Cách nhanh nhất để có được thông tin về các máy tính không tin cậy và ở bên ngoài là kiểm tra dữ các nguồn dữ liệu nội bộ hiện có. Có thể thu thập được các thông tin này bằng các câu hỏi:
1. Máy tính không tin cậy có bao giờ liên lạc với máy tính tin cậy trước đó? 2. Bản chất kết nối của máy tính này với các máy tính tin cậy là gì?
3. Máy tính không tin cậy có bao giờ liên lạc với máy tính tin cậy khác trên mạng?
Các câu trả lời cho những câu hỏi này có thể nằm trong phạm vi của các nguồn dữ liệu khác nhau.
Câu hỏi 1 dễ dàng trả lời được khi có tri thức về các máy tính cần bảo vệ phù hợp, ví dụ như dữ liệu PRADS.
Câu hỏi 2 chỉ có thể trả lời được khi có nguồn dữ liệu với mức chi tiết cao. Dữ liệu phiên chỉ có thể chỉ ra một vài thông số kết nối cơ bản và các cổng đang sử dụng mà không có thông tin chi tiết hơn về những gì chính xác đang diễn ra. Trong một số trường hợp, các công cụ phát hiện xâm nhập có thể có các thông tin này. Snort và Suricata thông thường sẽ cung cấp gói tin tấn công với chữ ký của chúng, và công cụ như Bro cung cấp các dữ liệu thêm khi được cấu hình. Trong trường hợp khác, có thể phân tích dữ liệu FPC hay PSTR để tìm câu trả lời.
Để trả lời câu hỏi 3, cần bắt đầu với dữ liệu phiên để lấy thông tin về các bản ghi về kết nối giữa các máy tính. FPC và PSTR có thể chứa các dữ liệu này. Nếu không có thì có thể xem xét trong dữ liệu PRADS.
Kết hợp các trả lời của 3 câu hỏi trên sẽ giúp xây dựng được TI xung quanh các hành vi của máy tính không tin cậy trên hệ thống mạng.