SIEM выбрасывает 847 алертов за ночь - все по IP-фиду, подключённому на прошлой неделе. Аналитик L1 разбирает четыре часа. Результат: три реальных хита, остальное - CDN-узлы Cloudflare, CGNAT-пулы провайдеров и Tor exit nodes, которые попали в фид без фильтрации. В тот же день ThreatFox от Abuse.ch тихо матчит один C2-callback к инфраструктуре loader-семейства, используемого операторами Play (по данным CISA AA23-352A). По данным ransomware.live, эта группа только за первую неделю июня 2026 опубликовала жертв из manufacturing, logistics и business services. Один фид стоил четыре часа на шум, другой предотвратил инцидент за секунды.
Вся разница - в выборе и курации фидов. И об этом дальше.
Критерии отбора и оценки качества threat intelligence данных
Прежде чем разбирать конкретные источники, зафиксирую метрики, которые применяю при оценке IOC-фидов. Каждую проверял при интеграции с Splunk ES, Microsoft Sentinel и RuSIEM.В обзор вошли пять бесплатных источников (Abuse.ch, AlienVault OTX, CISA KEV, Spamhaus, MISP CIRCL OSINT) и четыре коммерческих (Recorded Future, CrowdStrike Falcon Intelligence, Mandiant Threat Intelligence, Гарда TI Feeds). Критерий включения: машиночитаемый фид с IOC (не только отчёты и бюллетени), возможность интеграции через STIX/TAXII или REST API. За бортом остались GreyNoise (скорее enrichment-инструмент, чем фид), IBM X-Force Exchange (функциональность сокращается последние годы), Blocklist.de (узкий фокус на SSH brute-force - полезен, но не тянет на полноценный IOC-фид).
Freshness - время от публикации IOC до попадания в SIEM. C2-инфраструктура ротируется за часы. DGA-домены (Domain Generation Algorithms, T1568.002, Command and Control) живут от минут (быстрые fluxing-схемы) до недель - зависит от семейства. Фид с обновлением раз в день к утру содержит мёртвые индикаторы. Точка.
False positive rate - главный убийца SOC-эффективности. Некурированный IP-фид в корпоративной среде генерирует сотни ложных алертов. Источники шума: Tor exit nodes (список - torproject.org/exit-addresses), CGNAT-пулы, ASN CDN-провайдеров. По данным market.us, средний аналитик тратит 2–4 часа ежедневно на разбор threat intelligence - в том числе из-за ложных срабатываний. Два-четыре часа. Каждый день.
Контекст. "IP - malicious" бесполезно для triage. Привязка к MITRE ATT&CK, кампании и актору определяет скорость реагирования - без неё аналитик тратит ещё 15–20 минут на ручное обогащение каждого алерта.
TTL и confidence decay. DNS-индикаторы устаревают быстрее файловых хешей. Зрелый фид применяет модели устаревания: DNS-IOC -> TTL 24-72 часа, IP -> 7-14 дней, file hash -> 30-90 дней. Фид без decay-логики копит мусор - и с каждой неделей FP rate ползёт вверх.
Покрытие MITRE ATT&CK. Один фид закрывает IP Addresses (T1590.005, Reconnaissance) и DNS (T1590.002), другой дополнительно покрывает Scan Databases (T1596.005) и инфраструктуру DGA. Но ни один IOC-фид не закрывает insider threat и скомпрометированные легитимные хосты. Для этого нужна поведенческая аналитика (baseline сетевого трафика, DE.AE-01 по NIST CSF 2.0), а не IOC-матчинг.
Интеграционная готовность. STIX/TAXII 2.1 - стандарт, но не все фиды его поддерживают нативно. Для российских SIEM (RuSIEM, MaxPatrol SIEM, KUMA, Комрад) интеграция чаще идёт через REST API или CSV-выгрузку - нативная поддержка TAXII 2.1 есть не во всех продуктах. Приходится городить прослойки.
Бесплатные threat intelligence фиды в бою
Abuse.ch: узкие фиды с высокой точностью
Abuse.ch - не один фид, а набор специализированных источников. Каждый с узким фокусом, зато точность в своей нише - на высоте:- URLhaus - вредоносные URL для дистрибуции малвари. Community-driven репортинг, обновления в реальном времени.
- ThreatFox - IOC от малвари, включая C2-инфраструктуру. Поддерживает STIX-экспорт.
- Feodo Tracker - C2-серверы банковских троянов и loader-ботнетов (исторически Dridex, Emotet, TrickBot, QakBot, BazarLoader; ряд семейств дисраптнут, но инфраструктура продолжает отслеживаться).
- SSL Blacklist - вредоносные SSL-сертификаты.
- MalwareBazaar - сэмплы и хеши малвари.
AlienVault OTX, CISA KEV и MISP CIRCL OSINT
AlienVault OTX (с 2024 года - LevelBlue OTX после ребрендинга AT&T Cybersecurity) - одно из крупнейших open source threat intelligence сообществ. Глобальные контрибьюторы загружают pulse'ы с индикаторами компрометации. API бесплатный с разумными лимитами. Интеграция со многими SIEM из коробки.Проблема: качество данных гуляет, контрибьютить может кто угодно. Pulse с IP-адресами годичной давности и confidence 100 - реальная ситуация, с которой сталкивался не раз. Без собственной курации и фильтрации OTX генерирует шум. Использую его как дополнительный источник, но каждый pulse прогоняю через проверку freshness перед загрузкой в TIP. Без этого шага - не подключайте.
CISA Known Exploited Vulnerabilities (KEV) - каталог уязвимостей, активно эксплуатируемых in the wild. Формально не IOC-фид, но критически важен для приоритизации патчей. JSON и CSV, авторитетный источник, чёткие дедлайны ремедиации. Подключайте без раздумий - ноль FP, стопроцентная практическая ценность. Это редкость.
Spamhaus - DNS-based blocklists (SBL, XBL, DBL). Индустриальный стандарт для email security. Низкий FP rate, обновления в реальном времени. Ограничение: фокус на email-угрозах, коммерческое использование части списков требует подписки.
MISP CIRCL OSINT - фид от CERT Люксембурга, доступный через MISP. Покрытие - преимущественно европейский регион, но как дополнительный бесплатный источник с минимальным FP вполне рабочий.
Коммерческие IOC фиды: за что платят и где это оправдано
Recorded Future, CrowdStrike и Mandiant
Коммерческие индикаторы компрометации отличаются от бесплатных в трёх вещах: latency, глубина контекста и интеграционная зрелость.Recorded Future использует ML-обогащение и аналитиков для привязки IOC к конкретным акторам. Каждый индикатор приходит с risk score, маппингом на MITRE ATT&CK и историей инфраструктуры. Нативные коннекторы: Splunk, Sentinel, QRadar, ServiceNow. Стоимость подписки - десятки тысяч долларов в год. За эти деньги вы получаете контекст, который бесплатные фиды не дают в принципе.
CrowdStrike Falcon Intelligence генерирует IOC из собственной телеметрии миллионов эндпоинтов. Фид обогащён данными о TTP конкретных adversary groups. Нативная интеграция с Falcon-платформой, REST API для сторонних SIEM. Если у вас уже стоит Falcon - подключение фида логично, инфраструктура одна.
Mandiant Threat Intelligence (Google Cloud) - сильная сторона в attribution и IR-контексте. Фиды включают IOC, связанные с APT-группами, с глубоким контекстом по кампаниям и инструментарию атакующих. Когда нужно понять "кто за этим стоит и что будет дальше" - Mandiant даёт ответ лучше других.
Когда коммерческий фид оправдан: SOC обрабатывает более 1000 алертов в день и стоимость рабочего времени аналитиков на разбор ложных срабатываний превышает стоимость подписки. Простая арифметика. Если в команде 2–3 аналитика и 200 алертов - бесплатных фидов с правильной курацией хватит. Дорогой фид поверх ненастроенного стека = дорогой мусор. Видел это не раз.
Российские threat intelligence платформы: Гарда TI и PT TI Feeds
Гарда TI Feeds - российский сервис, зарегистрированный в Реестре отечественного ПО. По данным вендора: интеграция с RuSIEM, данные, релевантные требованиям ФСТЭК и ФинЦЕРТ, готовые правила Suricata и YARA, маппинг на MITRE ATT&CK. Поддерживает STIX/TAXII, есть коннекторы для OpenCTI, MISP, Check Point, Security Vision TIP и R-Vision TIP. Вендор также заявляет IoA-индикаторы (Indicators of Attack) - фиксация подготовки атаки до компрометации. Отраслевые фильтры позволяют получать IOC, релевантные конкретному сектору.(Оговорка: большинство характеристик - по заявлениям вендора. Независимых бенчмарков пока мало.)
PT Threat Intelligence Feeds (Positive Technologies) - потоки данных с IOC для SOC-команд. Условия доступа и лицензирования уточняются у вендора.
Для организаций под требованиями КИИ (критическая информационная инфраструктура) и на российских SIEM отечественные TI-фиды - обязательное дополнение, а не альтернатива западным. Данные, ориентированные на требования ФСТЭК и ФинЦЕРТ, покрывают угрозы российского сегмента, которых нет в Recorded Future или CrowdStrike. Это отдельный слой покрытия, не пересекающийся с западными коммерческими фидами.
Сравнение threat intelligence feeds: trade-off таблица
| Критерий | Abuse.ch | AlienVault OTX | Recorded Future | Гарда TI Feeds |
|---|---|---|---|---|
| Стоимость | $0 | $0 | Десятки тысяч $/год | По запросу |
| Latency (IOC в фид) | Минуты-часы | Часы-дни | Минуты | Часы |
| FP rate | Низкий (узкий фокус) | Высокий без курации | Низкий | Низкий (скоринг) |
| Контекст (TTP, actor) | Минимальный | Переменный | Развёрнутый, ATT&CK | ATT&CK, ФинЦЕРТ |
| Типы IOC | URL, hash, C2 IP, SSL | IP, domain, hash, URL | Полный + credential, infra | IP, URL, DNS, hash, IoA |
| Форматы | STIX, CSV, JSON | OTX API, STIX | STIX/TAXII, REST, нативные | STIX/TAXII, JSON, CSV |
| SIEM-интеграция | Через lookup/API | Нативная во многих | Splunk, Sentinel, QRadar | RuSIEM, OpenCTI, MISP |
| Decay/TTL | Фиксированный | Нет | Динамический | Скоринг с TTL |
| Данные РФ-регуляторов | Нет | Нет | Нет | По заявлению вендора |
| Когда использовать | Всегда как baseline | С курацией, дополнение | SOC >3 аналитиков | КИИ, российские SIEM |
| Когда НЕ использовать | Как единственный источник | Без фильтрации | Бюджет ограничен | Нет российских СЗИ |
Оптимальный подход - blended: Abuse.ch как baseline для C2 и malware, коммерческий фид для контекста и actor attribution, отраслевой (ФинЦЕРТ, ISAC) для секторальных угроз. Ни один фид не самодостаточен - по данным CyCognito, использование нескольких источников позволяет кросс-верифицировать индикаторы и снижать FP rate. На практике три-четыре фида с правильной курацией бьют один "премиальный" без настройки.
Интеграция threat intelligence с SIEM и автоматизация IOC-обогащения
Критический момент: перед автоблокировкой исключайте из проверки Tor exit nodes (официальный список torproject.org/exit-addresses), ASN CDN-провайдеров (Cloudflare, Fastly, Akamai) и CGNAT-пулы партнёрских сетей. Без whitelist автоматизация заблокирует легитимный трафик. Видел случай, когда автоблок по фиду положил доступ к CDN для всего офиса на полдня. Не повторяйте.
Чеклист подключения IOC-фидов в SOC
- Подключить Abuse.ch (URLhaus + Feodo Tracker + ThreatFox) как baseline - бесплатно, минимальный FP
- Добавить CISA KEV для приоритизации патчей - ноль ложных срабатываний
- Настроить whitelist: Tor exits, CDN ASN, партнёрские NAT-выходы, известные bulletproof-хостинги
- Задать TTL/decay-политики: DNS -> 72 часа, IP -> 14 дней, file hash -> 90 дней
- Подключить отраслевой фид (ФинЦЕРТ для финсектора, индикаторы ФСТЭК для КИИ)
- Автоматизировать enrichment через AbuseIPDB (cutoff confidence > 75 для автоблокировки)
- Замерить FP rate за 2 недели - если выше допустимого, ужесточить whitelist и decay
- Коммерческий фид подключать после вычистки бесплатного стека - иначе добавите дорогой контекст поверх шума
Правильная последовательность: Abuse.ch + CISA KEV + whitelist + TTL-политики -> бесплатный стек закрывает baseline по C2 и malware detection -> отраслевой фид (ФинЦЕРТ для финансового сектора, ФСТЭК для КИИ) -> коммерческий - когда аналитики видят чистые алерты и им не хватает actor attribution.
И последнее. Есть проблема, о которой вендоры IOC-фидов говорить не любят: индикаторы компрометации принципиально слепы к insider threat и скомпрометированным легитимным хостам. Когда атакующий использует персональные данные из утечки масштабов Addi (34 миллиона записей в марте 2026, по данным HIBP) в сочетании с credential stuffing - IP-blocklist не поможет, трафик идёт с легитимного хоста. Здесь нужен baseline сетевого трафика и поведенческая аналитика, а IOC-матчинг бесполезен. Это не недостаток фидов - это граница применимости, которую нужно осознавать при проектировании detection-стека. Если строите enrichment-пайплайн и ищете готовые SOAR-плейбуки для автообработки IOC из разных фидов - на codeby.net есть тред, где коллеги делятся рабочими конфигурациями.
Последнее редактирование модератором:
