Разберём, как превратить Threat Intelligence в рабочий инструмент, который помогает находить угрозы раньше, а не просто “подтверждать” их постфактум в отчётах. Поговорим, какие типы данных действительно дают пользу (а какие чаще создают шум), как быстро оценить качество источников и не купить “витрину индикаторов”, и как собрать понятный набор данных под вашу отрасль и профиль атак.
Отдельно разложим, как TI встраивается в ежедневную работу SOC и реагирования: что стоит автоматизировать сразу, где обязательно нужна проверка аналитика, и как настроить жизненный цикл данных, чтобы индикаторы не устаревали и не засоряли мониторинг. Обсудим практические сценарии — от приоритизации уязвимостей и сигналов по учётным данным до охоты по поведению атакующих.
И главное — разберём, как измерять эффект так, чтобы это было понятно руководству: что улучшилось в скорости обнаружения и триажа, сколько шума удалось убрать, какие сценарии стали закрываться быстрее, и что можно сделать за первые 30–90 дней, чтобы TI начал приносить ощутимый результат.
Зачем TI нужен и что считать “пользой”
Что такое TI простыми словами и где он реально помогает компании?
Какие данные TI чаще всего дают пользу в работе?
Как понять, что источник данных вам подходит?
Можно ли начинать с бесплатных источников и не разочароваться?
Как организовать “микс источников”, чтобы не зависеть от одного поставщика?
Где TI реально помогает “предотвратить”, а не просто красиво рассказать после инцидента?
Когда атрибуция реально нужна и кому она полезна?
Как решать проблему устаревания индикаторов?
Что TI должен отдавать в SOC в идеале?
Как TI сокращает время реагирования в реальной жизни?
Как построить TI-процесс, который не развалится через 2 месяца
С какого прикладного сценария лучше начать TI, чтобы был результат за 30–60 дней?
Кто должен “владеть” TI внутри компании?
Как не утонуть в данных и не превратить всё в Excel?
Какие метрики показывают пользу TI честно?
Как вы режете шум и дубли, чтобы не “убить” SIEM и людей?
Какие три ошибки чаще всего убивают TI-внедрение?
Как связать TI с мониторингом и реагированием так, чтобы это работало каждый день?
Как подружить TI, CM и DRSR, если в приоритете атаки на учётки?
Как вы обогащаете TI-сигналы контекстом, чтобы расследования шли быстрее?
Что делать с неструктурированными источниками?
Как правильно делиться разведданными снаружи?
Как доказать бюджет на TI и не покупать “витрину”?
Итоги и прогнозы
Какие изменения в атаках сильнее всего меняют требования к TI в 2026?
Какие навыки TI-аналитика становятся ключевыми в 2026?
Если начинать TI “с нуля” в 2026, какие 3 шага вы сделаете в первые 90 дней?
Что зритель может проверить уже завтра, чтобы TI начал давать пользу?
CISO, независимый эксперт
Технический директор центра мониторинга и реагирования на кибератаки RED Security SOC
RED Security
Руководитель отдела исследования угроз экспертного центра безопасности
Positive Technologies
Стать участником мероприятия
Заполните форму и наш представитель свяжется с вами
Мы используем cookie-файлы
Для обеспечения оптимальной работы сайта используются технология Сookie. Оставаясь на нашем сайте, вы соглашаетесь с Политикой обработки персональных данных. Если вы хотите запретить обработку файлов Сookie, отключите Сookie в настройках вашего браузера.
