Getting Started
Einführung in Cybora
Erfahren Sie, was Cybora bereitstellt, wie Firewall-Threat-Feeds funktionieren und wie Sie Cybora kontrolliert in Produktion ausrollen.
Zuletzt aktualisiert: 15. Juni 2026
Auf dieser Seite
Cybora stellt kuratierte Threat-Intelligence-Feeds für Firewalls und Network-Security-Geräte bereit. Die Grundidee ist einfach: Ihre Firewall ruft einen Feed per HTTPS ab, importiert die Indikatoren in ein natives Objekt oder eine native Liste und verwendet diese Liste in Policies.
Cybora ist als Ergänzung zu bestehenden Security Controls gedacht. Der Dienst kann helfen, bekannte bösartige Infrastruktur bereits am Perimeter zu reduzieren, ersetzt aber keine IPS-, EDR-, DNS-Security-, SIEM- oder sauber geprüfte Firewall-Policy.
Was Cybora bereitstellt
Cybora stellt firewall-freundliche Threat-Intelligence-Feeds als Plain-TXT-Dateien per HTTPS bereit. Die Ausgabe ist bewusst einfach: ein Indikator pro Zeile, ohne vendor-spezifische Wrapper, JSON-Payloads oder proprietäre Firewall-Formate.
Je nach Plan kann Cybora Abdeckung für Indikator-Kategorien wie IPv4-Adressen, Domains und URLs bereitstellen. Das Dateiformat bleibt gleich. Was sich ändert, ist die Indikator-Kategorie im Feed und die native Firewall-Funktion, die diesen Feed konsumiert.
Dadurch bleibt die Einrichtung nahe am nativen Workflow des Firewall-Herstellers und benötigt im üblichen Deployment-Pfad keine eigenen Agents oder komplexen API-Integrationen. Der firewall-spezifische Teil ist die Konfigurationsstelle innerhalb der Firewall, nicht ein Cybora-spezifisches Dateiformat.
Das übliche Deployment sieht so aus:
- Kopieren Sie die Cybora HTTPS-Feed-URL für die Indikator-Kategorie, die Ihr Plan abdeckt.
- Hinterlegen Sie die URL in der nativen External-List-, Alias-, Dynamic-List- oder Threat-Feed-Funktion der Firewall.
- Setzen Sie ein Polling-Intervall, das zu Ihrem Cybora-Plan und zu den Empfehlungen des Firewall-Herstellers passt.
- Referenzieren Sie die importierte Liste dort, wo die Plattform es unterstützt: in Firewall-, DNS-, Web- oder Security-Policies.
- Prüfen Sie, ob die Firewall den TXT-Feed abrufen, die Einträge lesen und die gewünschte Aktion anwenden kann.
Gemeinsame Konzepte
Die meisten Cybora-Deployments teilen einige Konzepte:
- Ein Lizenzschlüssel identifiziert das Feed-Abonnement. Sofern Ihr Plan nichts anderes vorsieht, ist ein Key für ein Firewall-Gerät oder einen logischen HA-Perimeter vorgesehen.
- Die Feed-URL enthält den Lizenzschlüssel und identifiziert Indikator-Kategorie und Zugriffsumfang.
- Die Firewall ruft die URL in einem wiederkehrenden Intervall ab.
- Die Firewall speichert die geladenen Indikatoren in einem nativen Objekt, einer Liste, einem Alias, einer Kategorie oder einem Feed-Objekt.
- Die Policy entscheidet, ob Treffer blockiert, abgelehnt, geloggt oder nur überwacht werden.
- Zu häufiges Polling kann Rate Limiting oder temporäre Blockierung auslösen. Das Refresh-Intervall der Firewall muss deshalb innerhalb der erlaubten Plan-Limits bleiben.
Empfohlener Rollout
Starten Sie mit einem kontrollierten Rollout. Prüfen Sie, ob die Firewall die Feed-URL erreichen kann, die erwartete Anzahl Einträge importiert und das importierte Objekt in der Policy referenzieren kann. Aktivieren Sie Logging, bevor Sie den Feed breit durchsetzen.
Wenn Ihre Firewall es unterstützt, beginnen Sie mit Monitoring oder einem begrenzten Policy-Scope. Prüfen Sie Treffer, stellen Sie sicher, dass geschäftskritischer Traffic nicht betroffen ist, und wechseln Sie erst danach schrittweise in Blocking.