Entry № 588
侵害指標(IoC)
侵害指標(IoC) とは何ですか?
侵害指標(IoC)ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
侵害指標(IoC)とは、防御者が侵害中または侵害後に既知の悪性活動を検知するために用いる取説アーティファクトです。一般的な IoC には、マルウェアの暗号学的ハッシュ、不審な IP、コマンド&コントロールドメイン、悪性 URL、ミューテックス名、レジストリキー、メール由来の指標などがあります。IoC は STIX/TAXII で容易に共有でき、SIEM・EDR・ファイアウォール・DNS フィルタで運用できます。一方で攻撃者はこれらの原子的なアーティファクトを素早くローテーションできるため、行動ベースの検知に比べると長期的価値は限定的です。成熟したプログラムでは IoA や TTP と組み合わせて利用します。
● 例
- 01
既知のドロッパーの SHA-256 ハッシュを EDR のブロックリストに追加する。
- 02
DNS リゾルバ側で C2 ドメインをブロックする。
● よくある質問
侵害指標(IoC) とは何ですか?
ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。 サイバーセキュリティの 防御と運用 カテゴリに属します。
侵害指標(IoC) とはどういう意味ですか?
ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
侵害指標(IoC) からどのように防御しますか?
侵害指標(IoC) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
侵害指標(IoC) の別名は何ですか?
一般的な別名: IoC。