Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде.Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности