หากใครทำ SoC (Security Operation Center) ในส่วน Intelligence Analysis คงดีใจเป็นแน่แท้ เพราะแต่ก่อนเราต้องไปตามไล่ feed Black List IP จากแหล่ง Vendor ต่างๆ อย่าง AlienVault เป็นต้น มาใส่ใน SIEM ของตัวเราเองเพื่อหาการติดต่อไปยัง Server ที่เป็น malicious ในระบบที่ทำการ monitor อยู่ ล่าสุดทาง CERT ของทาง Italy (คล้ายๆหน่วยงาน ThaiCERT) ก็ได้ปล่อย research เกี่ยวกับ threat ใหม่ๆในแบบที่เป็น Black list IP และ domain เช่นกัน แถมการปล่อยดังกล่าวเป็นรูปแบบมาตรฐานที่เค้าใช้กัน นั่นคือ STIX Format อีกด้วย ทำให้ไม่ต้องปรับแต่ง format อะไรก็สามารถนำมา parse เข้า SIEM ในหลายๆตัวได้เลย

หากใครสนใจก็ลองไปดูกันได้ครับที่ https://infosec.cert-pa.it/analyze/statistics.html