Skip to content

Threat Lookup

Die Seite Threats der Zone ist ein Untersuchungswerkzeug für die Sicherheitsschicht der Zone. Sie zeigt aktive Sicherheitsentscheidungen, Szenario-Treffer und IP-Reputation über ein gleitendes 24-Stunden-Fenster, sodass nachvollziehbar wird, warum eine bestimmte IP gerade blockiert wird - oder nicht - und es lassen sich direkt Maßnahmen ergreifen.

Die Threats-Seite: aktuelle Sicherheitsentscheidung zu einer IP nachschlagen.Die Threats-Seite: aktuelle Sicherheitsentscheidung zu einer IP nachschlagen.
Die Threats-Seite: aktuelle Sicherheitsentscheidung zu einer IP nachschlagen.

Überblick

Threat Lookup beantwortet eine einzelne, häufige Frage: Was hält smoxy aktuell von dieser IP-Adresse, und warum? Anstatt aus Zugriffsprotokollen zu raten, wird eine IP eingegeben und an einer Stelle die aktive Entscheidung, die zugrunde liegenden Daten sowie die jüngsten Sicherheitsereignisse angezeigt, die dazu geführt haben.

Es handelt sich um ein Beobachtungs- und Untersuchungswerkzeug. Es verändert von sich aus nicht, wie Traffic behandelt wird; es zeigt den aktuellen Zustand und ermöglicht direkte Maßnahmen, sobald eine Entscheidung getroffen wird.


Eine IP nachschlagen

Eine IP-Adresse eingeben und nachschlagen. smoxy liefert alles, was über diese Adresse für diese Zone bekannt ist:

BereichInhalt
Bedrohungs-ScoreEine 0–100-Anzeige, die zusammenfasst, wie riskant die IP derzeit gilt
Aktuelle EntscheidungDie geltende Aktion, ihre Quelle, ihr Score und die verbleibende Laufzeit
NetzwerkinformationenWo sich die IP befindet und zu wem sie gehört
Szenario-VerlaufDie Sicherheits-Szenario-Ereignisse für diese IP der letzten 24 Stunden

Liegt keine aktive Entscheidung für die IP vor, zeigt die Suche dennoch die Netzwerkinformationen sowie jüngste Szenario-Aktivität - nützlich, um zu bestätigen, dass eine Adresse nicht aktuell behandelt wird.


Bedrohungs-Score

Der Bedrohungs-Score ist eine 0–100-Anzeige, die das aktuelle Risikoniveau der IP für diese Zone zusammenfasst. Höhere Werte deuten auf riskanteres Verhalten hin. Der Score spiegelt jüngste Szenario-Aktivität und Reputationsdaten innerhalb des gleitenden 24-Stunden-Fensters wider, steigt also mit zunehmend bösartigem Verhalten und klingt ab, wenn die IP ruhig bleibt.


Aktuelle Entscheidung

Wird eine IP aktiv blockiert oder per Challenge geprüft, zeigt die Suche die geltende Entscheidung:

FeldBeschreibung
QuelleWoher die Entscheidung stammt (siehe unten)
Aktuelle AktionWas smoxy mit der IP tut - zum Beispiel block, challenge oder monitor
ScoreDer mit der aktiven Entscheidung verbundene Score
Verbleibende TTLWie lange die Entscheidung in Kraft bleibt - angezeigt als Läuft ab in / verbleibende Zeit
Das Entscheidungs-Panel: Bedrohungs-Score-Anzeige, geltende Entscheidung sowie die Aktionen „Block erzwingen“ und „Challenge“.Das Entscheidungs-Panel: Bedrohungs-Score-Anzeige, geltende Entscheidung sowie die Aktionen „Block erzwingen“ und „Challenge“.
Das Entscheidungs-Panel: Bedrohungs-Score-Anzeige, geltende Entscheidung sowie die Aktionen „Block erzwingen“ und „Challenge“.

Woher eine Entscheidung stammt

Die Quelle gibt an, welche Liste oder welches Signal die aktive Entscheidung erzeugt hat:

QuelleBedeutung
Zonen-BlocklisteDie IP steht auf der eigenen Blockliste dieser Zone (angezeigt als „Zone“)
Globale BlocklisteDie IP steht auf der globalen, zonenübergreifend gepflegten Blockliste von smoxy (angezeigt als „globale Blockliste“)
Globale ReputationDie globalen Reputationsdaten von smoxy markieren diese IP derzeit (angezeigt als „global“)

Liegt keine Entscheidungsquelle vor, wird stattdessen ein Gedankenstrich (-) angezeigt.

INFO

Hinweis: Entscheidungen, die aus der globalen Blockliste oder der globalen Reputation stammen, werden von smoxy zonenübergreifend verwaltet. Um die Behandlung einer bestimmten IP für die eigene Zone zu ändern, die zoneneigene Blockliste & Allowlist verwenden.


Netzwerkinformationen

Die Suche reichert die IP mit Netzwerk- und Geolokationsdaten an, um die Quelle leichter zu identifizieren:

FeldBeschreibung
IP-AdresseDie nachgeschlagene Adresse
LandLand, dem die IP zugeordnet ist
Provider (ASN)Der Netzbetreiber / das autonome System
Stadt / RegionGenauerer Standort, sofern verfügbar
KoordinatenUngefähre geografische Länge und Breite
Die Karte „Netzwerkinformationen“: Geolokation und Netzbetreiber der nachgeschlagenen IP.Die Karte „Netzwerkinformationen“: Geolokation und Netzbetreiber der nachgeschlagenen IP.
Die Karte „Netzwerkinformationen“: Geolokation und Netzbetreiber der nachgeschlagenen IP.

Szenario-Verlauf

Der Szenario-Verlauf listet die Sicherheits-Szenario-Ereignisse, die für diese IP innerhalb des 24-Stunden-Fensters aufgezeichnet wurden. Jede Zeile zeigt, wie ein verwaltetes Sicherheitsszenario auf das Verhalten der IP reagiert und wie sich dadurch der Score verändert hat:

SpalteBeschreibung
ZeitWann das Ereignis aufgezeichnet wurde
SzenarioDer Name des verwalteten Sicherheitsszenarios, das ausgelöst hat
DeltaDie angewandte Score-Änderung (positiv erhöht den Score)
ScoreDer resultierende Score nach Anwendung des Deltas
AktionDie mit dem Ereignis verbundene Aktion

Der Verlauf von oben nach unten gelesen zeigt, wie eine IP zu ihrem aktuellen Score gekommen ist - welche Szenarien ausgelöst haben, wie viel jedes beigetragen hat und wann.

Der Szenario-Verlauf: die Sicherheits-Szenario-Ereignisse, die den Score der IP geprägt haben.Der Szenario-Verlauf: die Sicherheits-Szenario-Ereignisse, die den Score der IP geprägt haben.
Der Szenario-Verlauf: die Sicherheits-Szenario-Ereignisse, die den Score der IP geprägt haben.

TIP

Szenarien sind die kuratierten Erkennungsregeln von smoxy, die den Live-Traffic auf bestimmtes Angriffsverhalten überwachen. Was sie sind und wie sie verwaltet werden, beschreibt Verwaltete Sicherheitsszenarien.


Maßnahmen für eine IP ergreifen

Aus einer Suche heraus lassen sich direkt Maßnahmen für die IP ergreifen:

AktionWirkung
Block erzwingenDie IP für diese Zone blockieren, unabhängig vom Score
ChallengeVon der IP das Bestehen einer Challenge verlangen, bevor ihre Anfragen ausgeliefert werden

Beide Aktionen erstellen oder aktualisieren einen Eintrag in der Blockliste der Zone. Damit ist Threat Lookup der natürliche Ort, um von der Untersuchung einer IP zur Maßnahme überzugehen. Zum späteren Prüfen oder Entfernen dieser Einträge siehe Blockliste & Allowlist.


Wichtige Hinweise

  • 24-Stunden-Fenster: Bedrohungs-Scores und der Szenario-Verlauf umfassen einen gleitenden 24-Stunden-Zeitraum. Ältere Aktivität fällt heraus und trägt nicht mehr zum Score bei.
  • Entscheidung vs. Score: Ein hoher Score bedeutet nicht immer, dass die IP aktuell blockiert ist - erst der Bereich Aktuelle Entscheidung zeigt, ob gerade eine Aktion in Kraft ist.
  • Zone vs. global: Entscheidungen können aus den Listen der eigenen Zone oder aus der globalen Blockliste und Reputation von smoxy stammen. Bearbeitbar sind nur die Listen der eigenen Zone; globale Listen werden von smoxy gepflegt.
  • Maßnahmen erzeugen einen Listeneintrag: Block erzwingen und Challenge schreiben in die Zonen-Blockliste. Diese Einträge werden auf der Seite Blockliste & Allowlist verwaltet.