Indicador de Ataque (IoA)
O que é Indicador de Ataque (IoA)?
Indicador de Ataque (IoA)Evidência comportamental de que um atacante está tentando uma intrusão em andamento, focada em intenção e técnica em vez de artefatos posteriores.
Um Indicador de Ataque descreve o comportamento adversário em curso: execução de código, tentativas de persistência, escalonamento de privilégios, dump de credenciais, movimento lateral e exfiltração. Diferente dos IoCs, atômicos e fáceis de rotacionar, IoAs estão ligados a técnicas e são mais difíceis de evadir porque alterá-los exige mudar o modus operandi. IoAs mapeiam diretamente para técnicas do MITRE ATT&CK e sustentam a detecção comportamental em EDR, XDR e SIEMs modernos. Um IoA eficaz captura o porquê e o como de uma ação — por exemplo, um processo do Office gerando o PowerShell para baixar de um domínio externo — e dispara a resposta antes do dano.
● Exemplos
- 01
IoA dispara quando winword.exe gera powershell.exe com linha de comando codificada.
- 02
IoA de roubo de credenciais: acesso à memória do LSASS por processo não assinado.
● Perguntas frequentes
O que é Indicador de Ataque (IoA)?
Evidência comportamental de que um atacante está tentando uma intrusão em andamento, focada em intenção e técnica em vez de artefatos posteriores. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Indicador de Ataque (IoA)?
Evidência comportamental de que um atacante está tentando uma intrusão em andamento, focada em intenção e técnica em vez de artefatos posteriores.
Como se defender contra Indicador de Ataque (IoA)?
As defesas contra Indicador de Ataque (IoA) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Indicador de Ataque (IoA)?
Nomes alternativos comuns: IoA, Indicador comportamental.