Entry № 588
入侵指标(IoC)
入侵指标(IoC) 是什么?
入侵指标(IoC)可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
入侵指标是防御者用于在入侵期间或之后检测已知恶意活动的取证工件。常见 IoC 包括恶意软件的加密哈希、可疑 IP、命令与控制域名、恶意 URL、互斥锁名称、注册表键和邮件指标。IoC 易于通过 STIX/TAXII 共享,并可在 SIEM、EDR、防火墙和 DNS 过滤器中加以运用。但攻击者可以快速更换这些原子工件,因此其长期价值不如基于行为的检测。成熟的项目通常将 IoC 与 IoA 和 TTPs 结合使用。
● 示例
- 01
已知 dropper 的 SHA-256 哈希被加入 EDR 阻断列表。
- 02
在 DNS 解析器上拦截某 C2 域名。
● 常见问题
入侵指标(IoC) 是什么?
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。 它属于网络安全的 防御与运营 分类。
入侵指标(IoC) 是什么意思?
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
如何防御 入侵指标(IoC)?
针对 入侵指标(IoC) 的防御通常结合技术控制与运营实践,详见上方完整定义。
入侵指标(IoC) 还有哪些其他名称?
常见的别称包括: IoC。