Indicator of Compromise

Aus IT-Forensik Wiki

Als Indicator of Compromise (IoC) werden forensische Spuren bezeichnet, welche auf mögliche schadhafte Aktivitäten im System oder Netzwerk schließen lassen. Möglich IOCs sind

  • Hash-Werte von Dateien
  • Registry Schlüssel
  • Protokoll Daten
  • Ungewöhnliches Systemverhalten (DNS Anfragen, Netzwerkverkehr, Datenbank-, Webzugriffe)

Ein IoC kann in verschiedenen Formaten gespeichert sein (z. B. OpenIOC, YARA Regel oder STIX). Diese Datensätze aus IoCs können von Tools zur automatischen Detektion von Sicherheitsvorfällen verwendet werden.

Quellen

  1. Makrushin, Denis: Indicators of Compromise (IoC) als Mittel zur Risikominimierung. https://de.securelist.com/indicators-of-compromise-as-a-way-to-reduce-risk/68605/, 13.07.2019
  2. Gibb, Will: OpenIOC: Back to the Basics. https://www.fireeye.com/blog/threat-research/2013/10/openioc-basics.html, 13.07.2019
  3. Lord, Nate: What are Indicators of Compromise? https://digitalguardian.com/blog/what-are-indicators-compromise, 16.07.19
Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Indicator_of_Compromise&oldid=626