Індикатори компрометації (IoC) – це аналітичні артефакти, які надають докази потенційного порушення безпеки на кінцевій точці чи мережі. Експерти використовують ці артефакти для аналізу загроз безпеці та інших аномалій після того, як стався інцидент. Приклади IoC включають імена файлів, хеш-суми файлів, IP-адреси, адреси електронної пошти, URL-адреси та доменні імена.
Індикатори компрометації надають командам з кібербезпеки важливу інформацію для моніторингу, виявлення, оцінки, визначення пріоритетів та ефективного реагування на шкідливі дії на ранніх стадіях. Ось чому ідентифікація та зберігання IoC є важливою частиною багаторівневої стратегії кібербезпеки, що включає пошук загроз та реагування на інциденти. Організації можуть додавати ідентифіковані IoC до баз даних інструментів моніторингу та антивірусного програмного забезпечення для боротьби з наступними кібератаками та підтримки високого рівня безпеки.
У документі Lockheed Martin Intelligence-Driven Computer Network Defense, IoC поділяються на 3 типи:
- Atomic: їх неможливо розбити на дрібніші частини, зберігаючи при цьому своє значення у контексті вторгнення. Типові приклади включають IP-адреси, адреси електронної пошти, імена файлів та імена хостів.
- Computed: виходять з урахуванням даних про інцидент безпеки. Типові приклади цих індикаторів включають хеш-суми та регулярні вирази.
- Behavioral: описують набори Atomic та Computed індикаторів в інциденті безпеки. До них відносяться тактики, методи та процедури (TTP), які зловмисники використовують під час компрометації.
У новому відео ми використовуємо можливості Wazuh XDR для ідентифікації та зберігання IoC, виявлених в інфраструктурі організації.
