# Common Mistakes made by SOC Analysts

## 1. Over-reliance on VirusTotal Results (quá phụ thuộc vào kết quả của VirusTotal)

Đôi khi chúng ta có thể dựa vào kết quả hiển thị trên màn hình xanh của VirusTotal sau khi phân tích URL của tệp và thấy rằng địa chỉ đó vô hại.&#x20;

Tuy nhiên, có một phần mềm độc hại mới được phát triển bằng kỹ thuật bỏ qua AV (AntiVirus) mà VT (VirusTotal) có thể không phát hiện được.&#x20;

Vì lý do này, chúng tôi nên chấp nhận **VirusTotal làm công cụ hỗ trợ** và thực hiện các phân tích của mình với mục đích này.&#x20;

<figure><img src="/files/Ecs3soYmOKO6BDTiiGgm" alt=""><figcaption></figcaption></figure>

## 2. Hasty Analysis of Malware in a Sandbox (Phân tích vội vàng phần mềm độc hại trong hộp cát)

Phân tích 3-4 phút trong môi trường hộp cát không phải lúc nào cũng mang lại kết quả chính xác.&#x20;

Dưới đây là những lý do tại sao:&#x20;

* Phần mềm độc hại có thể phát hiện được môi trường hộp cát và sẽ không tự kích hoạt.&#x20;
* Phần mềm độc hại có thể không hoạt động trong vòng 10 đến 15 phút sau khi thực hiện thao tác.&#x20;

Vì lý do này, thời gian **phân tích phải được duy trì càng lâu càng tốt** và nó phải **diễn ra trong môi trường thực tế**, **nếu có thể**.

## 3. Inadequate Log Analysis (Phân tích nhật ký không đầy đủ)

Đôi khi chúng tôi thấy rằng một số phân tích nhật ký không được thực hiện đúng cách.&#x20;

Ví dụ: giả sử một phần mềm độc hại đã được phát hiện trên máy có tên máy chủ "LetsDefend" và phần mềm độc hại đó đang bí mật gửi dữ liệu đến địa chỉ "letsdefend.io".&#x20;

Với tư cách là nhà phân tích SOC, bạn nên sử dụng các giải pháp Log Management để xác định xem có thiết bị nào khác cũng đang cố kết nối với địa chỉ này hay không.

## 4. Overlooking VirusTotal Dates

Nếu tìm kiếm bạn thực hiện trong VirusTotal đã được truy vấn, kết quả từ bộ đệm sẽ được hiển thị. Ví dụ: Chúng tôi đã tìm kiếm địa chỉ “letsdefend.io” trong VirusTotal và kết quả được hiển thị bên dưới.

<figure><img src="/files/5NBNBpugeir1qL3wIB2s" alt=""><figcaption></figcaption></figure>

Kẻ tấn công có thể chỉ cần tìm kiếm một URL sạch trên VirusTotal và thay thế nó bằng nội dung độc hại. Đây là lý do tại sao bạn không nên chỉ nhìn vào bộ nhớ đệm tìm kiếm mà hãy tiến hành một tìm kiếm mới.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/soc-fundamentals/common-mistakes-made-by-soc-analysts.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.