Indicator of Compromise (IoC)
Was ist Indicator of Compromise (IoC)?
Indicator of Compromise (IoC)Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
Ein Indicator of Compromise ist ein forensisches Artefakt, mit dem Verteidiger bekannte schädliche Aktivitäten während oder nach einer Intrusion erkennen. Typische IoCs sind kryptografische Hashes von Malware, verdächtige IP-Adressen, Command-and-Control-Domains, schädliche URLs, Mutex-Namen, Registry-Schlüssel und E-Mail-Indikatoren. IoCs lassen sich gut über STIX/TAXII austauschen und in SIEM, EDR, Firewalls und DNS-Filtern operationalisieren. Da Angreifer atomare Artefakte schnell ändern können, ist ihr langfristiger Nutzen geringer als verhaltensbasierte Erkennungen. Reife Programme kombinieren IoCs mit IoAs und TTPs.
● Beispiele
- 01
Ein SHA-256-Hash eines bekannten Droppers wird zur EDR-Blocklist hinzugefügt.
- 02
Eine C2-Domain wird am DNS-Resolver blockiert.
● Häufige Fragen
Was ist Indicator of Compromise (IoC)?
Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Indicator of Compromise (IoC)?
Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
Wie schützt man sich gegen Indicator of Compromise (IoC)?
Schutzmaßnahmen gegen Indicator of Compromise (IoC) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Indicator of Compromise (IoC)?
Übliche alternative Bezeichnungen: IoC.