Threat Intelligence Feed · IOC STIX/TAXII Fortgale
CTI · Capability 02 · Threat Intelligence Feed

Intelligence-Feeds erzeugt, nicht weiterverkauft.

Der CTI-Feed Fortgale entsteht aus drei konvergenten Quellen: den Vorfällen, bearbeitet durch unsere SOC- und MDR-Services, der aktiven Forschung zu Threat Actors und krimineller Infrastruktur, der kontinuierlichen Analyse offensiver Tools — Cobalt Strike (Konfigurationen und Watermarks), Infostealer, Phishing-Kits, Worms, APT-Tooling. Über 180 getrackte Tools und Akteure, Indikatoren verteilt via STIX/TAXII, REST API und Webhook, native Integration mit SIEM, EDR, Firewall, IDS/IPS.

Feed-Sample anfordern Die 5 Kategorien erkunden ↓
180+Getrackte Tools & Akteure
34 k+IOCs pro Woche
STIX 2.1+ TAXII · API · Webhook
Standards · Protokolle
STIX 2.1
TAXII 2.1
MISP
OpenCTI
Standards · Frameworks
MITRE ATT&CK
Sigma
YARA
Snort/Suricata
Das Problem

Kommerzielle Feeds: Aggregation, keine Erzeugung.

Die meisten CTI-Anbieter verkaufen Feeds weiter, aggregiert aus Drittquellen (VirusTotal, Mandiant, Recorded Future). Der Mehrwert ist minimal, derselbe Feed wird Hunderten Kunden gleichzeitig verkauft, IOCs kommen an, nachdem der Angriff öffentlich ist.

01

Aggregation, keine Erzeugung

Vendor verkaufen Drittfeeds weiter · gleiche IOCs an Hunderte Kunden. Defensiver Wettbewerbsvorteil: null.

02

Latenz · Post-Attack-Ankunft

IOCs treten in Feeds ein, nachdem der Angriff öffentlich ist. Sie dienen der Vorfalls-Bestätigung, nicht der Prävention.

03

False Positives und Rauschen

Massive Feeds ohne Kontext · überlastetes SOC · Alert Fatigue · automatische Blocking-Kontrollen werden oft wegen zu viel Rauschen deaktiviert.

Die Unterscheidung, die alles ändert

Aggregierter vs erzeugter Feed.

Der Unterschied ist nicht "Katalog-Qualität" — es ist Quelle. Ein Feed, erzeugt aus realen Vorfällen, hat Kontext, Aktualität und Genauigkeit, die ein aggregierter Feed strukturell nicht haben kann.

Aggregierter Feed · kommerziell
  • Indikatoren aus Drittquellen gekauft
  • Gleicher Feed an Hunderte Kunden verkauft
  • Hohe Latenz · post-public Attack
  • Wenig Kontext, hoher False Positive Rate
  • Intransparente Confidence · keine klare TTL
Branchenstandard
Fortgale-Feed · erzeugt
  • Indikatoren aus realen SOC/MDR/IR-Vorfällen
  • Aktive Forschung zu Threat Actors und Infrastruktur
  • Kontinuierliches Tracking von 180+ Tools & Akteuren
  • Expliziter Confidence Score · TTL pro IOC
  • Interne Validierung · FP-Ziel <0,5%
Proprietär · actionable
Die Methode · 4 Schritte

Vom Vorfall zur Regel aktiv im SIEM.

Eine dokumentierbare technische Pipeline, die ein Artefakt eines realen Vorfalls bis zur aktiven Regel im SIEM/EDR des Kunden bringt. Jeder Schritt hat verifizierbare Outputs und messbare Zeiten.

  1. 01
    Vom realen Vorfall zum validierten IOC

    Extraktion aus SOC-, MDR- und IR-Vorfällen

    Jeder von den SOC-, MDR- und Incident-Response-Services Fortgale bearbeitete Vorfall produziert Artefakte: als C2 beobachtete IPs, Delivery-Domains, Hashes ausgeführter Payloads, malicious URLs, YARA-Regeln für analysierte Samples. Reale Indikatoren, nicht in isolierter Sandbox simuliert.

    SOC 24·7MDR FortgaleIncident ResponseEDR-Telemetrie
  2. 02
    Vom operativen Panorama zu Indikatoren

    Aktive Forschung zu Threat Actors und Infrastruktur

    Das CTI-Team betreibt proaktive Forschung: Hunting in Deep & Dark Web, OSINT auf kriminellen Foren, Monitoring von Telegram-Kanälen, Registrar-Tracking, ASN-Profiling, Analyse von Certificate-Transparency-Logs. Infrastrukturen werden vor ihrer Aktivierung gegen Kunden identifiziert.

    Dark Web HuntingRegistrar TrackingASN ProfilingCertificate Transparency
  3. 03
    Vom Sample zum Fingerprint

    Tooling-Analyse · C2, Malware, Kits, Worms, APT-Tooling

    Kontinuierliche Analyse von Cobalt Strike (Config-Parsing, Watermarks, Malleable Profiles), Sliver · Brute Ratel · Havoc · Mythic, Infostealern (Lumma · RedLine · Vidar · StealC), Phishing-Kits (Tycoon 2FA · EvilProxy · W3LL), Worms (Raspberry Robin), Loadern und APT-Tooling.

    Cobalt Strike ProfilingSample ReversingConfig TrackingYARA Authoring
  4. 04
    Vom validierten Indikator zur aktiven Regel

    Validierung, Scoring, automatische Verteilung

    Jeder Indikator erhält Confidence Score (high / medium / low) und eine TTL (Time-to-Live) basierend auf der typischen Rotation des Akteurs. Automatische Verteilung über STIX/TAXII 2.1, REST API, Webhook direkt an die Security-Plattformen des Kunden. Keine Verzögerung durch manuelle Pipelines.

    Confidence ScoringTTL RotationSTIX 2.1 / TAXII 2.1Automated Distribution
Tracking-Kategorien

Fünf Tool-Familien · kontinuierlich getrackt.

Der Fortgale-Feed deckt fünf Hauptfamilien offensiven Toolings ab. Für jede eine spezifische Tracking-Methodik und distinkte Indikatoren.

Kategorie 01

C2-Framework-Tracking

Cobalt Strike · Sliver · Brute Ratel · Havoc · Mythic

Command-&-Control-Frameworks sind das operative Herz nahezu jeder modernen Intrusion. Fortgale trackt kontinuierlich Konfigurationen, Watermarks, Certificate Fingerprints, Malleable Profiles und TLS-Signaturen der wichtigsten C2-Frameworks — sowohl kommerziell geleakte (Cobalt Strike, Brute Ratel) als auch Open-Source (Sliver, Havoc, Mythic).

  • Cobalt Strike Config Parsing Automatische Extraktion von sleep_time, jitter, spawn_to, Malleable HTTP Profile, Watermark, Server Certificate. Identifikation geleakter Versionen (Watermark 0) und Cracked Builders.
  • TLS / JA3 Fingerprint Tracking von Certificate Thumbprint, JA3/JA3S-Signatur, Custom CA Pattern. Unterscheidung zwischen legitimen Deployments (Red-Team-Verträge) und krimineller Infrastruktur.
  • Sliver C2 Indicators Implant Configuration, Beacon Timing, Transport (mTLS, HTTPS, DNS, WireGuard), Staging URI Pattern. Sliver wächst 2024-2026 stark als Open-Source-Alternative.
  • Brute Ratel C4 Kommerzielles Tooling, 2022 geleakt, heute weitgehend missbraucht. Tracking von License Fingerprint, Profile Signature, Default URI Pattern.
  • Havoc · Mythic · Open-Source C2 Profile Fingerprinting, Default Port Pattern, Certificate Generation Pattern, Agent Configuration Tracking.
Kategorie 02

Infostealer-Tracking

Lumma · RedLine · Vidar · StealC · Raccoon · Atomic

Infostealer sind die Hauptquelle gestohlener Zugangsdaten auf kriminellen Marktplätzen und der häufigste Einstieg in Ransomware-Intrusionen. Fortgale trackt Kampagnen, C2-Panels, Build-Versionen, Konfigurationen und Distributions-Infrastrukturen.

  • Lumma Stealer (LummaC2) Top-Infostealer 2024-2025, MaaS, via Telegram vertrieben. Tracking von C2-Panel, Build-ID, Exfiltration-Endpoint, Telegram-Channel des Sellers, Payload-Delivery-Pattern.
  • RedLine · Vidar · StealC Legacy-Familien, weiterhin aktiv 2025-2026. Tracking von C2-IP, Config-Decoder, Encryption Key, Mutex Pattern, Build-ID-Serien.
  • Atomic / macOS Infostealer AMOS, Banshee, Cthulhu — das macOS-Ökosystem ist schnell gewachsen. Tracking der Delivery via Fake Installer (Homebrew, Cracked Apps, Sponsored Google Ads), C2-Endpoint, Exfiltration Pattern.
  • Delivery Infrastructure Fake CAPTCHA Pages (ClickFix), SEO Poisoning, Malvertising via Google Ads, GitHub Release Abuse, YouTube-Description-Links.
  • Stolen-Log-Marketplace-Mapping Tracking von Russian Market, Genesis Market (post-Takedown), Telegram-Log-Channels — Korrelation zwischen Infostealer-Build und zum Verkauf stehenden Logs.
Kategorie 03

Phishing-Kit-Tracking

Tycoon · Mamba · EvilProxy · W3LL · Caffeine · Greatness

Moderne AiTM-Phishing-Kits umgehen MFA, fangen Session-Cookies ab und replizieren Microsoft-/Google-Flows. Fortgale trackt Kits, Delivery-Infrastruktur, Admin-Panels und Operatoren.

  • Tycoon 2FA AiTM-Premier-Kit 2024-2026, Ziel Microsoft 365 / Google Workspace. Tracking von Landing-Page-Signatur, Redirect Chain, Cloudflare Worker Abuse, gebrandetem Asset Reuse.
  • Mamba 2FA · EvilProxy · W3LL Direkte Konkurrenten von Tycoon. Distinkte Fingerprints auf Landing-Struktur, Session-Hijack-Flow, Custom JavaScript Injectors.
  • Caffeine · Greatness · NakedPages Ältere Phishing-as-a-Service-Kits, weiterhin aktiv. Tracking von Templates, Panel-Admin-URL-Pattern, Telegram-Seller-Channel.
  • Delivery Infrastructure Tracking bevorzugter Registrar (Namesilo, Reg.ru), Cloudflare-Tunnel-Pattern, kompromittiertes WordPress-Hosting, Let's-Encrypt-Certificate-Fresh-Issuance.
  • DACH-targeted Kits Kits mit deutschsprachig nativer Copy (keine maschinelle Übersetzung), gebrandet auf DACH-Banken (Sparkasse, DKB, ING, Commerzbank, Deutsche Bank, Postbank), Steuerportale, Finanzamt-Mimicking.
Kategorie 04

Worms, Loader, IAB-Tooling

Raspberry Robin · SystemBC · Matanbuchus · BumbleBee · IcedID

Worms, Loader und Initial-Access-Broker-Tooling sind der bevorzugte Eintritts-Vektor der Top-Ransomware-Gruppen (RansomHub, Akira, LockBit). Sie zu tracken bedeutet, die Intrusion 7-30 Tage zu sehen, bevor sie zu Ransomware wird.

  • Raspberry Robin USB-Worm → IAB. Tracking von msiexec-Abuse-Pattern, Tor Onion C2, fodhelper.exe Persistence, Follow-on-Downloader (FakeUpdates, IcedID, BumbleBee).
  • SystemBC SOCKS5-Proxy-Malware. Häufige Paarung mit RansomHub, LockBit, Cl0p. Tracking von C2-IP-Rotation, Configuration Extraction, Encryption Key.
  • Matanbuchus · BumbleBee · IcedID MaaS-Loader — verteilen Follow-on (Cobalt Strike, Ransomware). Tracking von Packer, C2-Protocol-Fingerprint, Configuration-Server-Pattern.
  • PrivateLoader · SmokeLoader Commodity-Loader, weiterhin aktiv 2025-2026. Tracking von Affiliate-ID, C2-Panel, Traffic Distribution.
  • FakeUpdates / SocGholish Fake Browser Update, massiver Eintrittsvektor. Tracking von kompromittiertem WordPress, Payload-URL-Pattern, Post-Exploitation Persistence.
Kategorie 05

APT-Tooling & State-Affiliated

Tooling staatlicher Gruppen, getrackt gegen Europa

Von oder für staatliche APT-Gruppen entwickeltes Tooling: Custom Backdoors, signierte RATs, fortgeschrittene Persistence Kits, Lateral-Movement-Frameworks. Fortgale trackt die technischen Artefakte, wenn sie in realen Vorfällen beobachtet oder von CERT/Research Community veröffentlicht werden.

  • Russian-affiliated Tooling GoldMax, GoldFinder, SombRAT, Custom RATs mit Language Artifacts. Tracking von Builder Signature, C2 Protocol, Persistence Pattern.
  • Chinese-affiliated Tooling PlugX, ShadowPad, Korplug-Varianten, Custom DLL Sideloading. Tracking von Loader Hash, Decryption Key Pattern, Mutex Naming.
  • Iranian-affiliated Tooling DEV-0270, MuddyWater Tooling, Custom PowerShell Framework. Tracking von Obfuscation Pattern, C2 Endpoint.
  • North-Korean-affiliated Tooling Lazarus Toolset (Manuscrypt, BeaverTail, AppleJeus), JS-basierte Delivery, Supply Chain Compromise via npm/PyPI.
  • EU-targeted Custom Tooling Tooling, spezifisch für europäische Ziele entwickelt — BrokerLoader (Nebula Broker), Tooling nicht-staatlicher Operatoren mit Custom Capabilities.
Unter den meist-getrackten

Sieben Tools, die der Feed kontinuierlich überwacht.

Ein Auszug der 180+ vom CTI-Team getrackten Tools und Akteure: vom verbreitetsten C2-Framework (Cobalt Strike) zum dominanten Infostealer 2024-2026 (Lumma), vom meistgenutzten AiTM-Kit in Europa (Tycoon 2FA) zum Initial Access Broker, der die Top-Ransomware speist (Raspberry Robin).

C2 Framework · 2012-aktiv

Cobalt Strike

Cobalt Strike · kommerziell (leaked)
Typ
Beacon C2 Framework
Tracking
Config Parsing · Watermark · TLS Fingerprint · Malleable Profile

Das weltweit am meisten getrackte C2-Framework. Fortgale parst automatisch Beacon-Konfigurationen aus realen Samples und Internet-Scans (Shodan-style), trackt Watermarks geleakter Versionen, TLS-Fingerprints der Team Server, Malleable C2 Profile Patterns. Indicator Turnover: 100-500 neue Server / Woche getrackt.

Watermark TrackingMalleable ProfileTLS FingerprintTop Tracked
Tracking · Top IOCs anfordern →
Infostealer · 2022-aktiv · Top 2025

Lumma Stealer

Lumma Stealer · MaaS
Typ
Information Stealer · Credentials, Cookies, Crypto Wallets
Tracking
C2 Panel · Build ID · Telegram Channel · Delivery URL

Der dominante Infostealer 2024-2026. Vertrieb als MaaS über Telegram, mit bekanntem Builder und C2-Panel. Fortgale trackt C2-Panel-Hostname-Rotation, Build-ID-Serien, Telegram-Channel des Sellers, Delivery-URL-Pattern (ClickFix, SEO Poisoning, Malvertising).

MaaSTelegram-distributedClickFix DeliveryTop Stealer 2025
Tracking · Top IOCs anfordern →
Phishing Kit · 2023-aktiv

Tycoon 2FA

Tycoon 2FA · AiTM Phishing Kit
Typ
Adversary-in-the-Middle MFA Bypass · Microsoft 365 · Google
Tracking
Landing Page Signature · Cloudflare Worker · Redirect Chain · Session Hijack

AiTM-Premier-Kit, das MFA auf Microsoft 365 und Google Workspace umgeht. Tracking von Landing-Page-Signatur, Cloudflare-Worker-Abuse für Delivery, Redirect Chain über legitime Services (Google, YouTube), Session-Cookie-Exfiltration-Pattern.

AiTM · MFA BypassM365 · GoogleCloudflare AbuseDACH-targeted
Tracking · Active IOCs anfordern →
C2 Framework · 2019-aktiv · wachsend

Sliver

Sliver · Open-Source C2 (BishopFox)
Typ
Cross-Platform C2 Framework · Go-based
Tracking
Implant Config · TLS Cert · Staging URI · Transport Pattern

Open-Source-Alternative zu Cobalt Strike, stark wachsend 2024-2026 als kriminelles Tooling. Fortgale trackt Implant Configuration, Default Certificate Generation, Staging URI Pattern, Transport (mTLS, HTTPS, DNS, WireGuard) Fingerprint.

Open-SourceGo-basedwachsend 2025-26Cross-Platform
Tracking · Active IOCs anfordern →
Worm / IAB · 2021-aktiv

Raspberry Robin

Raspberry Robin · DEV-0856 / Storm-0856
Typ
USB Worm → Initial Access Broker
Tracking
msiexec Pattern · Tor C2 · Persistence Keys · Follow-on Downloader

USB-Worm, entwickelt zum führenden Initial Access Broker für Ransomware-Gruppen. Tracking von msiexec chained mit regsvr32, fodhelper.exe Persistence, Tor Onion C2, Follow-on Downloader (FakeUpdates, IcedID, BumbleBee, Matanbuchus).

IAB Pre-RansomwareUSB WormTor C2Top EU 2025-26
Tracking · Top IOCs anfordern →
Loader / Proxy · 2018-aktiv

SystemBC

SystemBC · SOCKS5 Proxy Malware
Typ
Proxy Malware · Ransomware Pairing
Tracking
C2 IP Rotation · Config Extraction · Encryption Key · Mutex

SOCKS5-Proxy-Malware mit häufiger Paarung mit Top-Ransomware (RansomHub, LockBit, Cl0p). Tracking von C2-IP-Rotation-Pattern, automatisierter Config Extraction, Encryption Key pro Familie, Mutex-Naming-Convention.

Ransomware PairingSOCKS5 ProxyLong-runningCross-Family
Tracking · Top IOCs anfordern →
Loader · 2021-aktiv · MaaS

Matanbuchus

Matanbuchus · MaaS Loader
Typ
Loader-as-a-Service · Pre-Ransomware
Tracking
Packer · C2 Protocol · Configuration Server · Build ID

MaaS-Loader, der Follow-on Cobalt Strike, Ransomware, Infostealer verteilt. Tracking von Packer Fingerprint, C2-Protocol-HTTPS-Pattern, Configuration-Server-Hostname, Build-ID-Serien. Häufig gepaart mit High-Conversion-Phishing-Kampagnen.

MaaS LoaderPre-Cobalt StrikePhishing-deliveredMaaS
Tracking · Active IOCs anfordern →
Native Integrationen

Integriert sich in den Stack, den Sie bereits haben.

Der Fortgale-Feed ist darauf ausgelegt, sich in die bestehenden Prozesse Ihres SOC-Teams einzufügen, ohne Plattform-Migration zu erfordern. Offene Standards (STIX 2.1 / TAXII 2.1) und native Konnektoren für die wichtigsten SIEM, EDR/XDR, Firewall, IDS/IPS.

Standards & Protokolle
STIX 2.1TAXII 2.1MISPOpenCTIJSON / CSV Dump
SIEM
SplunkElastic SecurityMicrosoft SentinelIBM QRadarSumo LogicGoogle Chronicle
EDR · XDR
CrowdStrike FalconSentinelOne SingularityMicrosoft Defender for EndpointPalo Alto Cortex XDRTrend Micro Vision OneSophos Intercept X
Firewall · NGFW
Palo Alto NetworksFortinet FortiGateCheck Point QuantumCisco Secure FirewallSophos XGS
IDS/IPS · NDR
SuricataSnortZeek (Bro)Vectra AIDarktraceCisco Stealthwatch
Delivery Channel
TAXII 2.1 EndpointREST API (OAuth2)Webhook (Slack · Teams · Discord)E-Mail DigestMISP Federation

Typischer Onboarding-Effort · 2-5 Werktage für native Konnektoren. Custom Integrations werden fallweise bewertet.

Qualität · Methodik

Expliziter Confidence Score. False Positives unter Kontrolle.

Jeder Indikator im Feed erhält einen Confidence Score (high / medium / low / deprecated) und eine TTL (Time-to-Live) basierend auf der typischen Rotation des Akteurs oder der Infrastruktur. Kein generisches "malicious"-Flag ohne Kontext.

High

Mehrfach-Validierung

Indikator, validiert durch realen Vorfall, bearbeitet von Fortgale-Services (SOC/MDR/IR) oder durch mehrere unabhängige Beweise auf krimineller Infrastruktur. Ziel-Rate False Positives <0,5%.

Medium

Einzelne Quelle, kohärenter Kontext

Indikator, beobachtet in einer einzigen Quelle mit kohärenten kontextuellen Beweisen, oder in externer zuverlässiger Quelle, noch nicht intern verifiziert. Empfohlen für Alerting/Triage, nicht für automatisches Blocking.

Low

Kandidat in Wartestellung

Kandidat-Indikator mit einzelnem Overlap-Element, wartet auf Validierung. Separat verteilt für Analysten, die Early-Stage-Sichtbarkeit wollen, nicht für automatische Detection.

Deprecated

TTL abgelaufen · flagged

Indikator mit abgelaufener TTL oder durch neue Beweise invalidiert. Verbleibt im Feed mit explizitem Flag, um versehentliche Wiedereinführung zu vermeiden und Retro-Analyse auf historischen Logs zu unterstützen.

Der Output

Wie der Feed ausgeliefert wird.

Vier Distributionskanäle, gewählt nach technischem Stack und Prozessen des Kunden. Offene Standards für automatische Integration, Legacy-Formate für Setups ohne Automation.

01

Dedizierter TAXII 2.1 Endpoint

TAXII 2.1 Endpoint mit kundenspezifischen Credentials, konfigurierbares Polling (15-60 Minuten typisch). STIX 2.1 Bundles mit Indicators, Malware, Threat-Actor, Attack-Pattern, Course-of-Action Objects.

02

REST API · OAuth2

REST API mit OAuth2-Authentifizierung, Query nach Typ (IP / Domain / Hash / YARA / Sigma), nach Familie, nach TTL Window. Vollständige OpenAPI-3.1-Dokumentation für Custom Integration.

03

Webhook Real-time

Sofortiger Push von High-Confidence-Indikatoren, sobald erzeugt. Delivery via HTTP Webhook, native Integration mit Slack, Microsoft Teams, Discord. SLA < 5 Minuten ab Validierung.

04

File Dump · E-Mail Digest

Für Legacy-Systeme: CSV-/JSON-/MISP-Dump täglich oder wöchentlich via SFTP/HTTPS. Wöchentlicher E-Mail-Digest für CISO mit statistischer Zusammenfassung (Volumen, Novel Indicators, Top-Akteure, betroffene Sektoren).

Technische Ehrlichkeit

Wann ein Custom-Feed nicht sinnvoll ist.

Ein Custom-Threat-Intelligence-Feed ist nur sinnvoll, wenn die Organisation die technische Fähigkeit besitzt, ihn zu konsumieren: ein SIEM/EDR/Firewall, das TI-Integration via STIX/TAXII oder API unterstützt, und ein SOC-Team mit Kapazität, eine neue Source zu integrieren und zu verwalten.

Wenn eines dieser beiden Elemente fehlt, erzeugt der Feed nur ungenutztes Rauschen. In diesen Fällen sind vertikale Sektor-Advisories (Capability 03) oder ein periodisches Executive Briefing (Capability 04) effizienter — beide ohne technische Integration konsumierbar.

Sind Sie unsicher, ob Sie ihn brauchen? Sprechen Sie mit uns. Wenn Sie ihn nicht brauchen, sagen wir Ihnen das.

Integration

Der Feed ist Teil eines größeren Systems.

Die IOCs des Feeds speisen die Detection des SOC/MDR Fortgale, unterstützen Incident Response in Echtzeit und kombinieren sich mit Threat Actor Profiling, um Intelligence im Kontext Ihrer Vorfälle zu produzieren.

SOC · 24·7·365

Vom Feed gespeiste Detections

Jedes neue IOC fließt automatisch in die Regeln des Fortgale SOC ein. Die Detection wird in Echtzeit mit dem Kontext der Akteure angereichert, die den Indikator erzeugt haben.

SOC entdecken →
MDR · erweiterte Erkennung

MDR mit proprietärer TI

Fortgale MDR nutzt nicht nur die EDR-Vendor-Regeln: Sie werden mit dem proprietären Feed angereichert, was die Detection Rate erhöht und False Positives reduziert.

MDR entdecken →
CTI · Capability 01

Kombiniert mit TA Profiling

Der Feed beantwortet "ist dieses IOC malicious?". Threat Actor Profiling beantwortet "wer steht hinter diesem IOC?". Zusammen erzeugen sie kontextualisierte Intelligence.

TA Profiling entdecken →
CTI · Sister Capability

Die anderen 6 CTI-Capabilities

Threat Actor Profiling · Vertikale Advisories · Executive Briefing · Deep & Dark Web · Attack Surface Management · Brand & Social Intelligence. Der Feed ist Capability 02 von 7.

Alle Capabilities ansehen →
Für den Vorstand

Drei Slides zur Rechtfertigung der Investition.

Der CISO bewertet den Feed technisch. Der Vorstand fragt nach ROI, Quellen, Integration. Fortgale bereitet das vor · drei essenzielle Slides.

01 · Die Investition

Kosten der Custom Threat Intelligence vs generische kommerzielle Feeds · erwarteter ROI in Detection Rate Increment und MTTR-Reduktion.

02 · Die Quelle

Aus realen Vorfällen der Fortgale-Services und proaktiver Forschung erzeugte Indikatoren, nicht rückgekauft von Aggregatoren, die mit Hunderten anderer Kunden geteilt werden.

03 · Die Integration

Bestehender Security-Stack · Standard STIX/TAXII-Integration · typischer Onboarding-Effort 2-5 Tage · automatische Rotation und Validierung.

Das «3-Slides-Vorstands»-Pack ist im Feed-Onboarding enthalten · auch on-demand verfügbar.

FAQ

Häufige Fragen zum Threat Intelligence Feed.

Woher stammen die IOCs des Fortgale-Feeds?

Aus drei konvergenten Quellen: ① den realen Vorfällen, täglich bearbeitet durch die SOC-, MDR- und Incident-Response-Services Fortgale; ② der aktiven Forschung des CTI-Teams zu Threat Actors und krimineller Infrastruktur; ③ dem kontinuierlichen Tracking bekannter offensiver Tools (Cobalt Strike, Sliver, Infostealer, Phishing-Kits, Worms, APT-Tooling). Es sind intern produzierte Indikatoren, nicht rückgekauft von Aggregatoren, die mit anderen Kunden geteilt werden.

Wie viele Tools und Threat Actors werden getrackt?

Über 180 offensive Tools und Threat Actors, profiliert vom CTI-Team Fortgale. Inklusive C2-Frameworks (Cobalt Strike, Sliver, Brute Ratel, Havoc, Mythic), Infostealern (Lumma, RedLine, Vidar, StealC, Raccoon, Atomic), Phishing-Kits (Tycoon 2FA, Mamba 2FA, EvilProxy, W3LL, Caffeine), Worms (Raspberry Robin), Loadern (SystemBC, Matanbuchus, BumbleBee, IcedID) und Tooling staatlicher APT- und Cybercrime-Gruppen.

Welche Formate und Protokolle unterstützt der Feed?

Standards: STIX 2.1 / TAXII 2.1. Channels: REST API mit OAuth2, Webhook (Slack, Teams, Discord), E-Mail-Digest, File Dump (CSV, JSON, MISP). Custom Threat Intelligence Integration auf den wichtigsten MDR- und SIEM-Plattformen (Splunk, Elastic, Sentinel, QRadar, Sumo, Chronicle, CrowdStrike, SentinelOne, Defender for Endpoint, Cortex, Trend Micro Vision One).

Wie funktionieren Confidence Score und TTL der Indikatoren?

Jedes IOC hat einen Confidence Score (high/medium/low/deprecated) basierend auf der Quelle und der Anzahl unabhängiger Beweise, sowie eine TTL (Time-to-Live) basierend auf der typischen Rotations-Kadenz des Akteurs. Beispiel: Eine durch realen Vorfall validierte Cobalt Strike C2-IP hat Confidence high und TTL 14-30 Tage; ein Malware-Hash Confidence high und persistente TTL; eine neu registrierte Phishing-Kit-Domain Confidence medium und TTL 48-72 Stunden.

Enthält der Feed auch YARA-Regeln, Sigma-Regeln und Snort/Suricata?

Ja. Zusätzlich zu atomaren IOCs (IPs, Domains, Hashes, URLs) enthält der Feed YARA-Regeln zur Erkennung von Malware-Samples auf dem Filesystem, Sigma-Regeln zur Verhaltenserkennung auf SIEM, Snort/Suricata-Regeln für IDS/IPS. Alle intern vom CTI-Team auf Basis realer analysierter Samples entwickelt.

Kann ich nur spezifische Indikator-Typen erhalten (z.B. nur Ransomware C2)?

Ja. Der Feed ist nach Kategorie filterbar: Indikator-Typ (IP, Domain, Hash, URL, YARA, Sigma), Malware-/Kit-/C2-Familie, Akteurs-Gruppe, Viktimologie-Sektor, Geografie, minimaler Confidence Score. Konfiguration erfolgt im Onboarding und ist über Konsole oder API anpassbar.

Wann ist die Aktivierung eines Custom-TI-Feeds NICHT sinnvoll?

Wenn die Organisation kein SIEM/EDR/Firewall besitzt, das Custom-Threat-Intelligence-Integration unterstützt, oder wenn das Security-Team keine Kapazität hat, einen neuen Feed zu integrieren. In diesen Fällen ist es effizienter, zunächst vertikale Sektor-Advisories (Capability 03) oder ein periodisches Executive Briefing (Capability 04) zu aktivieren, die keine technische Integration erfordern.

Mit dem Feed starten

Sehen Sie sofort, was in Ihren Stack einfließen würde.

Fordern Sie ein Feed-Sample an: 7 Tage real-world Indikatoren mit Confidence Score, TTL und Attribution. Testen Sie es in Ihrem SIEM/EDR ohne Verpflichtung · bewerten Sie False Positives, Coverage, Integration.

Antwortzeit: < 1 Werktag.