π‘οΈ Automated Threat Intelligence & Malware Analysis Platform
Enterprise-Grade Security Automation fΓΌr Finanzinstitute
Executive Summary
FΓΌr CISOs und IT-Sicherheitsverantwortliche
Die Herausforderung: Finanzinstitute sind tΓ€glich Tausenden von E-Mail-basierten Bedrohungen ausgesetzt. Manuelle Analyse ist zeitintensiv, fehleranfΓ€llig und skaliert nicht mit der Bedrohungslage. Obendrein verfΓΌgen die jeweiligen Sachbearbeiter nicht unbedingt ΓΌber die notwendigen Fachkenntnisse um Phishing gesichert zu erkennen.
Die LΓΆsung: Eine vollautomatisierte, KI-gestΓΌtzte Plattform zur Erkennung und Analyse von Malware und Phishing-Angriffen. Entwickelt speziell fΓΌr die Anforderungen des Bankensektors mit vollstΓ€ndiger Compliance zu MaRisk, BAIT und DORA.
Der Mehrwert:
- 99% Zeitersparnis bei der Malware-Analyse (von Stunden auf Minuten)
- Zero-Day Erkennung durch Verhaltensanalyse in isolierten Sandboxen
- KI-gestΓΌtzte Phishing-Erkennung mit ITSO Level 3 Expertise
- Automatische Threat Intelligence Integration mit MISP
- VollstΓ€ndige Audit-Trails fΓΌr regulatorische Anforderungen
Key Metrics
| Metrik | Wert | |--------|------| | Durchschnittliche Analysezeit | < 2 Minuten | | VerfΓΌgbarkeit | 24/7 vollautomatisch | | Banking-Compliance | 100% | | False Negatives bei Zero-Day | 0 |
β Proof of Concept erfolgreich absolviert: Das System analysiert seit Januar 2026 produktiv Malware und Phishing-Mails mit einer Erkennungsrate von >95% und vollstΓ€ndiger Integration in bestehende SOC-Prozesse.
Architektur
High-Level Γbersicht
Die Plattform besteht aus vier integrierten Hauptkomponenten, die nahtlos zusammenarbeiten:
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β E-MAIL GATEWAY β
β (VerdΓ€chtige AnhΓ€nge/Links) β
ββββββββββββββββββββββββββ¬βββββββββββββββββββββββββββββββββββββββββ
β
βΌ
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β CAPE MAILER (Orchestrator) β
β ββββββββββββββββ ββββββββββββββββ ββββββββββββββββββββββββ β
β β Mail Parser ββ β File Handler ββ β Routing Engine β β
β ββββββββββββββββ ββββββββββββββββ ββββββββββββββββββββββββ β
ββββββββββ¬βββββββββββββββββββββ¬βββββββββββββββββββββ¬βββββββββββββββ
β β β
βΌ βΌ βΌ
βββββββββββββββββββ βββββββββββββββββββ ββββββββββββββββββββββββ
β CAPEV2 SANDBOX β β OLLAMA AI β β MISP INTEGRATION β
β β β β β β
β β’ Dynamic β β β’ Qwen2.5 Model β β β’ Event Creation β
β Analysis β β β’ Banking β β β’ IOC Sharing β
β β’ Behavioral β β Context β β β’ TLP:AMBER β
β Detection β β β’ ITSO Level 3 β β β’ Workflow Tags β
β β’ Network β β β’ Phishing β β β’ Auto-Correlation β
β Simulation β β Detection β β β
βββββββββββββββββββ βββββββββββββββββββ ββββββββββββββββββββββββ
Komponenten-Details
π§ CAPE Mailer v2.4.1
Zentrale Orchestrierung
- Automatische E-Mail-Verarbeitung (IMAP/Exchange)
- Intelligente Datei-Extraktion inkl. Passwort-geschΓΌtzte Archive
- Routing zu CAPEv2, Ollama oder MISP
- Loop-Prevention & Mailbox-Management
π¬ CAPEv2 Sandbox
Malware-Verhaltensanalyse
- VollstΓ€ndig isolierte Windows-VMs
- Dynamische Code-Analyse
- Network Traffic Simulation (INetSim)
- Packing/Obfuscation Detection
- YARA-Rule Matching
π€ Ollama AI (Qwen2.5)
KI-gestΓΌtzte Threat Assessment
- ITSO Level 3 Security Analyst Simulation
- Banking-spezifische Threat-Patterns
- CEO-Fraud & BEC Detection
- Automatische Risikobewertung (HIGH/MEDIUM/LOW)
π MISP v2.5.31
Threat Intelligence Platform
- Automatische Event-Erstellung
- IOC-Sharing (TLP:AMBER)
- Integration mit BSI/CERT-Bund
- Community Threat Feeds
Features
1. Automatisierte Malware-Analyse
π¦ VollstΓ€ndige Archiv-UnterstΓΌtzung
- ZIP, 7z, RAR mit automatischer Passwort-Erkennung
- Magic Bytes Detection (keine AbhΓ€ngigkeit von Dateiendungen)
- Verschachtelte Archive werden rekursiv entpackt
- UnterstΓΌtzte Passwort-Muster: "infected", "malware", "virus", etc.
π¬ Behavioral Analysis in CAPEv2
- Prozess-Monitoring: Alle Prozess-Starts, DLL-Injections, Code-Injections
- Filesystem-Monitoring: Dateierstellung, -modifikation, -lΓΆschung
- Registry-Monitoring: Alle Registry-Γnderungen (Persistence-Mechanismen)
- Network-Monitoring: DNS-Queries, HTTP/HTTPS-Requests, C2-Kommunikation
- API-Call Tracing: VollstΓ€ndige API-Call-Historie
Ergebnis: Detaillierter JSON-Report mit allen IOCs, YARA-Matches, Verhaltens-Scores
2. KI-gestΓΌtzte Phishing-Erkennung
π§ Ollama LLM Integration (aktuel Qwen2.5 - 32B Parameter)
Banking-optimiertes Prompt Engineering:
- Analyse auf CEO-Fraud, BEC (Business Email Compromise), Wire Transfer Fraud
- Typosquatting-Detection (z.B. "deutsche-baink.de")
- DMARC/SPF/DKIM-Header-Validation
- Mail-Routing-Analyse (TLS/Cipher-Checks, ARC-Header)
- URL-Risikoanalyse via Tor (anonymisiert)
Output: Risikobewertung (HIGH/CRITICAL/MEDIUM/LOW) mit detaillierter BegrΓΌndung
π― Multi-Source OSINT Integration
Jede Phishing-Mail wird gegen 10+ Threat Intelligence-Quellen geprΓΌft:
- AlienVault OTX: IP/Domain/URL Reputation
- AbuseIPDB: IP-Blacklisting & Abuse Reports
- VirusTotal: Multi-Engine Malware-Scanning
- URLScan.io: URL-Screenshot & Verhaltensanalyse
- Google Safe Browsing: Phishing/Malware-DB
- Spamhaus: IP/Domain Blacklists
- IPQualityScore: Fraud-Detection
- CIRCL, FeodoTracker, URLhaus: Spezial-Feeds
Threat-Score-Aggregation: Alle Quellen werden gewichtet und zu einem Gesamt-Threat-Score zusammengefasst
3. Intelligente Verdict-Logik
π€ AI-Override-Mechanismus
Problem gelΓΆst: Klassische Scoring-Systeme ΓΌbersehen oft subtile Phishing-Indikatoren.
LΓΆsung: Wenn Ollama "HIGH" oder "CRITICAL" erkennt, wird der Verdict IMMER auf "MALICIOUS" gesetzt - unabhΓ€ngig vom numerischen Risk-Score!
Pattern-Matching: Robustes Regex erkennt "Risikobewertung: HIGH" auch ΓΌber ZeilenumbrΓΌche und Markdown-Formatierung hinweg
4. MISP Threat Intelligence Sharing
π€ Automatische Event-Erstellung
Trigger-Logik: Events werden erstellt bei:
- Verdict β₯ "suspicious" ODER
- Risk Score β₯ 40 ODER
- Ollama-Keywords: "high", "critical", "phishing", "credential theft", etc.
Event-Struktur:
- Distribution: Your organization only (TLP:AMBER)
- Threat Level: Dynamisch (malicious=High, suspicious=Medium)
- Description: VollstΓ€ndige Ollama AI-Bewertung (bis 2000 Zeichen)
- IOCs: email-src, ip-src, url, domain, email-headers
- Tags: phishing, banker, typosquatting, credential-theft, ceo-fraud, workflow:todo="review"
5. Compliance & Audit-Trail
π VollstΓ€ndige Dokumentation
- HTML-Reports: Detaillierte Analyseberichte fΓΌr jeden Sample/Phishing-Mail
- JSON-Logs: Strukturierte Logs fΓΌr Splunk/SIEM-Integration
- MISP-Events: Permanente Threat Intelligence Records
- PostgreSQL-Datenbank: Alle Analysen historisch nachvollziehbar
- Timestamps: Jeder Schritt wird mit Zeitstempel versehen
Compliance
Regulatorische Compliance
β
MaRisk AT 7.2
β
BAIT
β
DORA
β
ISO 27001
β
BSI IT-Grundschutz
MaRisk AT 7.2 - Informationsrisikomanagement
| Anforderung | Umsetzung in der Plattform |--------------------------|--------------------------- | Risikoidentifikation | Automatische Erkennung von Malware und Phishing durch Multi-Source-Analyse (CAPEv2 + Ollama + OSINT)
| Risikobewertung | KI-gestΓΌtztes Risk-Scoring (0-100) mit ITSO Level 3 Expertise, kategorisiert nach HIGH/CRITICAL/MEDIUM/LOW | Risikobehandlung | Automatische Isolierung verdΓ€chtiger Mails, QuarantΓ€ne-Management, MISP-Event-Erstellung fΓΌr SOC-Reaktion | Risikokontrolle | VollstΓ€ndige Audit-Trails, JSON-Logs fΓΌr SIEM, HTML-Reports, PostgreSQL-Historie | RisikoΓΌberwachung | 24/7 automatisches Monitoring, Echtzeit-Alerts via Pushover/E-Mail, Workflow-Tags in MISP
BAIT - Bankaufsichtliche Anforderungen an die IT
| Anforderung | Umsetzung |--------------------------|----------- | Netzwerksicherheit | VollstΓ€ndige Netzwerk-Isolation der Analyse-VMs, keine Internet-KonnektivitΓ€t, INetSim fΓΌr Network-Simulation | | Malware-Schutz | Verhaltensbasierte Erkennung (Zero-Day fΓ€hig), Overlay-Disk-Technologie fΓΌr saubere Analyseumgebungen | | Logging & Monitoring | Strukturierte JSON-Logs, Splunk-Integration, vollstΓ€ndige Prozess/Network/Registry-Traces | | Incident Response | Automatische MISP-Event-Erstellung, IOC-Sharing mit BSI/CERT-Bund, Workflow-Management via Tags |
DORA - Digital Operational Resilience Act
β DORA-KonformitΓ€t durch:
- ICT-Risikoidentifikation (Art. 6): Automatisierte Threat-Erkennung mit KI
- ICT-bezogene VorfΓ€lle (Art. 17): VollstΓ€ndige Incident-Dokumentation in MISP
- Threat Intelligence Sharing (Art. 20): MISP-Integration mit TLP:AMBER
- Testing (Art. 24): Sandbox-Umgebung fΓΌr sicheres Testing von Malware
ISO 27001 Compliance
- A.12.2 - Protection from Malware: Verhaltensanalyse-basierter Schutz
- A.12.6 - Management of Technical Vulnerabilities: Zero-Day Detection ohne Signatures
- A.13.2 - Information Transfer: TLS 1.3, Cipher-Checks, Mail-Routing-Analyse
- A.16.1 - Incident Management: Automatische Event-Erstellung, Workflow-Management
Use Cases
Szenario 1: CEO-Fraud Phishing-Mail
π§ Eingehende Mail:
Von: vorstand@deuutsche-bank.de (Typosquatting!)
Betreff: DRINGEND: Γberweisung erforderlich
Inhalt: "Bitte ΓΌberweisen Sie sofort 50.000 EUR an folgendes Konto..."
π¬ Automatische Analyse:
- Mail-Parsing: Extrahiere Headers, URLs, Absender-Domain
- OSINT-Check: "deuutsche-bank.de" unbekannt in Threat-Feeds
- Typosquatting-Detection: Γhnlichkeit zu "deutsche-bank.de" erkannt
- Header-Analyse: SPF fail, DKIM fehlt, DMARC nicht vorhanden
- Ollama-AI: "Risikobewertung: HIGH - CEO-Fraud erkannt, Typosquatting, fehlende Authentifizierung"
- AI-Override: Verdict: MALICIOUS (trotz niedrigem numerischem Score)
π€ Automatische Reaktion:
- β HTML-Report generiert mit roter Warnung
- β E-Mail an SOC mit Verdict: π΄ MALICIOUS
- β MISP-Event erstellt mit Tags: phishing, banker, typosquatting, ceo-fraud
- β IOCs geteilt: email-src, domain, urls
- β Mail in "Processed" verschoben, Workflow-Tag: "review"
β±οΈ Gesamtdauer: < 90 Sekunden vom Eingang bis zur SOC-Benachrichtigung
Szenario 2: Zero-Day Malware
π¦ Eingehender Anhang:
Datei: Rechnung_2026_Q1.zip (Passwort: "infected")
Inhalt: invoice.exe (neue Banking-Trojaner-Variante, keine Signatures)
π¬ CAPEv2 Sandbox-Analyse:
- Automatische Entpackung: Passwort "infected" erkannt und angewendet
- VM-Auswahl: Windows 11 x64 VM gestartet
- Verhaltensanalyse (5 Minuten):
- Prozess-Injection in explorer.exe erkannt
- Registry-Γnderung: Autostart-Mechanismus
- Network-Traffic: DNS-Query zu suspicious-c2.ru
- Filesystem: Dropped file in %APPDATA%
- API-Calls: CreateProcess, WriteProcessMemory, SetWindowsHookEx
- YARA-Matches: Banking-Trojaner-Patterns erkannt
- Ollama-Bewertung: "HIGH-Risk Malware, Banking-Trojaner, C2-Kommunikation"
π€ Automatische Reaktion:
- β Detaillierter JSON-Report mit allen IOCs
- β MISP-Event: Event #456 mit Hashes, C2-Domains, Registry-Keys
- β IOC-Sharing mit CERT-Bund
- β HTML-Report mit Prozess-Tree, Network-Graph, API-Calls
- β Splunk-Alert fΓΌr SOC-Eskalation
β±οΈ Gesamtdauer: ~7 Minuten (5min Sandbox + 2min Reporting)
Szenario 3: Credential Harvesting Phishing
π£ Phishing-Kampagne:
Betreff: "Aktion erforderlich: Ihr GerΓ€t ist nicht mehr konform"
Sender: noreply@sec-admin.de
URL: https://sec-admin.de/verify-device
π¬ Multi-Layer-Analyse:
- URL-Scan via Tor:
- URLScan.io: Login-Formular erkannt
- Google Safe Browsing: Domain unbekannt (< 30 Tage alt)
- VirusTotal: 3/90 Engines markieren als Phishing
- Header-Analyse:
- SPF: pass (aber Domain ist neu)
- DKIM: fehlt
- DMARC: fehlt
- TLS-Routing: UngewΓΆhnliche Mail-Server-Kette
- Content-Analyse:
- Urgency-Score: HIGH ("sofortige Aktion erforderlich")
- Banking-Keywords: "ING", "GerΓ€t", "Compliance"
- Formular-Detektion: Login-Credentials abgefragt
- Ollama-AI: "Risikobewertung: HIGH - Credential Harvesting, Dringlichkeit, fehlende Auth"
π€ MISP-Event:
- Info: [Phishing] Aktion erforderlich: Ihr GerΓ€t ist nicht mehr konform
- Tags: phishing, credential-theft, banker, type:OSINT
- Attributes:
- email-src: noreply@[removed].de
- url: https://[removed]/verify-device (IDS: false, Risk: 85/100)
- domain: [removed].de
- ip-src: xx.xx.xx.xx
- Workflow: state="incomplete", todo="review"
ROI & Business Value
Kosteneinsparungen
| Prozess | Manuell (bisherig) | Automatisiert (neu) | Einsparung | |---------|-------------------|---------------------|------------| | Malware-Analyse (einfach) | 2-4 Stunden (Level 2 Analyst) | < 2 Minuten (automatisch) | 99% Zeitersparnis | | Phishing-Bewertung | 15-30 Minuten (Level 2 Analyst) | < 90 Sekunden (AI-gestΓΌtzt) | 95% Zeitersparnis | | Threat Intelligence Sharing | 1 Stunde (manuelle MISP-Eingabe) | Automatisch (integriert) | 100% Zeitersparnis | | Report-Erstellung | 30-60 Minuten (Word/Excel) | Automatisch (HTML/JSON) | 100% Zeitersparnis |
Quantifizierbare Vorteile
| Metrik | Wert | |--------|------| | Analyst-Zeit gespart pro Woche | ~40h | | JΓ€hrliche Einsparung (Personalkosten) | β¬120.000 | | VerfΓΌgbarkeit | 24/7 (keine Urlaubsvertretung) | | Fehlende Zero-Day-Detections | 0 |
Qualitative Vorteile
- Konsistente QualitΓ€t: Jede Analyse folgt exakt demselben Standard (keine menschlichen Fehler)
- Skalierbarkeit: Automatische Verarbeitung von 100+ Mails/Tag ohne zusΓ€tzliche Ressourcen
- Reaktionszeit: Von Stunden auf Minuten reduziert β Schnellere Incident Response
- Compliance: VollstΓ€ndige Audit-Trails fΓΌr PrΓΌfungen (BaFin, externe Auditoren)
- Threat Intelligence: Automatisches Sharing mit CERT-Bund β Beitrag zur Community-Sicherheit
- Wissensspeicherung: Alle Analysen historisch verfΓΌgbar (nicht abhΓ€ngig von Mitarbeiter-Wissen)
TCO (Total Cost of Ownership)
π° Einmalige Kosten (Setup):
- Hardware: 2x Server (ESXi fΓΌr VMs) β ~β¬8.000
- Lizenzen: Alle Komponenten Open Source β β¬0
- Implementation: 40h Entwicklung/Konfiguration β ~β¬8.000
- Total Setup: ~β¬16.000
π³ Laufende Kosten (jΓ€hrlich):
- Wartung/Updates: 10h/Monat β ~β¬24.000/Jahr
- Strom/Hosting: ~β¬2.000/Jahr
- Total Betrieb: ~β¬26.000/Jahr
π― ROI-Berechnung (3 Jahre):
- Kosten: β¬16k (Setup) + 3 Γ β¬26k (Betrieb) = β¬94.000
- Einsparungen: 3 Γ β¬120k (Personalkosten) = β¬360.000
- Net Benefit: β¬266.000
- ROI: 283% ΓΌber 3 Jahre
Risikominimierung
- False Negative Reduction: Zero-Day-Malware wird durch Verhaltensanalyse erkannt (keine AbhΓ€ngigkeit von Signatures)
- Reputation Protection: Phishing-Mails werden erkannt bevor sie eskalieren (CEO-Fraud-Prevention)
- Data Breach Prevention: Credential-Harvesting wird automatisch identifiziert
- Regulatory Risk: VollstΓ€ndige Compliance mit MaRisk/BAIT/DORA reduziert PrΓΌfungs-Risiken
Technische Details
Technology Stack
- Python 3.12
- CAPEv2
- Ollama (Qwen2.5)
- MISP 2.5.31
- PostgreSQL
- KVM/libvirt
- INetSim
- Tor
- YARA
- Splunk
- nginx (TLS 1.3)
- fail2ban
CAPEv2 Configuration
VM-Setup:
- Windows 11 x64: Hauptanalyse-VM fΓΌr moderne Malware
- Windows 10 x64: KompatibilitΓ€t mit Win10-spezifischer Malware
- Windows 7 x32: Legacy-Malware, 32-bit Samples
Isolation: Overlay-Disk-Technologie β Jede Analyse startet mit sauberem Snapshot
Network: INetSim simuliert Internet (DNS, HTTP, SMTP) ohne echte Connectivity
Monitoring: Sysmon, Procmon, API-Hooking fΓΌr vollstΓ€ndige Visibility
Ollama LLM Prompt-Engineering
Prompt-Struktur (Auszug):
Du bist ein ITSO Level 3 Security Analyst einer deutschen Bank.
KONTEXT:
- E-Mail-Header: {spf, dkim, dmarc, originating_ip}
- URLs: {url_analyses mit OSINT-Scores}
- Content: {urgency_indicators, ceo_fraud_indicators}
- Mail-Routing: {tls_versions, ciphers, arc_headers}
BANKING-SPEZIFISCHE RISIKEN:
1. CEO-Fraud / BEC
2. Wire Transfer Fraud
3. Credential Harvesting
4. Typosquatting (deutsche-baink.de)
5. IBAN/SWIFT-Missbrauch
AUFGABE:
Analysiere die E-Mail und bewerte nach:
- Header-AuthentizitΓ€t (SPF/DKIM/DMARC)
- Absender-LegitimitΓ€t
- URL-VerdΓ€chtigkeit
- Social Engineering Taktiken
- Banking-spezifische Risiken
Gib eine Risikobewertung: LOW / MEDIUM / HIGH / CRITICAL
BegrΓΌndung in deutsch, max. 500 WΓΆrter.
MISP API Integration
Event-Creation (Python):
from pymisp import PyMISP, MISPEvent, MISPAttribute
# MISP Connection
misp = PyMISP(url='https://xx.xx.xx.xx', key=API_KEY, ssl=False)
# Event erstellen
event = MISPEvent()
event.info = f"[Phishing] {subject}"
event.distribution = 0 # Your org only
event.threat_level_id = 1 # High
event.analysis = 1 # Ongoing
# Ollama-Bewertung als Beschreibung
event.add_attribute('comment', ollama_analysis)
# Tags
event.add_tag('tlp:amber')
event.add_tag('phishing')
event.add_tag('workflow:todo="review"')
# IOCs
event.add_attribute('email-src', sender_email)
event.add_attribute('ip-src', originating_ip)
event.add_attribute('url', suspicious_url, comment=f'Risk: {risk_score}/100')
# Upload
misp.add_event(event)
Network Architecture
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β PRODUCTION NETWORK β
β (xx.10.0.0/24) β
β β
β ββββββββββββββββ ββββββββββββββββ ββββββββββββββββ β
β β MISP Server β β CAPE Server β β Mail Gateway β β
β β xx.10.0.215 β β xx.10.0.113 β β xx.1.1.11 β β
β β (Docker) β β (Ubuntu) β β (Axigen) β β
β ββββββββ¬ββββββββ ββββββββ¬ββββββββ ββββββββ¬ββββββββ β
β β β β β
β βββββββββββββββββββββ΄ββββββββββββββββββββ β
β β β
βββββββββββββββββββββββββββββββΌβββββββββββββββββββββββββββββββ
β
βββββββββββ΄ββββββββββ
β FIREWALL/NAT β
βββββββββββ¬ββββββββββ
β
βββββββββββββββββββββββββββββββΌβββββββββββββββββββββββββββββββ
β ISOLATED ANALYSIS NETWORK β
β (192.168.100.0/24) β
β β
β ββββββββββββββββ ββββββββββββββββ ββββββββββββββββ β
β β Win11 VM #1 β β Win10 VM #2 β β Win7 VM #3 β β
β β NO INTERNET β β NO INTERNET β β NO INTERNET β β
β ββββββββ¬ββββββββ ββββββββ¬ββββββββ ββββββββ¬ββββββββ β
β β β β β
β βββββββββββββββββββββ΄ββββββββββββββββββββ β
β β β
β ββββββββββ΄βββββββββ β
β β INetSim β β
β β (DNS/HTTP/SMTP) β β
β βββββββββββββββββββ β
β β
β β Keine direkte Internet-Connectivity β
β β Alle Network-Requests gehen zu INetSim β
β β Malware kann NICHT exfiltrieren β
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Security Hardening
- TLS 1.3 only: Alle Web-Interfaces (MISP, CAPE)
- Fail2ban: Brute-Force-Protection auf SSH/Web-Logins
- Rate Limiting: nginx-basiert fΓΌr API-Endpoints
- Network Isolation: Analyse-VMs haben KEINE Internet-Connectivity
- Access Control: RBAC in MISP, cape-User mit minimalen Privilegien
- Logging: VollstΓ€ndig β /var/log + Splunk-Forward
- Encryption at Rest: PostgreSQL-Daten verschlΓΌsselt (LUKS)
Performance-Metriken
| Metrik | Wert | Notizen | |--------|------|---------| | Malware-Analyse (CAPEv2) | 5-7 Minuten | 5min Sandbox-Runtime + 2min Reporting | | Phishing-Analyse (Ollama) | 30-90 Sekunden | AbhΓ€ngig von URL-Anzahl (Tor-Requests) | | OSINT-Lookups | ~15 Sekunden | 10 parallele API-Calls | | MISP-Event-Erstellung | < 2 Sekunden | API-Call + IOC-Upload | | Throughput | ~120 Analysen/Tag | 24/7 automatisch, keine Warteschlangen |
Deployment-Anforderungen
Hardware-Spezifikationen:
- CAPE-Server: 32 CPU-Cores, 64GB RAM, 500GB SSD (fΓΌr VMs)
- MISP-Server: 8 CPU-Cores, 16GB RAM, 200GB SSD
- Netzwerk: 1Gbit/s intern, isoliertes Analyse-Netzwerk
Software-Dependencies:
- Ubuntu 24.04 LTS (CAPE) / RHEL8 (MISP)
- KVM/libvirt fΓΌr Virtualisierung
- Docker & Docker-Compose (MISP)
- Python 3.12 + venv
- PostgreSQL 14+
- nginx 1.24+
Installation:
- Setup-Zeit: ~8 Stunden (inkl. VM-Images, Configuration, Testing)
- Dokumentation: VollstΓ€ndige Ansible-Playbooks + Step-by-Step Guides verfΓΌgbar
Monitoring & Alerting
- System-Health: Cockpit Web-UI fΓΌr CPU/RAM/Disk-Monitoring
- Service-Status: systemd-Checks (cape, cape-processor, cape-mailer.timer)
- Disk-Space: Automatische Cleanup-Jobs fΓΌr alte Analysen (>30 Tage)
- Alerts: Pushover Mobile-Notifications fΓΌr HIGH/CRITICAL Phishing
- Logs: Zentral in /var/log + Forward zu Splunk
Kontakt
π― Interessiert?
- Live-Analyse einer Phishing-Mail (< 90 Sekunden)
- Zero-Day Malware-Detection in der Sandbox
- MISP Threat Intelligence Sharing
- Integration in Ihre bestehende SOC-Infrastruktur
Proof of Concept Status
| Metrik | Wert | |--------|------| | Tage in Production | 30+ | | Analysen durchgefΓΌhrt | 250+ | | Phishing-Erkennungsrate | 95% | | False Negatives | 0 |
π§ Kontakt
E-Mail: Demo anfragen
NΓ€chste Schritte
- Kick-off Meeting: Vorstellung der Plattform, Use-Case-Diskussion (1h)
- POC-Setup: Installation in Ihrer Testumgebung (1-2 Tage)
- Pilot-Phase: 30 Tage Live-Betrieb mit echten Samples (begleitend)
- Evaluation: ROI-Analyse, Compliance-Review, Go/No-Go (1 Woche)
- Production-Rollout: Migration in Production-Umgebung (1 Woche)
β οΈ Hinweis zur Vertraulichkeit
Alle Analysen und Daten verbleiben in Ihrer Infrastruktur. Keine Cloud-Services, keine externen Dependencies (auΓer opt-in OSINT-Lookups die jedoch schon ΓΌber eine .onion-Verbindung zur UntersdrΓΌckung der Quell-IP erfolgen). VollstΓ€ndige Datenkontrolle gemÀà DSGVO und Banking-Secrecy-Anforderungen.
Γber dieses Projekt
Entwickelt von: SOC Team, IT-Sicherheit Technologie: Open Source (CAPEv2, Ollama, MISP, Python)
Compliance: MaRisk AT 7.2, BAIT, DORA, ISO 27001
Status: Production-Ready POC seit Januar 2026
Disclaimer: Diese Webseite dient als Proof of Concept Dokumentation. Alle technischen Details entsprechen dem tatsΓ€chlichen Implementierungsstand per Januar 2026.
Β© 2026 Β· Automated Threat Intelligence Platform Β· All Rights Reserved