Security Operations Center

Threat Intelligence

Справочное руководство SOC-аналитика по работе с разведданными об угрозах — от IoC-фидов и TI-платформ до профилирования противника и проактивного хантинга

🔮

Что такое Threat IntelligenceОпределение, уровни, зачем это SOC-аналитику

Threat Intelligence (TI) — это сбор, обработка и анализ данных об угрозах, противниках, их инструментах, тактиках и инфраструктуре. Цель TI — превратить «сырые» данные (хэш файла, IP-адрес, домен) в контекст для принятия решений: кто атакует, зачем, как, и что делать дальше. Для SOC-аналитика TI — это разница между «заблокировать IP» и «понять, что это APT29, часть кампании по эксфильтрации данных, и нужно проверить все хосты на аналогичные IoC».

Уровни TI

Тактический (Technical / Tactical) Конкретные IoC: хэши файлов, IP-адреса C2, вредоносные домены, YARA-правила, Suricata-сигнатуры. Потребители: SIEM, EDR, файрволы, SOC L1/L2. Срок жизни: часы–дни (IP и домены быстро меняются).

Оперативный (Operational) Описание кампаний, TTPs (Tactics, Techniques, Procedures) атакующих, используемые инструменты и инфраструктура. Потребители: SOC L2/L3, Incident Response, Threat Hunting. Срок жизни: недели–месяцы.

Стратегический (Strategic) Высокоуровневый анализ: мотивация противников, геополитический контекст, тренды угроз, оценка рисков для отрасли. Потребители: CISO, руководство, риск-менеджмент. Срок жизни: месяцы–годы.

Для SOC-аналитика: Вы работаете преимущественно на тактическом и оперативном уровне. Ваша задача — уметь находить IoC, обогащать их контекстом (кто стоит за IP? к какой кампании относится хэш?), и применять в SIEM/EDR для обнаружения. Стратегический уровень — для руководителей, но понимание мотивации противника помогает приоритизировать алерты.

🎯

IoC — индикаторы компрометацииТипы, пирамида боли, что искать и как обогащать

Типы IoC

Классификация

Хэши файлов (MD5, SHA-1, SHA-256)Уникальный идентификатор вредоносного файла. Самый точный IoC, но легко обходится — достаточно изменить один байт.

IP-адресаАдреса C2-серверов, серверов эксфильтрации, сканеров. Быстро меняются. Проверяйте в AbuseIPDB, VirusTotal, Shodan.

ДоменыВредоносные домены, DGA, фишинговые домены. Более устойчивый IoC, чем IP (домен привязан к кампании). Проверяйте в URLhaus, PhishTank, PassiveDNS.

URL-адресаКонкретные пути: http://evil.com/payload.exe. Более специфичны, чем домен, но быстро меняются.

Email-адреса / SubjectФишинговые отправители, темы писем. Полезны для ретроспективного поиска в email-логах.

Артефакты хостаМьютексы, ключи реестра, имена файлов, пути, запланированные задачи — признаки заражения на уровне хоста. Более устойчивы к смене инфраструктуры.

Пирамида боли (Pyramid of Pain)

Модель Дэвида Бьянко

Пирамида боли показывает, насколько «больно» атакующему, если вы обнаруживаете и блокируете определённый тип индикатора. Чем выше по пирамиде — тем дороже для противника смена тактики:

Хэши (низ пирамиды) — тривиально изменить. Блокировка одного хэша ничего не стоит атакующему.
IP-адреса — легко сменить (новый VPS за 5 минут).
Домены — сложнее, требуют регистрации и DNS-настройки, но всё ещё доступно.
Сетевые артефакты (User-Agent, URI-паттерны, JA3) — требуют перекомпиляции инструмента.
Хостовые артефакты (мьютексы, пути файлов, ключи реестра) — аналогично, требуют изменения кода.
Инструменты — смена инструмента (с Cobalt Strike на Sliver) дорогая и болезненная.
TTPs (вершина) — тактики и техники. Сменить TTP = переучить оператора, переписать playbook. Максимально «больно» для противника.

Вывод: Стремитесь обнаруживать не хэши и IP (они завтра сменятся), а TTPs — поведенческие паттерны. Именно для этого существует MITRE ATT&CK: обнаружение техник, а не конкретных индикаторов.

🔄

Жизненный цикл IoCОт обнаружения до устаревания — как работать с индикаторами

Этапы жизненного цикла

1. Сбор (Collection): Получение IoC из фидов, песочниц, инцидентов, OSINT, партнёров, ISAC. Автоматический импорт через TAXII/STIX.
2. Обработка (Processing): Нормализация форматов (STIX 2.1), дедупликация, присвоение меток (TLP, confidence, severity).
3. Обогащение (Enrichment): Добавление контекста: WHOIS, PassiveDNS, GeoIP, связь с кампанией/группой, VirusTotal score, Shodan-данные.
4. Анализ (Analysis): Корреляция с другими IoC, выявление паттернов, привязка к Threat Actor, оценка релевантности для организации.
5. Распространение (Dissemination): Экспорт в SIEM/EDR (IoC-based alerts), рассылка бюллетеней, обмен с ISAC/партнёрами через MISP.
6. Применение (Application): Блокировка на файрволе, создание detection rules (Sigma, Suricata, YARA), Threat Hunting по организации.
7. Устаревание (Expiration): IoC имеют срок жизни. IP-адрес C2, актуальный неделю назад, может быть переназначен легитимному клиенту. Регулярно ревьюйте и удаляйте устаревшие IoC.

TLP — Traffic Light Protocol

Система маркировки для контроля распространения TI-данных:

TLP:REDТолько для конкретных получателей. Не распространять далее ни при каких обстоятельствах.

TLP:AMBERТолько для организации получателя и партнёров, которым необходимо знать (need-to-know).

TLP:GREENДля сообщества (ISAC, партнёры). Не публиковать в открытых источниках.

TLP:CLEARПубличная информация. Можно распространять без ограничений.

На практике: Средний срок жизни IoC: хэш — недели–месяцы, IP-адрес C2 — часы–дни, домен — дни–недели, TTP — месяцы–годы. Настройте автоматическое устаревание (expiration) в MISP/OpenCTI: IP → 30 дней, домен → 90 дней, хэш → 180 дней.

⚔️

Cyber Kill Chain на практикеМодель Lockheed Martin — от разведки до действий на цели

Что такое Kill Chain

Cyber Kill Chain (Lockheed Martin, 2011) — модель, описывающая этапы целенаправленной кибератаки. Ключевая идея: если вы прерываете цепочку на любом этапе — атака не достигает цели. Чем раньше обнаружение — тем меньше ущерб.

Разведка

OSINT, сканирование

Вооружение

Создание пейлоада

Доставка

Email, эксплойт, USB

Эксплуатация

Запуск уязвимости

Установка

Бэкдор, persistence

Связь с сервером

Действия

Эксфильтрация, шифрование

Привязка к практике: что делать на каждом этапе

Этап 1 — Разведка (Reconnaissance)

Что делает атакующий: собирает информацию о цели — сотрудники (LinkedIn), домены (DNS), технологии (Shodan, Wappalyzer), email-адреса (Hunter.io).

MITRE ATT&CK: TA0043 — Reconnaissance (T1595 — Active Scanning, T1589 — Gather Victim Identity Info).

Что может SOC: Мониторинг аномального сканирования периметра (IDS), honeypots, мониторинг утечек данных о компании (DarkWeb-мониторинг).

Этап 2 — Вооружение (Weaponization)

Что делает атакующий: создаёт вредоносный пейлоад: вложение с макросами, эксплойт для уязвимости, фишинговую страницу.

MITRE ATT&CK: TA0042 — Resource Development (T1587 — Develop Capabilities, T1588 — Obtain Capabilities).

Что может SOC: Напрямую повлиять на действия атакующего невозможно — он работает на своей инфраструктуре. Однако косвенно SOC может значительно сузить «поле для вооружения»: опираясь на результаты пентестов, аудитов безопасности и знание собственной инфраструктуры, SOC оценивает, какие уязвимости и точки входа наиболее привлекательны для противника, и приоритизирует их устранение. Если SOC знает, что на периметре стоит уязвимый Exchange — он понимает, что именно под него будет создан эксплойт. Дополнительно: мониторинг TI-фидов на новые инструменты и эксплойты, vulnerability intelligence (CISA KEV), патч-менеджмент критичных систем.

Этап 3 — Доставка (Delivery)

Что делает атакующий: доставляет пейлоад жертве: фишинговое письмо, вредоносная ссылка, эксплуатация публичного сервиса (RDP, VPN, Exchange), подброс заражённых USB-накопителей (USB drop attack — классика social engineering: флешки раскидываются на парковке, в холле, у входа в офис).

MITRE ATT&CK: TA0001 — Initial Access (T1566 — Phishing, T1190 — Exploit Public-Facing Application, T1078 — Valid Accounts, T1091 — Replication Through Removable Media).

Что может SOC: Email-фильтрация (sandbox detonation вложений), блокировка вредоносных URL на прокси, детекция эксплуатации VPN/RDP (аномальные логины, geo-impossible travel). Для USB-вектора: политики Device Control (блокировка/аудит подключения съёмных носителей через GPO, EDR или DLP), мониторинг Sysmon Event ID 1 (autorun-процессы при подключении USB), физическая безопасность (обучение персонала не подключать неизвестные устройства). Пресечение на этом этапе — лучший сценарий.

Этап 4 — Эксплуатация (Exploitation)

Что делает атакующий: пейлоад выполняется: макрос запущен, уязвимость эксплуатирована, пользователь кликнул по ссылке.

MITRE ATT&CK: TA0002 — Execution (T1204 — User Execution, T1059 — Command and Scripting Interpreter).

Что может SOC: EDR-детекция аномального поведения процессов (WINWORD.EXE → cmd.exe), Sysmon Event ID 1, AMSI для PowerShell, блокировка макросов политиками GPO.

Этап 5 — Установка (Installation)

Что делает атакующий: закрепляется: создаёт задачу в планировщике, ключ реестра Run, службу, DLL hijacking.

MITRE ATT&CK: TA0003 — Persistence (T1053 — Scheduled Task, T1547 — Boot/Logon Autostart, T1543 — Create/Modify System Process).

Что может SOC: Autoruns-мониторинг, Sysmon (Event ID 12/13 — реестр, Event ID 19-21 — WMI), EDR, YARA-сканирование, Regshot.

Этап 6 — C2 (Command and Control)

Что делает атакующий: устанавливает канал управления: HTTP/HTTPS beaconing, DNS tunneling, Cobalt Strike, Sliver.

MITRE ATT&CK: TA0011 — Command and Control (T1071 — Application Layer Protocol, T1573 — Encrypted Channel, T1568 — Dynamic Resolution).

Что может SOC: JA3-фингерпринтинг, beaconing-анализ (RITA), блокировка DGA-доменов, мониторинг DNS-аномалий, TI-фиды с C2-адресами.

Этап 7 — Действия на цели (Actions on Objectives)

Что делает атакующий: достигает цели: эксфильтрация данных, шифрование (ransomware), уничтожение (wiper), lateral movement для расширения доступа.

MITRE ATT&CK: TA0040 — Impact (T1486 — Data Encrypted, T1485 — Data Destruction), TA0010 — Exfiltration, TA0008 — Lateral Movement.

Что может SOC: DLP, мониторинг аномального объёма исходящего трафика, canary files для ransomware, сегментация сети для ограничения lateral movement.

Ключевой принцип: Kill Chain — линейная модель. Её главная ценность — показать, что у защитника есть 7 шансов остановить атаку. Чем раньше обнаружение — тем меньше ущерб. Пресечение на этапе Delivery = нулевой ущерб. Обнаружение на этапе Actions on Objectives = инцидент уже произошёл.

🗺️

MITRE ATT&CK на практикеМатрица тактик и техник — как применять в повседневной работе SOC

Структура ATT&CK

MITRE ATT&CK — это база знаний о тактиках и техниках противников, построенная на реальных наблюдениях. В отличие от Kill Chain (линейная модель), ATT&CK — это матрица, где атакующий может использовать техники в любом порядке.

Тактика (Tactic) — «зачем» атакующий выполняет действие. Пример: TA0003 — Persistence (закрепление в системе).
Техника (Technique) — «как» он это делает. Пример: T1053.005 — Scheduled Task.
Подтехника (Sub-technique) — конкретная вариация. Пример: T1053.005 — Scheduled Task/Job: Scheduled Task.
Процедура (Procedure) — конкретная реализация техники конкретной группой. Пример: APT29 создаёт задачу с именем «WindowsUpdate».

14 тактик ATT&CK Enterprise

Обзор тактик

TA0043 — ReconnaissanceСбор информации о цели перед атакой

TA0042 — Resource DevelopmentСоздание инфраструктуры и инструментов

TA0001 — Initial AccessПервоначальное проникновение в сеть

TA0002 — ExecutionЗапуск вредоносного кода

TA0003 — PersistenceЗакрепление (выживание после перезагрузки)

TA0004 — Privilege EscalationПовышение привилегий

TA0005 — Defense EvasionОбход защитных механизмов

TA0006 — Credential AccessКража учётных данных

TA0007 — DiscoveryИзучение окружения (сеть, AD, файлы)

TA0008 — Lateral MovementГоризонтальное перемещение по сети

TA0009 — CollectionСбор данных для эксфильтрации

TA0011 — Command and ControlУправление заражёнными хостами

TA0010 — ExfiltrationВывод данных из организации

TA0040 — ImpactДеструктивные действия (шифрование, wipe)

Пример: связь Kill Chain → MITRE ATT&CK → реальность

Сценарий: фишинговая атака с доставкой ransomware

Kill Chain → MITRE → ДетекцияKC 03 Доставка     → T1566.001 Spearphishing Attachment
                        → Детекция: email sandbox, YARA на вложениях

KC 04 Эксплуатация  → T1204.002 User Execution: Malicious File
                     → T1059.001 PowerShell
                        → Детекция: Sysmon ID 1 (WINWORD→cmd→powershell)

KC 05 Установка     → T1053.005 Scheduled Task
                     → T1547.001 Registry Run Keys
                        → Детекция: Sysmon ID 12/13, Autoruns

KC 06 C2            → T1071.001 Web Protocols (HTTPS beaconing)
                     → T1573.002 Asymmetric Cryptography
                        → Детекция: JA3, beaconing analysis, RITA

KC 07 Действия      → T1486 Data Encrypted for Impact
                     → T1490 Inhibit System Recovery (vssadmin delete)
                        → Детекция: canary files, Sysmon ID 1 (vssadmin)

Как применять на практике: При обработке инцидента — определите, какие техники были использованы, и зафиксируйте их ID в тикете. Это позволяет: (1) оценить покрытие детекции вашего SOC по матрице ATT&CK, (2) найти пробелы, (3) приоритизировать новые detection rules для техник, которые вы пока не обнаруживаете.

💎

Diamond ModelМодель анализа угроз — связь между противником, инфраструктурой, жертвой и возможностями

Четыре вершины ромба

Diamond Model (Caltagirone, Pendergast, Betz, 2013) описывает любое вторжение через четыре связанных элемента:

Adversary (Противник)Кто атакует: APT-группа, киберпреступники, инсайдер. Может быть известным (APT28) или неатрибутированным.

Capability (Возможности)Что использует: инструменты, эксплойты, малварь, TTPs. Пример: Cobalt Strike Beacon, CVE-2024-XXXX.

Infrastructure (Инфраструктура)Через что атакует: C2-серверы, домены, email-адреса, VPN-серверы, перехваченные легитимные хосты.

Victim (Жертва)Кого атакует: организация, конкретный сотрудник, подразделение, система. Включает уязвимости и экспозицию.

Как применять в SOC

Diamond Model помогает структурировать анализ инцидента и связывать артефакты:

От Infrastructure к Adversary: Вы обнаружили C2-IP → WHOIS/PassiveDNS показывают, что этот IP использовался в кампании APT29 → вы знаете противника.
От Capability к Infrastructure: Вы нашли Cobalt Strike Beacon → извлекли C2-конфиг → получили домены и IP-адреса C2-инфраструктуры.
От Victim к Adversary: Ваша отрасль (энергетика) + регион (Европа) + используемые техники → TI-фиды указывают на Sandworm.
Расширение: Узнав одну вершину, вы «вытягиваете» остальные → расширяете IoC, понимаете масштаб кампании.

Практический вывод: Каждый инцидент — это «ромб». Заполняйте все четыре вершины при документировании: кто, чем, через что, кого. Это превращает набор разрозненных IoC в связный intelligence.

🧩

TI-платформыСистемы управления разведданными об угрозах — open-source и коммерческие

Зачем нужна TI-платформа

TI-платформа (Threat Intelligence Platform, TIP) — центральное хранилище для IoC, отчётов, связей между индикаторами и группами. Без TIP аналитик хранит IoC в Excel-файлах, теряет контекст, не может делиться с командой и автоматизировать обнаружение. TIP интегрируется с SIEM, EDR, SOAR для автоматического обогащения алертов и блокировки угроз.

Open-Source платформы

MISP (Malware Information Sharing Platform) Open Source

Де-факто стандарт для обмена IoC между организациями. MISP хранит «события» (events), каждое из которых содержит атрибуты (IoC): хэши, IP, домены, email-адреса, YARA-правила. Поддерживает таксономии (TLP, PAP, отраслевые метки), кластеры (Threat Actor, Malware Family, Campaign), корреляцию атрибутов между событиями. Обмен данными через MISP Sync (server-to-server) и TAXII/STIX. Активное сообщество, тысячи развёрнутых экземпляров по всему миру. Интеграция: SIEM (через API или Syslog), TheHive, Cortex, OpenCTI.

Web UIREST APISTIX/TAXIIPythonSyncТаксономии

OpenCTI Open Source

Современная TI-платформа, ориентированная на связи и граф-визуализацию. Построена на STIX 2.1 как основном формате данных — все объекты (Threat Actor, Campaign, Malware, Indicator, Attack Pattern) хранятся как STIX-объекты с связями. Визуализация графа знаний (knowledge graph) позволяет видеть связи между группами, инструментами, кампаниями и IoC. Поддерживает коннекторы для автоматического импорта из MITRE ATT&CK, MISP, VirusTotal, AbuseIPDB, AlienVault OTX, Shodan и десятков других источников. Интеграция с TheHive, Cortex, Elasticsearch.

Web UIGraphQL APISTIX 2.1Knowledge GraphКоннекторы

TheHive + Cortex Open Source

TheHive — платформа управления инцидентами (Security Incident Response Platform, SIRP), тесно интегрированная с TI. Позволяет создавать кейсы, задачи, алерты, привязывать к ним observable (IoC) и обогащать их через Cortex. Cortex — движок обогащения и реагирования: автоматически запрашивает VirusTotal, Shodan, MISP, AbuseIPDB по каждому observable и возвращает контекст. Поддерживает «респондеры» для автоматического реагирования (блокировка IP на файрволе, изоляция хоста).

SIRPREST APICortex AnalyzersMISP Sync

YETI (Your Everyday Threat Intelligence) Open Source

Лёгкая TI-платформа, фокусирующаяся на организации IoC, связывании их с TTPs и группами, и быстром поиске. Менее масштабная, чем MISP или OpenCTI, но проще в развёртывании. Хорошо подходит для небольших команд, которым нужна база IoC без сложной инфраструктуры. Поддерживает импорт STIX, фиды, API.

Web UIREST APIPythonЛёгкая

Коммерческие платформы

Recorded Future Commercial

Лидер рынка TI по версии Gartner/Forrester. Автоматический сбор данных из открытых, закрытых и dark web источников с помощью NLP и ML. Предоставляет risk scores для IP, доменов, хэшей, vulnerability intelligence, brand monitoring, geopolitical intelligence. Интеграция с SIEM, SOAR, EDR через модули и API. Основное преимущество — масштаб сбора данных и автоматизация анализа.

SaaSAPIRisk ScoringDark WebNLP/ML

Mandiant Advantage (Google) Commercial

TI-платформа от Mandiant (теперь Google Cloud). Уникальная ценность — данные из реальных расследований IR-команды Mandiant (одна из крупнейших в мире). Профили Threat Actors, отчёты о кампаниях, IoC, vulnerability intelligence. Модули: Threat Intelligence, Attack Surface Management, Security Validation, Digital Threat Monitoring (DarkWeb). Часть Google Chronicle / Security Operations.

SaaSAPIIR-данныеGoogle Cloud

CrowdStrike Falcon Intelligence Commercial

TI-модуль в экосистеме CrowdStrike Falcon. Преимущество — автоматическая корреляция IoC с телеметрией EDR-агентов на эндпоинтах. Если новый IoC появляется в TI — Falcon автоматически проверяет, не было ли обращения к нему с защищаемых хостов. Sandbox (Falcon Sandbox / Hybrid Analysis), Threat Actor profiles, malware analysis, vulnerability intelligence.

SaaSEDR-интеграцияSandboxAPI

ThreatConnect Commercial

TIP + SOAR в одной платформе. Позволяет не только хранить и анализировать TI, но и автоматизировать реагирование (playbooks). Поддерживает Diamond Model нативно — связи Adversary-Infrastructure-Capability-Victim отображаются визуально. Фокус на операционализацию TI: превращение разведданных в конкретные действия.

SaaS / On-PremTIP + SOARDiamond ModelPlaybooks

Рекомендация для старта: Начните с MISP (бесплатный, широкое сообщество, можно подключить десятки фидов) + OpenCTI (визуализация связей, STIX 2.1). Для IR-процесса добавьте TheHive + Cortex. Эта связка покрывает 90% потребностей SOC в TI без затрат на лицензии.

📡

IoC-фиды и источникиГде получать актуальные индикаторы компрометации

Бесплатные IoC-фиды

Основные источники

Abuse.ch (URLhaus, MalwareBazaar, Feodo Tracker, SSLBL, ThreatFox)Лучший бесплатный источник IoC по малвари, ботнетам, C2, вредоносным URL и сертификатам. Все данные доступны через API и STIX/TAXII. Интеграция с MISP из коробки.

AlienVault OTX (Open Threat Exchange)Крупнейшее сообщество обмена TI. «Пульсы» (pulses) содержат IoC с контекстом. Бесплатный API, интеграция с SIEM/MISP.

MITRE ATT&CKНе IoC-фид, но ключевой источник TTPs: техники, процедуры, связи с группами. Обновляется ежеквартально. Импорт в OpenCTI через коннектор.

CISA Known Exploited Vulnerabilities (KEV)Каталог уязвимостей, активно эксплуатируемых в дикой природе. Обязателен для приоритизации патчинга.

PhishTankКраудсорсинговая база фишинговых URL. Бесплатный API для проверки и подачи.

AbuseIPDBКраудсорсинговая база вредоносных IP (сканирование, brute force, C2). Бесплатный API для проверки и обогащения.

Форматы обмена

STIX / TAXII

STIX 2.1 (Structured Threat Information Expression) — стандартизированный JSON-формат для описания IoC, кампаний, групп, инструментов и их связей. Основной формат в OpenCTI, MISP, коммерческих TIP.
TAXII (Trusted Automated Exchange of Intelligence Information) — протокол для автоматического обмена STIX-объектами между серверами. Клиент TAXII подключается к серверу и получает обновления — как RSS для TI.
На практике: настройте TAXII-клиент в MISP/OpenCTI для автоматического импорта из фидов (Abuse.ch, AlienVault OTX, CIRCL). IoC поступают автоматически без ручных действий.

Не количеством, а качеством: 50 качественных IoC с контекстом (кто, зачем, как) ценнее 500 000 «голых» IP-адресов без атрибуции. Фильтруйте фиды по релевантности для вашей отрасли и региона. Устанавливайте confidence score и TTL при импорте.

🕵️

Threat Actor ProfilingПрофилирование противника — кто, зачем, как и с какими ресурсами

Зачем профилировать

Знание противника позволяет предсказывать его действия: если APT29 (Cozy Bear) нацеливается на дипломатические организации и использует spearphishing с PDF-вложениями → вы можете усилить фильтрацию PDF на email-шлюзе и развернуть honeydocs. Без профилирования — вы защищаетесь «от всего сразу», что неэффективно.

Компоненты профиля

Что включать в профиль Threat Actor

Наименование и алиасыAPT29 / Cozy Bear / Nobelium / Midnight Blizzard. Разные вендоры используют разные имена — ведите таблицу соответствий (Malpedia, MITRE Groups).

МотивацияEspionage (государственный шпионаж), Financial (деньги), Hacktivism (идеология), Destructive (разрушение). Определяет приоритет для вашей организации.

Целевые отрасли и регионыЭнергетика, финансы, здравоохранение, государственные органы. Если ваша отрасль в списке — повышайте приоритет.

TTPs (по MITRE ATT&CK)Типичные техники группы. Позволяет создать ATT&CK Navigator-слой для вашего противника и проверить покрытие детекции.

ИнструментыCobalt Strike, Mimikatz, PsExec, кастомные RAT. Позволяет написать YARA/Sigma-правила.

ИнфраструктураТипичные хостинг-провайдеры, домен-регистраторы, C2-фреймворки, TLS-сертификаты. Позволяет проактивно искать новую инфраструктуру.

Ресурсы для профилирования

Где искать информацию

MITRE ATT&CK Groups — профили 140+ групп с TTPs, инструментами, кампаниями.
Malpedia (Fraunhofer FKIE) — база семейств малвари и Threat Actors с YARA-правилами.
APT Groups and Operations (Google Sheets) — краудсорсинговая таблица с алиасами всех групп.
Отчёты вендоров — Mandiant, CrowdStrike, Microsoft (MSTIC), Recorded Future, Kaspersky GReAT, ESET публикуют подробные отчёты о кампаниях.
Microsoft Threat Intelligence naming — новая система: Weather-based (Midnight Blizzard = APT29, Volt Typhoon = PRC-nexus).

ATT&CK Navigator: Откройте attack.mitre.org/navigator → загрузите слой (layer) для интересующей группы → наложите на слой ваших детекций. Красные ячейки без покрытия = ваши пробелы. Это один из самых мощных практических инструментов для приоритизации security engineering.

⚡

Операционализация TI в SOCКак превращать разведданные в конкретные действия

Проблема «IoC на полке»

Самая частая ошибка — собирать TI, но не применять. Тысячи IoC в MISP, десятки отчётов — но ни одного detection rule в SIEM. TI ценна только тогда, когда она превращается в действие: алерт, блокировку, hunt-запрос, бюллетень.

Пять способов операционализации

1. IoC-based detection (автоматическая)

Экспорт IoC (IP, домены, хэши) из MISP/OpenCTI в SIEM/EDR для автоматического срабатывания при обнаружении. Настройте TAXII-feed из MISP → SIEM (Elasticsearch, Splunk, QRadar). Каждый новый IoC автоматически становится алертом.

2. Поведенческие detection rules (Sigma)

На основе TTPs из TI-отчётов — создавайте Sigma-правила для SIEM. Пример: отчёт о кампании описывает T1053.005 Scheduled Task с именем «WindowsUpdate» → Sigma-правило:

Sigmatitle: Suspicious Scheduled Task - WindowsUpdate
logsource:
    product: windows
    service: sysmon
    category: process_creation
detection:
    selection:
        CommandLine|contains|all:
            - 'schtasks'
            - '/create'
            - 'WindowsUpdate'
    condition: selection
level: high
tags:
    - attack.persistence
    - attack.t1053.005

3. Ретроспективный поиск (Retro Hunt)

При появлении нового TI-отчёта — проверьте исторические логи: не было ли обращений к этим C2-адресам / доменам / хэшам в прошлом. Инструменты: SIEM-запросы по историческим данным, Velociraptor для хантинга на эндпоинтах, Arkime для ретро-поиска по PCAP.

4. TI-обогащённые алерты

Интегрируйте TI в workflow обработки алертов: когда SIEM генерирует алерт с IP-адресом → SOAR автоматически запрашивает VirusTotal, AbuseIPDB, MISP → аналитик видит контекст в тикете: «Этот IP — C2-сервер Emotet, severity critical, TLP:GREEN».

5. TI-бюллетени для команды

Еженедельный дайджест: новые угрозы для вашей отрасли, актуальные кампании, рекомендации. Формат: 1–2 страницы, с конкретными action items («проверьте наличие IoC X в логах за последние 7 дней»).

Метрика эффективности: Считайте, сколько инцидентов было обнаружено благодаря TI (IoC-matched alerts), сколько threat hunts инициировано по TI-отчётам, и сколько detection rules создано на основе TTPs. Если TI не генерирует детекции — она не работает.