Zedmos
ENDE
Loslegen
ZEDMOS CTI

Cyber-Threat-Intelligence — für die Inline-Datenebene gebaut

Eine Architektur, die kuratierte Feeds, Offline-GeoASN-Anreicherung und tier-bewusste Verteilung in derselben Engine vereint, die bereits Ihre Firewall betreibt.

GeoASNOffline-Lookupiptoasn-DumpFEED-QUELLENkuratiertURLhausThreatFoxOpenPhishOTXSpamhausINGEST-PIPELINEAbruf · Parse · Filter · UpsertAbrufParseFP-FilterUpsertANREICHERN + TIERGeoASN · Konsens · PromotionGeoIPASNKonsensTierVERTEILUNGSTIX · TAXII · Plain · SuricataSTIXTAXIIPlainSuricataPi-holeFIREWALLInline-Durchsetzung

Was ist der Zedmos-CTI-Hub?

Der CTI-Hub ist das Threat-Intelligence-Rückgrat hinter jeder Zedmos-Installation. Er bezieht laufend kuratierte Feeds, durchläuft einen mehrstufigen Falsch-Positiv-Filter, reichert jeden IPv4/IPv6-Indikator offline mit GeoIP- und ASN-Daten an und liefert nur das mehrfach bestätigte, rechenzentrums-bewusste verifizierte Set an Ihre Firewalls — dieselbe Datenebene, dieselbe Konsole, dieselbe Richtlinien-Engine.

So funktioniert es

Quellen

Operative, behördliche und Community-Feeds. Jeder Feed ist auf sein eigenes Kontingent begrenzt; der Operator stellt das Aktualisierungsintervall pro Feed im Admin-Panel ein.

Ingest-Pipeline

Stream-Abruf mit Retry/Backoff. Formatabhängiger Parser (plain, hosts, CSV, JSON, MISP, ThreatFox, OTX). Pro-Eintrag-Dedup, dann ein mehrstufiger FP-Filter: Public-DNS-Allowlist · Tranco/Umbrella · Cloud-Provider-CIDR-Bisect (überlappende Bereiche vereint) · Bogon-Erkennung.

GeoASN-Anreicherung

Jeder IP-Indikator wird beim Ingest gegen ein Offline-iptoasn-Dump nachgeschlagen. Land, ASN und AS-Name werden ins IOC-Dokument geschrieben — kein Pro-IP-HTTP, kein Kontingentrisiko.

Tier-Klassifizierung

Multi-Source-Konsens treibt die Promotion: verschiedene Feeds ODER aktive Anreicherungs-Bestätigung ODER Honeypot-Ground-Truth → verifizierter Tier. Datacenter-bewusste Ausnahme: IPs in großen Cloud-ASNs (AWS/GCP/Azure/Cloudflare/Akamai/Alibaba/Fastly/Oracle) bleiben Community-Tier — verhindert Microsoft-365-/Google-Workspace-Blockaden.

Verteilung

Bei jedem Ingest-Zyklus baut der Snapshot-Materializer die Verteildateien neu auf: STIX-Bundles, TAXII-Sammlungen, Klartext-URL-/IP-Listen, Pi-hole, Suricata, MikroTik, OPNsense-URL-Tabellen, MISP-Feeds. Signiertes Pull oder Push-Delta über Webhooks.

Inline-Lookup

Die Zedmos-Engine konsultiert den Katalog während der Klassifizier-/Auswerten-Pipeline-Stufen bei jedem Paket. Domain, IP, JA3/JA4, SHA256 — Bisect-Lookup, Entscheidung zurück in denselben Flow-Kontext.

Warum das wichtig ist

Niedrigere Falsch-Positiv-Rate

Periodischer Drift-Sweep entfernt IOCs, die durch neu hinzugefügte Allowlist-Anker abgedeckt werden. Datacenter-bewusstes Tiering schützt legitime Cloud-SaaS. Manuelle Public-DNS-Allowlist blockiert die häufigsten Feed-Qualitätslecks.

Offline-GeoASN in Linerate

Öffentliche ip-api-Tarife machen Pro-IP-Lookups bei Produktivvolumen unmöglich. Der Offline-Dump liefert konstante Lookup-Zeiten und kein Kontingentrisiko; periodische Aktualisierung hält den Drift gering.

Mehrstufige Verteilung

Standard-Snapshots enthalten nur den bestätigten Tier. Operatoren können den Community-Tier pro Kategorie aktivieren. Harte Sperre: Bogon- und Cloud-Range-IPs erreichen niemals den Standard-Snapshot.

Inline statt aufgesetzt

CTI-Lookup läuft auf dem Fast-Path der Engine direkt neben NGFW-/IDS-/SD-WAN-Klassifizierung — eine Entscheidung, eine Audit-Spur. Kein externer Proxy, kein zusätzlicher Hop.

Transparenz für Operatoren

Jeder Snapshot wird aus einer frischen Aggregation gebaut; Kreuzvalidierungsstichproben bestätigen die Tier-Kriterien. Ein öffentlicher Verifizierungs-Endpunkt zeigt den Metrikverlauf.

Industriestandard-Formate

STIX, TAXII, MISP-Feed, Pi-hole, Suricata, MikroTik — sofort einsatzbereit. Andocken an vorhandene SOC-Werkzeuge ohne Übersetzung.