Zedmos
ENDE
Loslegen
ZEDMOS CTI

Cyber-Threat-Intelligence — für die Inline-Datenebene gebaut

Eine Architektur, die kuratierte Feeds, Offline-GeoASN-Anreicherung und tier-bewusste Verteilung in derselben Engine vereint, die bereits Ihre Firewall betreibt.

GeoASNOffline-Lookupiptoasn-DumpFEED-QUELLENURLhausThreatFoxOpenPhishOTXSpamhausINGEST-PIPELINEAbrufParseFP-FilterUpsertANREICHERN + TIERGeoIPASNKonsensTierVERTEILUNGSTIXTAXIIPlainSuricataPi-holeFIREWALL
LIVE-STATS

Echtzeit-Zahlen vom CTI-Hub

Direkt vom öffentlichen Endpunkt /v1/public/stats und /v1/public/dashboard, Aktualisierung alle 30 Sekunden.

offline· bezogen aus /v1/public/stats + /v1/public/dashboard
IOCs gesamt (Katalog)
über alle Tiers · Katalog (Standard: nur verifiziert+vertraut)
Bösartige Domains
eindeutig, sortiert, dedupliziert
Bösartige IPs / CIDRs
v4-Bereiche, Hijack-Netblöcke
Aktive Feeds
— zuletzt erfolgreich
FP-Prüfwarteschlange
Kandidaten als Falsch-Positiv markiert
Allowlist
Tranco + Umbrella + Cloud-CIDRs (AWS/GCP/CF/GH) + Seed
Cloud-IP-FPs abgefangen
IPs in Cloud-Range automatisch unterdrückt — live
Known-Good-Smoke
alle 6 h Sweep
Verifizierte IOCs (Multi-Source)
— verifiziert · mehrfach bestätigt
Katalog-Liveness · Domains
— live · — NXDOMAIN — von — geprüft
Liveness-Abdeckung
— Domains warten auf erste Prüfung · — gesamt
Live-Rate (verifiziert-Tier)
— Verifiziert+Vertraut-Proben · — sinkholed
Live-Rate (Community-Tier)
— Community-Tier-Proben · — sinkholed
Gesamtsignal (live + sinkholed)
% geprüfter IOCs, die als live oder bekannter Sinkhole auflösen — beweist, dass der Katalog kein Rauschen ist
Vertrauenswürdige IOCs (T1 Single-Source)
USOM, CERT.pl, Spamhaus DROP, Feodo low-FP
Standard-Firewall-Auslieferung
verifizierte + vertraute Indikatoren · standardmäßig an jede Firewall
Community-Scope (opt-in)
— des Gesamt-Scopes · Opt-in via community-domains.txt
Discovery-Kandidaten
— ausstehend · — insgesamt bot-gefundene Kandidaten
Kreuzvalidierungs-Quote
—/— geprüft · letzter Lauf —
Distributions-Snapshots
Pro-Kategorie materialisierte Dateien
Bytes ausgeliefert (gecached)
Gesamt-Payload über alle Kategorien
MITRE ATT&CK
STIX-Objekte (Enterprise + Mobile + ICS)
TAXII-2.1-Sammlungen
Live STIX-2.1-Endpunkte
Sightings 24 h (anonymisiert)
0 Firewalls melden · — Gesamt-Treffer
Ausgabeformate
plain · Suricata · Pi-hole · OPNsense · MikroTik · RPZ · STIX · TAXII · MISP
Vollständige Stats und Verlauf auf www.zedmos.net →

Operator-Konsole, historische Zeitreihen, Per-Feed-Health, Aufschlüsselung nach Kategorie.

Was ist der Zedmos-CTI-Hub?

Der CTI-Hub ist das Threat-Intelligence-Rückgrat hinter jeder Zedmos-Installation. Er bezieht laufend kuratierte Feeds, durchläuft einen mehrstufigen Falsch-Positiv-Filter, reichert jeden IPv4/IPv6-Indikator offline mit GeoIP- und ASN-Daten an und liefert nur das mehrfach bestätigte, rechenzentrums-bewusste verifizierte Set an Ihre Firewalls — dieselbe Datenebene, dieselbe Konsole, dieselbe Richtlinien-Engine.

So funktioniert es

Quellen

Operative, behördliche und Community-Feeds. Jeder Feed ist auf sein eigenes Kontingent begrenzt; der Operator stellt das Aktualisierungsintervall pro Feed im Admin-Panel ein.

Ingest-Pipeline

Stream-Abruf mit Retry/Backoff. Formatabhängiger Parser (plain, hosts, CSV, JSON, MISP, ThreatFox, OTX). Pro-Eintrag-Dedup, dann ein mehrstufiger FP-Filter: Public-DNS-Allowlist · Tranco/Umbrella · Cloud-Provider-CIDR-Bisect (überlappende Bereiche vereint) · Bogon-Erkennung.

GeoASN-Anreicherung

Jeder IP-Indikator wird beim Ingest gegen ein Offline-iptoasn-Dump nachgeschlagen. Land, ASN und AS-Name werden ins IOC-Dokument geschrieben — kein Pro-IP-HTTP, kein Kontingentrisiko.

Tier-Klassifizierung

Multi-Source-Konsens treibt die Promotion: verschiedene Feeds ODER aktive Anreicherungs-Bestätigung ODER Honeypot-Ground-Truth → verifizierter Tier. Datacenter-bewusste Ausnahme: IPs in großen Cloud-ASNs (AWS/GCP/Azure/Cloudflare/Akamai/Alibaba/Fastly/Oracle) bleiben Community-Tier — verhindert Microsoft-365-/Google-Workspace-Blockaden.

Verteilung

Bei jedem Ingest-Zyklus baut der Snapshot-Materializer die Verteildateien neu auf: STIX-Bundles, TAXII-Sammlungen, Klartext-URL-/IP-Listen, Pi-hole, Suricata, MikroTik, OPNsense-URL-Tabellen, MISP-Feeds. Signiertes Pull oder Push-Delta über Webhooks.

Inline-Lookup

Die Zedmos-Engine konsultiert den Katalog während der Klassifizier-/Auswerten-Pipeline-Stufen bei jedem Paket. Domain, IP, JA3/JA4, SHA256 — Bisect-Lookup, Entscheidung zurück in denselben Flow-Kontext.

Warum das wichtig ist

Niedrigere Falsch-Positiv-Rate

Periodischer Drift-Sweep entfernt IOCs, die durch neu hinzugefügte Allowlist-Anker abgedeckt werden. Datacenter-bewusstes Tiering schützt legitime Cloud-SaaS. Manuelle Public-DNS-Allowlist blockiert die häufigsten Feed-Qualitätslecks.

Offline-GeoASN in Linerate

Öffentliche ip-api-Tarife machen Pro-IP-Lookups bei Produktivvolumen unmöglich. Der Offline-Dump liefert konstante Lookup-Zeiten und kein Kontingentrisiko; periodische Aktualisierung hält den Drift gering.

Mehrstufige Verteilung

Standard-Snapshots enthalten nur den bestätigten Tier. Operatoren können den Community-Tier pro Kategorie aktivieren. Harte Sperre: Bogon- und Cloud-Range-IPs erreichen niemals den Standard-Snapshot.

Inline statt aufgesetzt

CTI-Lookup läuft auf dem Fast-Path der Engine direkt neben NGFW-/IDS-/SD-WAN-Klassifizierung — eine Entscheidung, eine Audit-Spur. Kein externer Proxy, kein zusätzlicher Hop.

Transparenz für Operatoren

Jeder Snapshot wird aus einer frischen Aggregation gebaut; Kreuzvalidierungsstichproben bestätigen die Tier-Kriterien. Ein öffentlicher Verifizierungs-Endpunkt zeigt den Metrikverlauf.

Industriestandard-Formate

STIX, TAXII, MISP-Feed, Pi-hole, Suricata, MikroTik — sofort einsatzbereit. Andocken an vorhandene SOC-Werkzeuge ohne Übersetzung.