Indicateur de Compromission (IoC)
Qu'est-ce que Indicateur de Compromission (IoC) ?
Indicateur de Compromission (IoC)Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
Un Indicateur de Compromission est un artefact forensique utilisé par les défenseurs pour détecter une activité malveillante connue pendant ou après une intrusion. Les IoC courants incluent hashes cryptographiques de malware, IP suspectes, domaines C2, URLs malveillantes, mutex, clés de registre et indicateurs de courrier. Les IoC se partagent facilement via STIX/TAXII et s'opérationnalisent dans les SIEM, EDR, pare-feux et filtres DNS. Les attaquants peuvent toutefois changer rapidement ces artefacts atomiques, ce qui limite leur valeur à long terme face aux détections comportementales. Les programmes matures les combinent avec IoA et TTP.
● Exemples
- 01
Un hash SHA-256 d'un dropper connu ajouté à la liste de blocage EDR.
- 02
Un domaine C2 bloqué au niveau du résolveur DNS.
● Questions fréquentes
Qu'est-ce que Indicateur de Compromission (IoC) ?
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Indicateur de Compromission (IoC) ?
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
Comment se défendre contre Indicateur de Compromission (IoC) ?
Les défenses contre Indicateur de Compromission (IoC) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Indicateur de Compromission (IoC) ?
Noms alternatifs courants : IoC.