Un feed di threat intelligence è una fonte di monitoraggio che raccoglie, normalizza e ripubblica indicazioni di sicurezza come nomi di aggressori, indicatori di compromissione, hash di malware, domini di phishing e riferimenti a organizzazioni prese di mira. Il limite principale è che un feed è di solito un punto di partenza, non una prova: le voci possono essere incomplete, duplicate, obsolete o basate su affermazioni dell'aggressore che richiedono ancora convalida.
Nella sicurezza informatica, i feed aiutano i difensori a individuare rapidamente i modelli, a dare priorità al triage e ad arricchire gli avvisi provenienti da strumenti SIEM, EDR e firewall. Sono utili per individuare infrastrutture malevole note, tracciare famiglie di malware e correlare eventi tra ambienti diversi. Ma una risposta efficace dipende dalla verifica indipendente tramite log, telemetria degli endpoint, evidenze di rete e contesto degli asset. Nei casi di ransomware, un feed può mostrare una presunta vittima o un artefatto hash, ma i difensori dovrebbero considerarlo un'indicazione di intelligence finché non confermano da soli compromissione, portata e impatto.