und breit sein, aber alt oder kontextarm. Kommerzielle Feeds bringen zusätzliche Abdeckung, sind aber nicht automatisch firewall-tauglich. Honeypots sehen frühes Internet-Rauschen, während produktive Firewalls zeigen, welche Infrastruktur echte Business-Perimeter mit echten Diensten berührt.
Darum behandelt Cybora Quellen als Eingangssignale. Erst durch Normalisierung, Deduplizierung, Verhaltensbewertung und Korrelation wird daraus ein verwertbarer Feed-Kandidat.
2. Normalisierung macht Signale vergleichbar
Bevor ein Signal bewertet werden kann, muss es technisch sauber eingeordnet werden. IPs, Domains und URLs sind unterschiedliche Indikator-Typen und gehören später auch in unterschiedliche Firewall-Funktionen.
In dieser Phase werden Signale vereinheitlicht, Dubletten reduziert und offensichtliche Formatprobleme getrennt. Das ist unspektakulär, aber wichtig: Eine Firewall kann nur zuverlässig arbeiten, wenn der Feed in einem klaren Format ausgeliefert wird und jeder Indikator an der richtigen Stelle verwendet wird.
Mehr zum Ausgabeformat steht in Firewall-native Feed-Format.
3. Verhalten erklärt, warum ein Indikator relevant ist
Ein reiner Reputation-Treffer sagt noch nicht genug. Für produktive Firewall-Policies ist wichtig, welches Verhalten beobachtet wurde:
- Mass-Scanning
- Exploit-Versuche gegen exponierte Dienste
- Botnet- oder Command-and-Control-Kommunikation
- Phishing oder Malware-Auslieferung
- wiederholte Credential-Angriffe
- auffällige Aktivität über mehrere Beobachtungspunkte
Diese Einordnung macht den Feed operativer. Ein Admin kann besser nachvollziehen, ob ein Indikator eher breit automatisiertes Rauschen, aktive Angreifer-Infrastruktur oder ein höherwertiges Kampagnensignal darstellt.
Mehr dazu steht in Behavior-based Signals.
4. Korrelation erhöht Vertrauen
Ein einzelner Treffer kann Rauschen sein. Deutlich stärker wird ein Indikator, wenn mehrere unabhängige Beobachtungspunkte dieselbe Infrastruktur stützen.
Beispiele:
- dieselbe IP taucht in OSINT und kommerziellen Feeds auf
- ein Sensor sieht Scanning, während produktive Firewalls dieselbe Quelle ebenfalls beobachten
- Identity-Signale wiederholen sich über unabhängige Umgebungen
- eine Domain passt zu Phishing-Verhalten und wird zusätzlich über weitere Quellen bestätigt
Korrelation bedeutet nicht, möglichst viele Listen blind zu addieren. Entscheidend ist, ob unterschiedliche Signale dasselbe Risiko plausibel und unabhängig stützen.
Mehr dazu steht in Bestätigt über unabhängige Beobachtungspunkte.
5. Kollateralschaden entscheidet über Firewall-Tauglichkeit
Ein Indikator kann technisch auffällig sein und trotzdem für hartes Blocking zu riskant wirken. Besonders vorsichtig behandelt werden zum Beispiel:
- große Cloud- und Hosting-Provider
- CDNs und Reverse Proxies
- gemeinsam genutzte SaaS-, Mail-, VPN- oder Identity-Infrastruktur
- dynamische Provider-Netze
- Domains mit legitimer Hauptnutzung und kompromittierten Teilpfaden
Je höher das Risiko, legitimen Traffic zu treffen, desto stärker muss die Evidenz sein. Das ist einer der wichtigsten Unterschiede zwischen Analyse-Intelligence und einem Feed für produktive Firewall-Policies.
Mehr dazu steht in Weniger False Positives, mehr Vertrauen im Betrieb.
6. Aging hält den Feed aktuell
Bedrohungsinfrastruktur verändert sich. IPs werden neu vergeben, Domains wechseln Besitzer, kompromittierte Systeme werden bereinigt und alte Kampagnen verlieren Relevanz. Ein Feed wird nicht besser, nur weil er immer größer wird.
Cybora bewertet deshalb nicht nur, ob ein Indikator irgendwann einmal auffällig war. Wichtig ist, wie aktuell die Evidenz ist, ob sie wiederholt beobachtet wurde und ob die Rolle des Indikators noch plausibel ist. Veraltete Evidenz verliert kontrolliert an Gewicht.
Mehr dazu steht in Aktuelle Signale statt veralteter Evidenz.
7. Auslieferung als firewall-tauglicher Feed
Wenn ein Indikator für den jeweiligen Feed geeignet ist, wird er in einem einfachen, firewall-tauglichen Format ausgeliefert: ein Indikator pro Zeile, per HTTPS abrufbar, getrennt nach IPs, Domains und URLs.
Die Position innerhalb eines Feeds kann als operative Priorisierung verstanden werden. Indikatoren mit stärkerer Evidenz, höherer Aktualität und geringerem erwarteten Kollateralschaden werden bevorzugt weiter oben ausgeliefert. Alle ausgelieferten Einträge müssen dennoch die internen Kriterien für den jeweiligen Feed erfüllen.
Die Firewall ruft den Feed in ihrem eigenen Polling-Intervall ab und nutzt ihn in nativen External-List-, Dynamic-List-, Alias- oder Threat-Feed-Funktionen.
Was bewusst intern bleibt
Cybora dokumentiert das Prinzip, nicht die exakte Rezeptur. Intern bleiben:
- konkrete Scoring- und Gewichtungsregeln
- Schwellenwerte und Zeitfenster
- einzelne Partnerquellen und Kundendetails
- Erkennungslogik für Missbrauch und Umgehungsversuche
- genaue Regeln für Aufnahme, Priorisierung und Entfernung
Für Admins ist entscheidend: Ein Indikator landet nicht im Feed, nur weil er irgendwo genannt wurde. Er wird als Signal bewertet, mit anderen Beobachtungen abgeglichen, auf produktive Durchsetzbarkeit geprüft und anschließend in einem Format ausgeliefert, das Firewalls direkt nutzen können.