top of page
Suche

Import von öffentlichen Threat-Intelligence-Feeds in eine MISP-Instanz

Warum öffentliche Feeds verwenden?

Öffentliche Threat-Intelligence-Feeds sind eine leistungsstarke Möglichkeit, eine MISP-Instanz mit aktuellen Indicators of Compromise (IOCs) aus vertrauenswürdigen Quellen wie CIRCL,  Abuse.ch und anderen zu bereichern. Diese Feeds – ob im MISP-Format, als CSV oder sogar als Freitext – lassen sich problemlos über entfernte oder lokale URLs importieren und können automatisch nach Zeitplan aktualisiert werden.

MISP bietet eine einfache Verwaltung, den Import sowie das Teilen von Feed-Definitionen über mehrere Instanzen hinweg. Feed-Konfigurationen lassen sich auch im JSON-Format exportieren und wieder importieren, was besonders in kollaborativen oder verteilten Umgebungen von Vorteil ist.

Egal ob beim Einstieg oder beim Betrieb von MISP als Service – die Integration öffentlicher Feeds ist ein schneller Mehrwert mit direktem Nutzen: Frühzeitige Einblicke in neue Bedrohungen bei minimalem Konfigurationsaufwand.


Voraussetzungen:

  • Zugriff auf eine MISP-Instanz

  • Administrator- oder Sync-Berechtigungen


Schritt 1: Anmeldung an der MISP-Instanz

Über einen Webbrowser beim MISP-Dashboard anmelden.Diese Instanz wurde im Rahmen des goMISP-Services eingerichtet und vollständig vorkonfiguriert – alles ist bereit zur Nutzung.

ree













Beispiel von einer MISP-Instanz: https://instance123.eu.gomisp.com

Use your assigned username and password to sign in. Once you're in, you'll be taken to the main dashboard where you can start working with threat intelligence data.


Schritt 2: Zum Bereich Feed Management navigieren

Sync Actions → Feeds

ree

Diese Seite listet eine Vielzahl öffentlicher und integrierter Feeds auf, die in MISP verfügbar sind.Feeds sind externe Quellen für Threat Intelligence, zum Beispiel Malware-Hashes, Phishing-Domains, IP-Adressen und andere Indicators of Compromise (IOCs).

Jeder Feed enthält Metadaten wie die Quelle, die Aktualisierungshäufigkeit und den Typ der enthaltenen Indikatoren.


Schritt 3: Feeds aktivieren

Die verfügbaren Feeds durchsuchen und die gewünschten Feeds zur Aktivierung auswählen. Zum Aktivieren eines Feeds einfach auf die Schaltfläche „Enable“ klicken.

ree

Tipp: Es empfiehlt sich, mit bekannten und vertrauenswürdigen Feeds wie  CIRCL OSINT, Abuse.ch ThreatFox, oder CVE Update Feed. zu beginnen.

Nach der Aktivierung sind die Feeds bereit, um Daten in die MISP-Instanz zu laden.


Schritt 4: Fetch Feed-Daten

Nach der Aktivierung müssen die Daten initial manuell abgerufen werden. Dies erfolgt über die Web-Oberfläche.

In der Übersicht der aktivierten Feeds kann über „Fetch“ neben dem jeweiligen Feed der Import gestartet werden. Alternativ kann „Fetch all“ verwendet werden, um alle aktivierten Feeds gleichzeitig abzurufen.

  • Je nach Größe des Feeds kann dieser Vorgang eine bis zwei Minuten in Anspruch nehmen.

ree


Schritt 5: Importierte Events überprüfen

Nach dem Abrufen der Feeds zu Event Actions → List Events navigieren

ree

Hier werden neu erstellte Events angezeigt, die aus den soeben importierten Feeds stammen.

Diese Events lassen sich mithilfe von Tags wie OSINT oder nach dem Namen des Feeds filtern.

Durch Klick auf ein Event werden die enthaltenen Indikatoren (Attribute) angezeigt - z. B. IP-Adressen, Domains, Dateihashes, URLs usw. Diese können anschließend mit eigenen Daten korreliert oder für weiterführende Analysen exportiert werden.

  • MISP korreliert Indikatoren automatisch zwischen verschiedenen Events, um Muster und verknüpfte Bedrohungen leichter zu erkennen.


Schritt 6: Standard-Feed-Metadaten laden

Die MISP-Plattform erleichtert den Einstieg mit einer Vielzahl an Open-Source-Feeds für Threat Intelligence.Mit einem Klick auf die Schaltfläche „Standard-Feed-Metadaten laden“ im Bereich Feeds wird die Instanz sofort mit einer kuratierten Liste nützlicher Feeds befüllt.


ree

Nach dem Laden der Feed-Metadaten erscheint eine Bestätigungsmeldung und es kann ausgewählt werden, welche Feeds aktiviert werden sollen.


ree


Diese Definitionen werden anschließend als neue Feed-Einträge in die Datenbank übernommen – mit einem durchdachten Mechanismus: MISP prüft jede Feed-URL, um doppelte Einträge zu vermeiden. Existiert bereits ein Feed mit derselben URL im System, wird dieser automatisch übersprungen. Das bedeutet:

  • Lokale Anpassungen bleiben erhalten (z. B. benutzerdefinierte Namen, Verteilungseinstellungen oder Aktivierungsstatus)

  • Manuelle Konfigurationen gehen nicht verloren

  • Neue Standardwerte können gefahrlos geladen oder aktualisiert werden, ohne bestehende Daten zu beeinflussen

Dieses durchdachte Design sorgt dafür, dass MISP sowohl benutzerfreundlich als auch administrativ sicher bleibt.


 
 

Aktuelle Beiträge

Alle ansehen
  • LinkedIn
  • Bluesky_logo_(black).svg

WALLSEC GmbH

Industriestraße 44

69190 Walldorf

Germany

Zur Startseite

Datenschutz

Über uns

Kontakt

2025 © WALLSEC GmbH - IT Security Consulting. All rights reserved.

bottom of page