Threat Intelligence

Was ist Threat Intelligence?

Threat Intelligence (Bedrohungsinformationen) bezeichnet den strukturierten Prozess des Sammelns, Analysierens und Verteilens sicherheitsrelevanter Informationen über Bedrohungsakteure, Angriffsmethoden und Indikatoren für Kompromittierungen (IoCs). Ziel ist es, Unternehmen mit relevanten, verwertbaren Informationen zu versorgen, um Cyberrisiken frühzeitig zu erkennen, geeignete Gegenmaßnahmen zu ergreifen und Sicherheitsstrategien fundiert zu planen.

Bestandteile & Quellen

• Indicators of Compromise (IoCs)
  → Technische Spuren wie IP-Adressen, Hash-Werte, Domains

• Tactics, Techniques, Procedures (TTPs)
  → Vorgehensweisen und Werkzeuge von Angreifern

• Quellen
  → Open-Source-Feeds (z. B. MISP, AlienVault OTX), kommerzielle Anbieter, Darknet-Monitoring, interne SIEM-/EDR-Logs

Anwendung in der Praxis

In einem internationalen Unternehmen mit eigenem SOC wird Threat Intelligence in Echtzeit in das SIEM-System eingebunden. Wird etwa eine bekannte C2-Domain aus einem Threat-Feed erkannt, blockiert die Firewall automatisch den Datenverkehr. Gleichzeitig wird ein Incident in der SOAR-Plattform ausgelöst, das den EDR-Agenten zur Quarantäne des betroffenen Endpoints veranlasst. Die TTPs werden für Threat Hunting genutzt und als Lessons Learned dokumentiert.

Verwandte Begriffe

• SIEM (Security Information and Event Management)

• Indicators of Compromise

• Incident Response

• Threat Hunting

• EDR (Endpoint Detection and Response)

• TTPs

• Cybersecurity