Tier 1 verantwortet zwei Kernprozesse im SOC: das Monitoring und die Alarm-Triage. Monitoring bezeichnet das fortlaufende Einsammeln von Signalen aus Endpunkten, Netzwerken, Cloud-Infrastruktur und Identitätssystemen, auf die Erkennungslogik angewendet wird, um auffällige Ereignisse sichtbar zu machen. Die Triage ist der anschließende, menschengeführte Schritt: Ereignisse bewerten, Schweregrade vergeben, Fehlalarme aussortieren und über eine Eskalation entscheiden. Beide Abläufe bestimmen laut ANY.RUN Kennzahlen wie die mittlere Zeit bis zur Erkennung (MTTD) und bis zur Reaktion (MTTR) sowie die Effizienz der Ressourcenverteilung.
Der erste Schritt ist nach Darstellung des Anbieters die Verbesserung der Intelligence-Grundlage des Monitorings. Viele SOCs stützen sich auf Erkennungsregeln aus statischen Signaturen oder Verhaltensheuristiken, deren Treffsicherheit nachlässt, sobald Angreifer sich anpassen. Die Threat Intelligence Feeds von ANY.RUN speisen kontinuierlich frische, verifizierte Kompromittierungsindikatoren – schädliche IP-Adressen, URLs und Domains – direkt in die Erkennungsinfrastruktur ein. Die Daten stammen aus einer durchgehend betriebenen Malware-Analyse-Sandbox, die reale Bedrohungen in Echtzeit verarbeitet. Ausgeliefert in den Formaten STIX und MISP, lassen sich die Feeds in SIEM-Systeme, Firewalls, DNS-Resolver und Endpunkterkennung einbinden; jeder Indikator trägt Metadaten wie Malware-Familien und Verhaltens-Tags.
Der zweite Schritt betrifft die Anreicherung im Triage-Prozess. Steht ein verdächtiger Indikator im Raum, können Analysten ihn über das Threat Intelligence Lookup abfragen – sei es eine Domain, IP-Adresse, ein Datei-Hash oder eine URL – und erhalten sofort Kontext aus dem Analyse-Repository der Sandbox: vollständige Verhaltensberichte, zugeordnete Malware-Familien und Bedrohungskategorien, beobachtete Netzwerkindikatoren sowie Verbindungen zu weiterer schädlicher Infrastruktur. Als Beispiel nennt ANY.RUN die Domain priutt-title.com: Eine einzige Abfrage zeige, dass eine fragwürdige Domain mit hoher Wahrscheinlichkeit schädlich und Teil von Kampagnen gegen IT-, Finanz- und Bildungsunternehmen weltweit sei.
Für Dateien oder Links, deren Natur zunächst unbekannt ist, dient die ANY.RUN Interactive Sandbox als direktes Triage-Werkzeug. Analysten reichen das Artefakt ein und beobachten sein tatsächliches Verhalten in einer Live-Ausführungsumgebung – etwa Netzwerkverbindungen, Registry-Änderungen oder das Nachladen weiterer Schadkomponenten. Innerhalb weniger Minuten liefert die Sandbox ein Urteil, das darauf beruht, was die Probe wirklich tut.
Den strategisch wichtigsten Schritt sieht ANY.RUN in der Integration: Feeds, Lookup und Sandbox sollen über Standardformate und APIs in die vorhandene Sicherheitsinfrastruktur eingebunden werden. Die Feed-Auslieferung über STIX und MISP arbeitet mit führenden SIEM- und SOAR-Lösungen zusammen, die Lookup-API ermöglicht Anreicherung direkt aus Ticketsystemen, Untersuchungs-Dashboards oder eigenen Skripten, und die Sandbox kann Proben programmgesteuert entgegennehmen. Für Tier-1-Teams bedeutet das nach Anbieterangaben weniger manuellen Aufwand: Indikatoren werden vor der Triage automatisch angereichert, Feeds aktualisieren die Erkennungslogik ohne menschliches Zutun, und Eskalationsdaten füllen sich aus der Sandbox-Analyse.
Die drei Komponenten bilden laut ANY.RUN einen geschlossenen Kreislauf – von der Verhaltensanalyse über die Erkennung bis zur Untersuchung. Die Sandbox erzeuge die belastbare Datenbasis, die Feeds machten sie über die Erkennungsschicht nutzbar, und das Lookup stelle dieselbe analytische Tiefe jedem Analysten unabhängig von dessen Erfahrung zur Verfügung.
