Threat Intelligence, TI Portal и Threat Intelligence Platform

Компании не могут ограничиваться простым сбором событий из средств защиты. Бизнесу нужен внешний контекст, который помогает замечать вредоносную активность, понимать ее смысл и принимать решения по реагированию. При этом контекст должен соответствовать ландшафту киберугроз компании. Поэтому тема Threat Intelligence Threat Intelligence — процесс сбора, проверки и анализа сведений о кибератаках, который помогает заранее видеть риски и усиливать защиту. и решений класса Threat Intelligence Platform Threat Intelligence Platform — система для централизованной обработки, обогащения и применения сведений о кибератаках в процессах ИБ. стала практической задачей для SOC SOC (Security Operations Center) — центр мониторинга и реагирования на инциденты, который отслеживает события ИБ, выявляет атаки и координирует защитные действия., ИБ-команд и руководителей, отвечающих за устойчивость бизнеса.

На этапе выбора может возникнуть путаница. Одни компании ищут фиды с индикаторами компрометации, чтобы поставлять данные сразу в СЗИ, другие рассматривают TIP, а третьи ожидают, что одна технология сразу закроет все задачи. На практике это разные уровни зрелости и разные сценарии.

Что такое Threat Intelligence

Стоит рассматривать разведку угроз как системную работу со сведениями о злоумышленниках, их инфраструктуре, кампаниях и признаках компрометации: от сбора и проверки до анализа и прикладного использования в защите. Речь идет не только об IP-адресах, доменах и хешах. Полноценный подход включает понимание киберландшафта: кто атакует, какие техники использует, какова мотивация злоумышленников и какие признаки действительно важны для конкретной организации и сферы бизнеса.

Ценность для бизнеса не в объеме данных Threat Intelligence, а в их полезности. Качественная киберразведка помогает приоритизировать алерты, быстрее находить реальную вредоносную активность, ускорять расследование и выстраивать проактивную защиту.

Команда Solar 4RAYS

TI Feeds: состав и применение

В практических сценариях под этим термином обычно понимают потоки контекста, который можно встроить в действующий стек защиты. В состав таких потоков входят индикаторы компрометации, по которым можно опознать вредоносную активность, и правила обнаружения кибератак. Обновления интегрируются по API, после чего фиды поступают в действующие системы мониторинга и используются для выявления следов компрометации, фильтрации и блокировки подозрительной активности, а также для поддержки процессов реагирования на инциденты. Передачу данных можно выполнять вручную через таблицы или списки для нормализации, напрямую потоком в СЗИ или через агента с поддержкой инициатора загрузки по указанному ритму и признаку (критичность, актуальность, регион, источник и пр.).

Практическая ценность TI Feeds проявляется внутри инфраструктуры заказчика. Их подключают к SIEM SIEM (Security Information and Event Management) — система сбора, корреляции и анализа событий ИБ, которая помогает выявлять подозрительную активность и расследовать инциденты., SOAR SOAR (Security Orchestration, Automation and Response) — система оркестрации, автоматизации и реагирования, которая помогает ускорять обработку инцидентов., NGFW NGFW (Next-Generation Firewall) — межсетевой экран нового поколения, который контролирует трафик, выявляет сложные атаки и применяет расширенные политики безопасности., EDR EDR (Endpoint Detection and Response) — средство обнаружения и реагирования на конечных устройствах, которое отслеживает подозрительную активность на рабочих станциях и серверах., XDR XDR (Extended Detection and Response) — система расширенного обнаружения и реагирования, которая объединяет сигналы из разных источников и помогает видеть атаку целиком.. Это позволяет не просто получать индикаторы, а использовать их для корреляции, ретроспективного анализа, блокировки подозрительных действий и ускорения расследования инцидентов. Дополнительно сервис может включать правила выявления новых атак и форматы интеграции в распространенные процессы мониторинга.

Отдельная задача — гибкость состава фидов. Компании могут использовать полный поток фидов, комплекты поставки под типовые задачи ИБ или задавать индивидуальный срез под свой сценарий. Это важно, потому что универсальный поток дает максимальную пользу не всем компаниям: эффективнее работает тот состав, который соответствует конкретной инфраструктуре, ландшафту киберугроз и процессам защиты.

Сам по себе индикатор еще не гарантирует результата. Важно понимать, насколько он релевантен конкретной отрасли, архитектуре, географии и профилю рисков компании. В этом помогает категоризация фидов. Она помогает выявлять и сдерживать спектр тактик злоумышленников:

• Фишинговые кампании.
• Срабатывания вредоносного ПО.
• Обращения от инфраструктуры командно-контрольных серверов.
• Попытки эксплуатации уязвимостей.
• Активность APT-группировок APT-группировка — устойчивая группа атакующих, которая проводит сложные целевые кампании, использует собственные инструменты и действует по заранее продуманному сценарию..

И другие потенциальные сценарии, которые может поддерживать поставщик данных в зависимости от доступных ему источников.

Расскажем, какие вопросы стоит задать вашему будущему поставщику данных TI Feeds.

Скачать документ

Форматы поставки и применение в СЗИ

Интеграция TI-фидов в инфраструктуру информационной безопасности — это важный шаг для оперативного реагирования на инциденты. При выборе TI-фидов нужно смотреть на возможности ваших систем защиты информации (СЗИ). Именно они определяют ключевые требования к интеграции:

• Частота обновления данных — от инкрементальных апдейтов до полной выгрузки актуального набора.
• Формат и состав выгрузки — поддержка списков, CSV, TSV или JSON, а также возможность выбора конкретных полей фида.
• Способ передачи (инициатор загрузки) — поддержка со стороны как TI-сервиса, так и СЗИ (например, Syslog).

В сервисе Solar TI Feeds есть набор готовых коннекторов к последним версиям популярных средств защиты и систем мониторинга: SIEM, TIP, NGFW, NTA, EDR и других, — благодаря чему не требуется дополнительных усилий для настройки передачи данных и фиды можно получать сразу в день подключения к сервису и в корректном формате. Сразу в средствах защиты в выбранных полях вам доступен весь контекст найденных угроз и ссылок на связанные публичные отчеты. Во время пилота заказчик получает доступ к порталу с дополнительным контекстом по каждому индикатору: датами обнаружения, критичностью, категорией, связанными объектами, тактиками, инструментами и техниками.

Именно связка «фид + контекст + интеграция» делает сервис прикладным для внутреннего SOC. Если у команды есть только поток индикаторов без удобной операционной среды, часть ценности неизбежно теряется на ручной обработке.

Проверьте Solar TI Feeds на своем контуре

Оцените, как сервис работает в реальной инфраструктуре, и проверьте его пользу.

Оставить заявку

Как оценивать качество

Одна из самых частых ошибок при выборе поставщика — ориентироваться только на объем базы. В реальности ключевой критерий — не количество индикаторов, а их польза для конкретной организации. При оценке важно смотреть на уникальность индикаторов компрометации, пересечение с текущими событиями в инфраструктуре, процент ложноположительных срабатываний, регулярность обновления, уровень технической поддержки и оперативной связи по качеству данных.

Для прикладной защиты нужны не очередные переупакованные открытые данные из публичных источников, а верифицированный и актуальный контент. После автоматической и ручной проверки в поставку должны попадать только действительно полезные сведения, которые помогают SOC сократить шум и повысить точность мониторинга.

При выборе TI Feeds стоит обращать внимание на следующие факторы:

• Уникальность источников. Важно, чтобы поставщик использовал собственную экспертизу, а не ограничивался перепродажей общедоступных индикаторов.
• Соответствие модели рисков. Фиды должны учитывать отрасль, географию, тип инфраструктуры и особенности атак, характерных именно для данного бизнеса.
• Низкий уровень ложноположительных срабатываний. Полезны только те материалы, которые повышают точность мониторинга, а не создают дополнительный поток нерелевантных срабатываний.
• Удобство интеграции. Чем проще подключить фиды к существующим системам защиты, тем быстрее компания получает практический эффект.
• Регулярность обновления. Для прикладной защиты критично, чтобы новые индикаторы и правила поступали оперативно и не теряли актуальность.

Уникальность поставки Solar TI Feeds Solar TI Feeds — Сервис поставки актуальных и верифицированных фидов для мониторинга, выявления и расследования киберинцидентов. обеспечивается не только телеметрией сервисов и продуктов Солара, но и масштабом источников:

1. В сервис поступают сведения от сенсоров в сети «Ростелекома», которая охватывает всю Россию. За счет такого покрытия фиды отражают активность, выявляемую в разных регионах страны, и позволяют быстрее замечать инфраструктуру злоумышленников, вредоносные кампании и подозрительные связи, которые могут остаться незаметными при более узком наборе источников.
2. Данные обогащаются в Центре исследования киберугроз Solar 4RAYS на сотнях реальных расследований командами Digital Forensics, Threat Hunting и Threat Intelligence. Эксперты пишут правила обнаружения киберугроз на основе прогноза данных о потенциальных киберугрозах наблюдаемого ландшафта.

Соответствие модели рисков конкретного бизнеса

Качественная киберразведка всегда должна соотноситься с моделью рисков конкретной организации. География, отрасль, характер активов, тип клиентов и особенности инфраструктуры напрямую влияют на то, какие кампании и индикаторы действительно важны. Если компания работает с государственным сектором или крупными распределенными структурами, у нее одна картина рисков. Если это коммерческий сегмент с иным профилем атак, приоритеты будут другими.

Показательный пример — фишинговые атаки Cloud Atlas на организации, связанные с государственным сектором. Даже если инфраструктура C2 — командные серверы злоумышленников и отдельные элементы кампании — уже описана в открытых источниках, они могут не войти во внутреннюю модель рисков компании. В таком случае организация не отслеживает эти признаки заранее и начинает реагировать уже после инцидента. Именно поэтому полезность фидов определяется не масштабом базы, а тем, насколько они пересекаются с реальными сценариями для конкретного бизнеса.

Threat Intelligence Portal — это отдельный продукт?

Портал Threat Intelligence, как правило, представляет собой веб-сайт, который агрегирует всю доступную информацию из TI Feeds в удобном для аналитика формате:

1. Описание индикатора компрометации.
2. Вердикт и эвристики — насколько опасна угроза.
3. Все доступные связи для оперативного изучения контекста.

Чаще всего вендоры предоставляют портал вместе с потоком данных TI бесплатно. Благодаря TI-порталу SOC-аналитик осуществляет поиск по хешам, доменам, IP-адресам, отчетам и группировкам — и тем самым осуществляет расследование инцидента в едином пространстве.

Получить доступ к порталу можно бесплатно на пилоте сервиса Solar TI Feeds

Оставить заявку

Что можно найти в Solar TI Portal

Solar Threat Intelligence Portal предоставляет наглядный доступ к глубокому контексту киберугроз для ускорения реагирования на инциденты. В 2-v квартале 2026 года на портале доступны:

• 2,5+ млн обработанных индикаторов компрометации.
• 11,5 млн обработанных вредоносных файлов.
• 1,6+ млн хешей.
• 1000 публичных и закрытых отчетов.
• 200+ атрибутированных группировок.

Основными пользователями портала являются SOC-аналитики (L1, L2), специалисты по реагированию и расследованию, эксперты по поиску актуальных угроз и аналитики Threat Intelligence.

Возможные сценарии применения портала TI

• Оперативная проверка индикаторов (IOC). Поиск и анализ подозрительных доменов, IP-адресов, хешей и других артефактов.
• Обогащение событий безопасности. Мгновенное получение контекста по гиперссылкам из алертов СЗИ Зависит от того, в какие СЗИ поставляется сервис Solar TI Feeds (SIEM/EDR/NGFW/SWG) без переключения между системами.
• Threat Hunting и профилирование. Изучение тактик группировок и поиск скрытых угроз на основе данных о противнике. Изучение свежих отчетов исследования киберугроз, связи группировок и все доступные псевдонимы от разных ресерч-центров.

Например, исследуя обращения из инфраструктуры по индикатору из публичного отчета «Мертвые души в инфраструктуре», можно обнаружить вредоносную активность известной группировки Shedding Zmiy и другие связанные с ней вредоносные артефакты. Это позволяет эксперту по реагированию принять быстрое решение по блокировке вредоносной активности и начале полноценного расследования инцидента. Об ошибках реагирования мы писали ранее в большой инструкции.

Что такое Threat Intelligence Platform

Технологическая среда для централизованной работы с данными киберразведки называется Threat Intelligence Platform. Она принимает сведения из разных источников, нормализует, приводит их к единому формату, обогащает контекстом, помогает выстраивать связи между объектами и поддерживает автоматизацию обработки. Иначе говоря, TI-платформа отвечает не за происхождение потока, а за удобство управления им внутри процессов безопасности.

Платформа помогает убрать дублирование, наладить нормализацию, автоматизировать обогащение информации и масштабировать использование внешнего контекста внутри команды. Но она не заменяет качественный источник уникальных данных.

В чем разница

TI Feeds — это уникальные знания, контекст, правила и аналитика. TI-платформа — инструмент управления всем этим. Когда компании не хватает качественных сведений об актуальных вредоносных кампаниях, в первую очередь нужна профессиональная разведка угроз. Когда потоков уже много и возникает задача централизованно их собирать, нормализовать, связывать и автоматизировать, приходит очередь TIP. А TI-портал — это продолжение фида от одного поставщика, когда у заказчика пока нет потребности в платформенном решении.

Узнайте, как Solar TI Feeds помогает команде SOC получать актуальный контекст по кибератакам.

Скачать кейс

В таблице ниже показаны ключевые различия между решениями: по роли в ИБ-контуре, прикладной задаче и условиям применения в инфраструктуре компании.

Но одного TI или TIP недостаточно. Для зрелой практики безопасности важен баланс: контент должен быть релевантным вашей модели угроз, а процессы — управляемыми.

Что выбрать

Если у компании уже есть SIEM, SOC или базовый набор средств мониторинга, но не хватает качественного внешнего контекста, логичнее начать с потоков данных киберразведки. Такой сценарий позволяет быстрее получить практический эффект: улучшить детектирование, точнее приоритизировать события, усилить ретроспективный анализ и сократить нагрузку на аналитиков.

Если у организации уже несколько источников, есть зрелые процессы реагирования, собственные сценарии обогащения и необходимость централизованно управлять всем жизненным циклом потока, тогда имеет смысл смотреть в сторону системы анализа угроз.

Почему Solar TI Feeds: кейсы

Solar TI Feeds — это сервис, который предоставляет фиды об актуальных киберугрозах и помогает усиливать обнаружение, приоритизацию и расследование инцидентов. Сервис использует сведения от сенсоров в сети «Ростелекома», результаты ежедневного анализа, правила выявления на основе расследований Solar 4RAYS и телеметрию Solar JSOC. Дополнительное преимущество — возможность быстро переключиться от мониторинга к практическим действиям. Если в инфраструктуре заказчика обнаружены индикаторы компрометации, команда Solar 4RAYS может подключиться к инфраструктуре, чтобы помочь локализовать инцидент и предотвратить его развитие.

Кейс промышленного холдинга показывает практическую ценность Solar TI Feeds в инфраструктуре с уже выстроенными процессами мониторинга и реагирования. Когда служба ИБ ежемесячно обрабатывает значительный поток значимых событий, ключевую роль начинает играть внешний контекст. Сервис помогает быстрее сопоставлять подозрительную активность с известной вредоносной инфраструктурой, точнее определять приоритет инцидента и снижать нагрузку на первичный анализ. В таком контуре он становится не просто источником индикаторов, а инструментом, который повышает точность мониторинга и ускоряет переход от обнаружения к практическому реагированию.

Самым показательным кейсом применения Solar TI Feeds можно считать собственную команду расследования и реагирования на инциденты Solar 4RAYS, которая переобогащает эти данные, благодаря чему выполняет свою работу еще эффективнее на реальных угрозах. Подробные кейсы расследований и публичные отчеты — в блоге Solar 4RAYS.

Оставьте заявку на пилот Solar TI Feeds

Оцените сервис в своей инфраструктуре и проверьте, как он ускоряет реагирование.

Подключить пилот

Часто задаваемые вопросы