Threat Intelligence هو تحويل البيانات الخام عن التهديدات إلى معرفة قابلة للتنفيذ تساعد العميل على اتخاذ القرار. كبائع حلول، أنت لا تبيع "خلاصة" feed فقط، بل تبيع تقليل الضوضاء وتسريع الكشف وربط التهديد بأولويات العمل والامتثال. الفكرة الجوهرية: المؤشرات (IOC) سريعة لكنها تنتهي صلاحيتها، بينما الأساليب (TTP) أبطأ في الكشف لكنها تدوم وترفع قيمة العميل الدفاعية.

• 1IOC (Indicators of Compromise) هي أدلة تقنية على اختراق وقع أو يقع: IP، domain، file hash، URL. سريعة الربط بالـ SIEM لكنها قصيرة العمر؛ المهاجم يغيّرها بسهولة.
• 2TTP (Tactics, Techniques, Procedures) تصف سلوك المهاجم ونمط عمله بدل أثره. يصعب على الخصم تغييرها، لذا الكشف القائم على TTP أعلى قيمة وأطول بقاءً — وهنا تكمن رسالة البيع الأقوى.
• 3المستويات الثلاثة للاستخبارات: Strategic للقيادة (مخاطر وميزانية)، Operational لمدير الـ SOC (حملات وجهات تهديد)، Tactical للمحلل (IOC وقواعد كشف). اعرف من تخاطب لتقدّم المخرَج الصحيح.
• 4دورة حياة الاستخبارات (Intelligence Cycle): توجيه ← جمع ← معالجة ← تحليل ← نشر ← تغذية راجعة. العميل لا يحتاج "بيانات أكثر"، بل عملية ناضجة تنتج توصيات مرتبطة بأصوله وقطاعه.
• 5التموضع (positioning) يربط TI بمنصات أخرى: feeds تغذّي SIEM/SOAR للأتمتة، MITRE ATT&CK يوحّد لغة TTP، وTIP (Threat Intelligence Platform) يجمع ويزيل التكرار ويسجّل المصدر. بِع التكامل لا الصندوق المعزول.

• معمارياً: مصادر متعددة (commercial feeds مثل Mandiant وRecorded Future، open-source مثل MISP وAlienVault OTX، وISAC قطاعية) تتدفق إلى TIP يطبّع البيانات بصيغ STIX/TAXII، يحذف التكرار، يسجّل الثقة (confidence) والمصدر، ثم يدفع IOC إلى SIEM/EDR/Firewall للحجب وTTP إلى محتوى الكشف. هذا الفصل بين طبقة التجميع وطبقة التطبيق هو جوهر التصميم القابل للبيع.
• مقارنة المنافسين: Recorded Future قوي في التغطية الواسعة وOSINT والتحليل الآلي؛ Mandiant (Google) يتميّز بالعمق في الـ frontline incident response والـ adversary attribution؛ CrowdStrike Falcon Intelligence مدمج بإحكام مع الـ EDR الخاص به؛ MISP مجاني/مفتوح ويناسب البناء الداخلي لكنه يحتاج فريقاً ناضجاً. وجّه العميل بحسب نضجه: مبتدئ يبدأ بـ feed مُدار، ناضج يبني TIP داخلي.
• سياق الخليج والتنظيم: في السعودية تُلزم ضوابط NCA (ECC-1) ولوائح SAMA للقطاع المالي بقدرات threat intelligence ومشاركة المؤشرات؛ منصة Saudi CERT (HASEEN) وقطاعات الطاقة والمصارف تشغّل ISAC محلية. اربط الحل بالامتثال لـ ECC ومتطلبات SAMA CSF، وبتوطين البيانات داخل المملكة (data residency) ودعم اللغة العربية في التقارير التنفيذية — هذه مفاتيح إغلاق الصفقة في رؤية 2030.