Индикатор компрометации (IoC)
Что такое Индикатор компрометации (IoC)?
Индикатор компрометации (IoC)Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
Индикатор компрометации — это криминалистический артефакт, который защитники используют для обнаружения известной вредоносной активности во время или после вторжения. Типичные IoC включают криптографические хэши вредоносного ПО, подозрительные IP-адреса, домены C2, вредоносные URL, имена мьютексов, ключи реестра и почтовые индикаторы. IoC легко передаются через STIX/TAXII и операционализируются в SIEM, EDR, межсетевых экранах и DNS-фильтрах. Однако злоумышленники могут быстро менять эти атомарные артефакты, что ограничивает их долгосрочную ценность по сравнению с поведенческими методами. Зрелые программы используют IoC вместе с IoA и TTP.
● Примеры
- 01
Хэш SHA-256 известного дроппера добавлен в список блокировок EDR.
- 02
Домен C2 заблокирован на DNS-резолвере.
● Частые вопросы
Что такое Индикатор компрометации (IoC)?
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации. Относится к категории Защита и операции в кибербезопасности.
Что означает Индикатор компрометации (IoC)?
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
Как защититься от Индикатор компрометации (IoC)?
Защита от Индикатор компрометации (IoC) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Индикатор компрометации (IoC)?
Распространённые альтернативные названия: IoC.