В предыдущих статьях «SOC for beginners» мы рассказали, как устроен и как организовать базовый [мониторинг инцидентов][1] и [контроль защищенности инфраструктуры][2]. Сегодня речь пойдет о Threat Intelligence — использовании внешних источников данных об угрозах.

При всей кажущейся простоте, запуск работы с Threat Intelligence — чуть ли не самый длительный и болезненный процесс. Исключение, наверное, составляют только те случаи, когда у вас на рабочих станциях эталонные образы ОС с включенным Application Control, пользователи — без прав администратора, а доступ в интернет — исключительно по белым спискам. К сожалению, мы за все время работы таких компаний пока не встречали. В связи с этим все интересующиеся темой Threat Intelligence – добро пожаловать под кат.

![][3]
[Читать дальше →][4]

[1]: https://habrahabr.ru/company/solarsecurity/blog/340386/
[2]: https://habrahabr.ru/company/solarsecurity/blog/341530/
[3]: https://habrastorage.org/webt/59/e7/1d/59e71dfc73a51846323425.jpeg
[4]: https://habrahabr.ru/post/343574/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut