автоматизация threat intelligence

  1. Сергей Попов

    Статья Threat Intelligence для SOC на практике: сбор, обработка и применение TI в малой команде

    По данным CrowdStrike Global Threat Report 2025, среднее время lateral movement после initial access - 62 минуты. Рекорд - 51 секунда. В команде из пяти аналитиков, где я выстраивал TI-процесс, цикл обработки нового IOC от появления в фиде до срабатывания правила в SIEM занимал шесть часов -...
  2. Сергей Попов

    Статья Операционализация Threat Intelligence: от сырых IOC до детектирующих правил SIEM

    В консоли SIEM - алерт: indicator match по IP-адресу из коммерческого TI-фида. L1-аналитик открывает карточку: IP лежит в lookup два месяца, confidence score неизвестен, контекст - "malicious activity". Действие: закрыл как false positive. Через три дня тот же IP всплыл в постмортеме - активный...
  3. Сергей Попов

    Статья Автоматизация threat intelligence: STIX 2.1, TAXII и интеграция платформ киберразведки с SOC

    При настройке коннектора к отраслевому фиду через TAXII в одном из проектов выяснилось, что клиент молча терял около 40% индикаторов. Причина оказалась до обидного простой - отсутствие поддержки пагинации по курсору next. Фид отдавал первую страницу из 1000 объектов, клиент считал работу...