Threat Lookup
Die Seite Threats der Zone ist ein Untersuchungswerkzeug für die Sicherheitsschicht der Zone. Sie zeigt aktive Sicherheitsentscheidungen, Szenario-Treffer und IP-Reputation über ein gleitendes 24-Stunden-Fenster, sodass nachvollziehbar wird, warum eine bestimmte IP gerade blockiert wird - oder nicht - und es lassen sich direkt Maßnahmen ergreifen.


Überblick
Threat Lookup beantwortet eine einzelne, häufige Frage: Was hält smoxy aktuell von dieser IP-Adresse, und warum? Anstatt aus Zugriffsprotokollen zu raten, wird eine IP eingegeben und an einer Stelle die aktive Entscheidung, die zugrunde liegenden Daten sowie die jüngsten Sicherheitsereignisse angezeigt, die dazu geführt haben.
Es handelt sich um ein Beobachtungs- und Untersuchungswerkzeug. Es verändert von sich aus nicht, wie Traffic behandelt wird; es zeigt den aktuellen Zustand und ermöglicht direkte Maßnahmen, sobald eine Entscheidung getroffen wird.
Eine IP nachschlagen
Eine IP-Adresse eingeben und nachschlagen. smoxy liefert alles, was über diese Adresse für diese Zone bekannt ist:
| Bereich | Inhalt |
|---|---|
| Bedrohungs-Score | Eine 0–100-Anzeige, die zusammenfasst, wie riskant die IP derzeit gilt |
| Aktuelle Entscheidung | Die geltende Aktion, ihre Quelle, ihr Score und die verbleibende Laufzeit |
| Netzwerkinformationen | Wo sich die IP befindet und zu wem sie gehört |
| Szenario-Verlauf | Die Sicherheits-Szenario-Ereignisse für diese IP der letzten 24 Stunden |
Liegt keine aktive Entscheidung für die IP vor, zeigt die Suche dennoch die Netzwerkinformationen sowie jüngste Szenario-Aktivität - nützlich, um zu bestätigen, dass eine Adresse nicht aktuell behandelt wird.
Bedrohungs-Score
Der Bedrohungs-Score ist eine 0–100-Anzeige, die das aktuelle Risikoniveau der IP für diese Zone zusammenfasst. Höhere Werte deuten auf riskanteres Verhalten hin. Der Score spiegelt jüngste Szenario-Aktivität und Reputationsdaten innerhalb des gleitenden 24-Stunden-Fensters wider, steigt also mit zunehmend bösartigem Verhalten und klingt ab, wenn die IP ruhig bleibt.
Aktuelle Entscheidung
Wird eine IP aktiv blockiert oder per Challenge geprüft, zeigt die Suche die geltende Entscheidung:
| Feld | Beschreibung |
|---|---|
| Quelle | Woher die Entscheidung stammt (siehe unten) |
| Aktuelle Aktion | Was smoxy mit der IP tut - zum Beispiel block, challenge oder monitor |
| Score | Der mit der aktiven Entscheidung verbundene Score |
| Verbleibende TTL | Wie lange die Entscheidung in Kraft bleibt - angezeigt als Läuft ab in / verbleibende Zeit |


Woher eine Entscheidung stammt
Die Quelle gibt an, welche Liste oder welches Signal die aktive Entscheidung erzeugt hat:
| Quelle | Bedeutung |
|---|---|
| Zonen-Blockliste | Die IP steht auf der eigenen Blockliste dieser Zone (angezeigt als „Zone“) |
| Globale Blockliste | Die IP steht auf der globalen, zonenübergreifend gepflegten Blockliste von smoxy (angezeigt als „globale Blockliste“) |
| Globale Reputation | Die globalen Reputationsdaten von smoxy markieren diese IP derzeit (angezeigt als „global“) |
Liegt keine Entscheidungsquelle vor, wird stattdessen ein Gedankenstrich (-) angezeigt.
INFO
Hinweis: Entscheidungen, die aus der globalen Blockliste oder der globalen Reputation stammen, werden von smoxy zonenübergreifend verwaltet. Um die Behandlung einer bestimmten IP für die eigene Zone zu ändern, die zoneneigene Blockliste & Allowlist verwenden.
Netzwerkinformationen
Die Suche reichert die IP mit Netzwerk- und Geolokationsdaten an, um die Quelle leichter zu identifizieren:
| Feld | Beschreibung |
|---|---|
| IP-Adresse | Die nachgeschlagene Adresse |
| Land | Land, dem die IP zugeordnet ist |
| Provider (ASN) | Der Netzbetreiber / das autonome System |
| Stadt / Region | Genauerer Standort, sofern verfügbar |
| Koordinaten | Ungefähre geografische Länge und Breite |


Szenario-Verlauf
Der Szenario-Verlauf listet die Sicherheits-Szenario-Ereignisse, die für diese IP innerhalb des 24-Stunden-Fensters aufgezeichnet wurden. Jede Zeile zeigt, wie ein verwaltetes Sicherheitsszenario auf das Verhalten der IP reagiert und wie sich dadurch der Score verändert hat:
| Spalte | Beschreibung |
|---|---|
| Zeit | Wann das Ereignis aufgezeichnet wurde |
| Szenario | Der Name des verwalteten Sicherheitsszenarios, das ausgelöst hat |
| Delta | Die angewandte Score-Änderung (positiv erhöht den Score) |
| Score | Der resultierende Score nach Anwendung des Deltas |
| Aktion | Die mit dem Ereignis verbundene Aktion |
Der Verlauf von oben nach unten gelesen zeigt, wie eine IP zu ihrem aktuellen Score gekommen ist - welche Szenarien ausgelöst haben, wie viel jedes beigetragen hat und wann.


TIP
Szenarien sind die kuratierten Erkennungsregeln von smoxy, die den Live-Traffic auf bestimmtes Angriffsverhalten überwachen. Was sie sind und wie sie verwaltet werden, beschreibt Verwaltete Sicherheitsszenarien.
Maßnahmen für eine IP ergreifen
Aus einer Suche heraus lassen sich direkt Maßnahmen für die IP ergreifen:
| Aktion | Wirkung |
|---|---|
| Block erzwingen | Die IP für diese Zone blockieren, unabhängig vom Score |
| Challenge | Von der IP das Bestehen einer Challenge verlangen, bevor ihre Anfragen ausgeliefert werden |
Beide Aktionen erstellen oder aktualisieren einen Eintrag in der Blockliste der Zone. Damit ist Threat Lookup der natürliche Ort, um von der Untersuchung einer IP zur Maßnahme überzugehen. Zum späteren Prüfen oder Entfernen dieser Einträge siehe Blockliste & Allowlist.
Wichtige Hinweise
- 24-Stunden-Fenster: Bedrohungs-Scores und der Szenario-Verlauf umfassen einen gleitenden 24-Stunden-Zeitraum. Ältere Aktivität fällt heraus und trägt nicht mehr zum Score bei.
- Entscheidung vs. Score: Ein hoher Score bedeutet nicht immer, dass die IP aktuell blockiert ist - erst der Bereich Aktuelle Entscheidung zeigt, ob gerade eine Aktion in Kraft ist.
- Zone vs. global: Entscheidungen können aus den Listen der eigenen Zone oder aus der globalen Blockliste und Reputation von smoxy stammen. Bearbeitbar sind nur die Listen der eigenen Zone; globale Listen werden von smoxy gepflegt.
- Maßnahmen erzeugen einen Listeneintrag: Block erzwingen und Challenge schreiben in die Zonen-Blockliste. Diese Einträge werden auf der Seite Blockliste & Allowlist verwaltet.
