Sicherheit
Feed-gesteuerte Threat Intelligence
Feeds für Adressen, Domains, URLs und TLS-Fingerprints steuern die Sperrentscheidungen. Aktualisierungen werden atomar und ohne Engine-Neustart übernommen.
GA
SO FUNKTIONIERT ES
Ein einzelner Flow im Durchlauf
- 1Feeds werden auf vier Referenztypen normalisiert — Adresse, Domain mit Wildcard-Unterstützung, URL und TLS-Fingerprint.
- 2Ein Suffix-Trie und speziell entwickelte Hash-Tabellen sorgen für schnelle Lookups unabhängig von der Feed-Größe.
- 3Jeder Feed hat eine Generations-Kennung. Die Engine liefert die aktuelle Generation aus, bis eine validierte Ablösung bereit ist.
- 4Treffer markieren Ereignisse, sodass nachgelagerte Richtlinien eskalieren, verketten oder weiterleiten können.
UNTER DER HAUBE
Technische Hinweise
Validierte Aktualisierungen
Ein Scheduler holt Feeds in den vom Betreiber konfigurierten Intervallen und validiert deren Integrität vor dem Wechsel. Ein beschädigter oder abgeschnittener Feed wird ohne Aufsehen zurückgerollt; der Grund ist auf der Steuerungsebene nachvollziehbar.
VERWANDT
Weitere Funktionen, die hier greifen
Sicherheit
Mehrfach-Aktions-Policy-Engine
Erlauben / Verwerfen / Reset / Shapen / Umleiten / Quarantäne / Tarpit / Scannen / Umschreiben / Ausführen / Markieren / Eskalieren / Routen / Loggen.
Plattform
Hot-Reload-Steuerungsebene
SIGHUP- und UNIX-Socket-Befehle tauschen Richtlinien, Feeds und Routen ohne einen einzigen verlorenen Paketkopf aus.