# Threat Intelligence Feed

Nhóm SOC phải nhận thức ngay được các mối đe dọa mới nhất và thực hiện các biện pháp phòng ngừa cần thiết.&#x20;

Để đáp ứng nhu cầu này, nguồn cấp dữ liệu thông tin về mối đe dọa được tạo ra.&#x20;

Với tư cách là nhà phân tích SOC, bạn có thể sử dụng các nguồn cấp dữ liệu này để hướng dẫn các cuộc điều tra của mình.&#x20;

Nguồn cấp dữ liệu thông minh về mối đe dọa là dữ liệu (chẳng hạn như malware hashes, C2 (Command\&Control) domain/IP addresses etc.) do công ty bên thứ ba cung cấp.&#x20;

Nhìn vào trang Threat Intel của LetsDefend, bạn có thể thấy nhiều loại dữ liệu (hash, IP, etc.)

<figure><img src="/files/GBxE3NWLGJoh82grfjVp" alt=""><figcaption></figcaption></figure>

Dữ liệu ở đây bao gồm các tạo phẩm từ hoạt động độc hại trước đó. Nó có thể là hash of malware hoặc địa chỉ IP của trung tâm chỉ huy và kiểm soát.

Với tư cách là nhà phân tích SOC, bạn cần tìm kiếm nguồn cấp dữ liệu thông tin về mối đe dọa để xác định xem tệp băm hiện có đã từng được sử dụng trong một tình huống độc hại trước đây hay chưa.&#x20;

Dưới đây là một số nguồn miễn phí và phổ biến mà bạn có thể sử dụng:&#x20;

* VirusTotal (<https://www.virustotal.com/gui/home/upload>)
* Talos Intelligence (<https://talosintelligence.com/>)

### **If data you run through feeds does not show up (Nếu dữ liệu bạn chạy qua các nguồn cấp dữ liệu không hiển thị)**

**->** Giả sử bạn đã chạy hash của một tệp .exe trong VirusTotal và trước đây bạn không tìm thấy điều gì đáng ngờ về nó. Trong trường hợp này, bạn không nên chỉ cho rằng tệp sạch, đó sẽ là một sai lầm. Nhà phân tích SOC nên thực hiện cẩn thận việc phân tích tệp cần thiết (tĩnh/động).

### **We shouldn’t forget that IP addresses can change hands. (Chúng ta không nên quên rằng địa chỉ IP có thể được đổi chủ.)**

**->** Ví dụ: giả sử kẻ tấn công đã tạo một máy chủ trên AWS (Amazon Web Services) và sử dụng nó làm trung tâm chỉ huy và điều khiển. Sau đó, nhiều nguồn cấp dữ liệu thông minh về mối đe dọa đã liệt kê địa chỉ IP đó là địa chỉ độc hại.

2 tháng sau, kẻ tấn công đóng cửa máy chủ và người khác đã chuyển blog cá nhân của họ sang máy chủ đó. Điều này không có nghĩa là những người truy cập blog đã tiếp xúc với nội dung độc hại. Việc địa chỉ IP này trước đây đã được sử dụng cho mục đích độc hại không có nghĩa là nó chứa nội dung độc hại.<br>

<br>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/soc-fundamentals/threat-intelligence-feed.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.