DNS數據

DNS數據能夠提供一系列新注冊域名，經常用來進行垃圾信息發送的域名，以及新創建的域名等等，所有這些信息都可以和黑白名單結合起來，所有這些數據都應該收集起來做進一步分析。

如果自有DNS服務器，就能過檢查那些對外的域名查詢，這樣可能發現一些無法解析的域名。這種情況就可能意味著你檢測到了一個“域名生成算法”.這樣的信息就能夠讓安全團隊對公司網絡進行保護。而且如果對局域網流量數據日志進行分析的話，就有可能找到對應的受到攻擊的機器。

命令與控制(C2)系統

把命令與控制數據結合進來可以得到一個IP地址和域名的黑名單。對于公司網絡來說，網絡流量絕對不應該流向那些已知的命令與控制系統。如果網絡安全人員要仔細調查網絡攻擊的話，可以把來自C2系統的流量引導到公司設好的“蜜罐”機器上去。

安全威脅情報

有一些類似與網絡信譽的數據源可以用來判定一個地址是否是安全的。有些數據源提供“是”與“否”的判定，有的還提供一些關于威脅等級的信息。網絡安全人員能夠根據他們能夠接受的風險大小來決定某個地址是否應該訪問。

網絡流量日志

有很多廠商都提供記錄網絡流量日志的工具。在利用流量日志來分析安全威脅的時候，人們很容易被淹沒在大量的“噪音”數據中。不過流量日志依然是安全分析的基本要求。有一些好的算法和軟件能夠幫助人們提供分析質量。

“蜜罐”數據

“蜜罐”可以有效地檢測針對特定網絡的惡意軟件。此外，通過“蜜罐”獲得的惡意軟件可以通過分析獲得其特征碼，從而進一步監控網絡中其他設備的感染情況。這樣的信息是非常有價值的，尤其是很多APT攻擊所采用的定制的惡意代碼往往無法被常規防病毒軟件所發現。參見本站文章企業設置“蜜罐”的五大理由

數據質量

最后，企業要注意數據的質量。市場上有很多數據可用，在安全人員進行大數據安全分析時，這些數據的質量和準確性是一個最重要的考量。因此，企業 需要有一個內部的數據評估團隊針對數據來源提出相應的問題，如：最近的數據是什么時候添加的?有沒有樣本數據以供評估?每天能夠添加多少數據?這些數據哪 些是免費的?數據總共收集了多久?等等。