Введение
TI-фид (Threat Intelligence Feed) – непрерывно обновляемый поток структурированных данных об индикаторах компрометации (IoC), предназначенный для автоматической интеграции в средства защиты. В отличие от аналитических отчётов TI, TI-фид – это «сырой» технический слой: машиночитаемые списки IP-адресов, доменов, URL, MD5/SHA1/SHA256 хэшей вредоносных файлов, адресов C2-серверов.
TI-фиды составляют основу автоматизированной защиты: они позволяют SIEM, NGFW, DNS-сервисам и EDR-агентам блокировать коммуникации с инфраструктурой злоумышленников в режиме реального времени без ручного вмешательства.
История и контекст
Первые TI-фиды появились в конце 2000-х как простые списки вредоносных IP (Spamhaus, abuse.ch). С ростом числа APT-группировок потребовалась стандартизация: MITRE разработал форматы STIX (описание угроз) и TAXII (протокол обмена). Открытые платформы MISP (Malware Information Sharing Platform) позволили сообществам обмениваться IoC. Коммерческие поставщики (Kaspersky TIP, Recorded Future, Group-IB TI) предоставляют обогащённые фиды с контекстом об атрибуции.
Типы TI-фидов
- IP-репутационные фиды – списки вредоносных, сканирующих или C2-IP-адресов.
- Домен/URL-фиды – фишинговые домены, малварные сайты, C2-инфраструктура.
- Хэш-фиды – SHA256/MD5 вредоносных файлов, образцов malware.
- YARA/Sigma правила – паттерны для поиска вредоносного кода или поведения в логах.
- STIX-объекты – структурированные описания угроз с контекстом атрибуции и TTP.
Где применяется
- SIEM – обогащение событий (lookup IoC в потоке), создание правил корреляции.
- NGFW – автоматическое обновление политик блокировки по IP/домен-спискам.
- DNS-фильтрация – блокировка резолвинга вредоносных доменов.
- EDR/XDR – обогащение событий на конечных точках, охота по IoC.
- Secure Email Gateway – блокировка писем с известными фишинговыми URL.
Преимущества и ограничения
Автоматизация реагирования на известные угрозы в режиме реального времени. Ограничения: высокий уровень ложных срабатываний при использовании некачественных фидов; IoC устаревают быстро (часы–дни); высококачественные фиды с контекстом – платные.
Связь с другими понятиями
TI-фид – технический «продукт» Threat Intelligence, содержащий IoC. Потребляется SIEM и NGFW. Стандартизирован через STIX/TAXII. Открытый аналог – платформа MISP.
