Разберём, как превратить Threat Intelligence в рабочий инструмент, который помогает находить угрозы раньше, а не просто “подтверждать” их постфактум в отчётах. Поговорим, какие типы данных действительно дают пользу (а какие чаще создают шум), как быстро оценить качество источников и не купить “витрину индикаторов”, и как собрать понятный набор данных под вашу отрасль и профиль атак.
Отдельно разложим, как TI встраивается в ежедневную работу SOC и реагирования: что стоит автоматизировать сразу, где обязательно нужна проверка аналитика, и как настроить жизненный цикл данных, чтобы индикаторы не устаревали и не засоряли мониторинг. Обсудим практические сценарии — от приоритизации уязвимостей и сигналов по учётным данным до охоты по поведению атакующих.
И главное — разберём, как измерять эффект так, чтобы это было понятно руководству: что улучшилось в скорости обнаружения и триажа, сколько шума удалось убрать, какие сценарии стали закрываться быстрее, и что можно сделать за первые 30–90 дней, чтобы TI начал приносить ощутимый результат.
Ключевые вопросы дискуссии:
- Зачем TI нужен и что считать “пользой”
- Что такое TI простыми словами и где он реально помогает компании?
- Какие данные TI чаще всего дают пользу в работе?
- Как понять, что источник данных вам подходит?
- Можно ли начинать с бесплатных источников и не разочароваться?
- Как организовать “микс источников”, чтобы не зависеть от одного поставщика?
- Где TI реально помогает “предотвратить”, а не просто красиво рассказать после инцидента?
- Когда атрибуция реально нужна и кому она полезна?
- Как решать проблему устаревания индикаторов?
- Что TI должен отдавать в SOC в идеале?
- Как TI сокращает время реагирования в реальной жизни?
- Как построить TI-процесс, который не развалится через 2 месяца
- С какого прикладного сценария лучше начать TI, чтобы был результат за 30–60 дней?
- Кто должен “владеть” TI внутри компании?
- Как не утонуть в данных и не превратить всё в Excel?
- Какие метрики показывают пользу TI честно?
- Как вы режете шум и дубли, чтобы не “убить” SIEM и людей?
- Какие три ошибки чаще всего убивают TI-внедрение?
- Как связать TI с мониторингом и реагированием так, чтобы это работало каждый день?
- Как подружить TI, CM и DRSR, если в приоритете атаки на учётки?
- Как вы обогащаете TI-сигналы контекстом, чтобы расследования шли быстрее?
- Что делать с неструктурированными источниками?
- Как правильно делиться разведданными снаружи?
- Как доказать бюджет на TI и не покупать “витрину”?
- Итоги и прогнозы
- Какие изменения в атаках сильнее всего меняют требования к TI в 2026?
- Какие навыки TI-аналитика становятся ключевыми в 2026?
- Если начинать TI “с нуля” в 2026, какие 3 шага вы сделаете в первые 90 дней?
- Что зритель может проверить уже завтра, чтобы TI начал давать пользу?
Приглашенные эксперты:
|
|
Уточняется Уточняется |
Модераторы:
|
|
Дмитрий Беляев CISO, независимый эксперт |
