составляешь список для бана?

Вот есть у тебя 2 индикатора, с2 домен и с2 ip из фида, которому год.  Если ты видишь обращение к домену, то твои дела обычно хуже, чем к IP  в данном конкретном контексте, потому что IP  за год мог сильнее по рукам походить. Поэтому даже зная роль индикатора, разные типы индикаторов имеют разный уровень критичности если его размазать по шкале времени

на этом можно заработать (с)

Если у вас такое обращение прям "свидетельствует", то очень сочувствую xD
В общем, не преувеличивайте.

Но при этом в моей практике были случаи, когда находится С2 (не без помощи обогащения) и он не меняется достаточно продолжительное время (осознано не блокировали). То есть для меня сценарий, описанный выше, вполне подходит.

Я и не спорю, но сужу по себе )
Но, увы, я пока не видел хорошей ACTIONABLE аналитики (TI) со стороны, даже за большие деньги.
Последний раз - меня 3 месяца уговаривали посмотреть демку новой топовой в РФ TIP. Её продавали как раз с акцентом на то, что там будет много аналитики по релевантным для меня (я в РФ работаю) threat actors. Вот только после того, как они показали этих threat actors, там оказались APT28 и Иран =)
В общем, не захотели мне её давать на пилот, сказали, что чуть-чуть докрутят и вернутся =)

В рф нет ни одной tip и тем более ti system atm

Да не, надеюсь увидеть что-то хорошее, даже за большие деньги...потом уже можно будет договариваться с жабой =)
КМК, тут фишка в том, что по РФ в целом очень немного публичных отчетов, по которым можно делать подобную аналитику. А собственных расследований в достаточном количестве есть буквально у 1,5 экспертных компаний.

Ретранслируйте эту мысль сейлам и маркетингу =)

А у вас нет?
Пользователи часто могут выкладывать на гугл диск конфиденциалку?
Или вы используете доп СЗИ с декриптом... чтобы что?
Аналогичная дискуссия у меня была позавчера по поводу контроля разработчиков.

Поизучайте бухтрап, пожалуйста.

Во-первых, меня смутило слово "вирус".
Во-вторых, обращение к гугл диску (можно же просто что-то скачать) далеко не всегда связаны с ВПО.
Но это уже полемика.

Хотя, наверное,  нет..

Возьмите для управления с2 IP, которые первый раз использовались 1, 2, 3,4 года назад и посмотрите, остались ли они на тех же адресах. А если домен зашит в впо, впо стучит, вы увидите это и через год и 2 в своём dns трафике и не важно,  разрешается ли домены 127.0.0.1, синкхол или другой адрес- ваша сеть с ВПО. И дальше гадайте или расследуйте это не доломали, или доломали, вышли подругому и убрать забыли.