Indicator of Compromise

Version vom 30. Juli 2019, 19:53 Uhr von St181071 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Als '''Indicator of Compromise''' (IoC) werden forensische Spuren bezeichnet, welche auf mögliche schadhafte Aktivitäten im System oder Netzwerk schließen l…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Als Indicator of Compromise (IoC) werden forensische Spuren bezeichnet, welche auf mögliche schadhafte Aktivitäten im System oder Netzwerk schließen lassen. Möglich IOCs sind

  • Hash-Werte von Dateien
  • Registry Schlüssel
  • Protokoll Daten
  • Ungewöhnliches Systemverhalten (DNS Anfragen, Netzwerkverkehr, Datenbank-, Webzugriffe)

Ein IoC kann in verschiedenen Formaten gespeichert sein (z. B. OpenIOC, YARA Regel oder STIX). Diese Datensätze aus IoCs können von Tools zur automatischen Detektion von Sicherheitsvorfällen verwendet werden.

Quellen

  1. Makrushin, Denis: Indicators of Compromise (IoC) als Mittel zur Risikominimierung. https://de.securelist.com/indicators-of-compromise-as-a-way-to-reduce-risk/68605/, 13.07.2019
  2. Gibb, Will: OpenIOC: Back to the Basics. https://www.fireeye.com/blog/threat-research/2013/10/openioc-basics.html, 13.07.2019
  3. Lord, Nate: What are Indicators of Compromise? https://digitalguardian.com/blog/what-are-indicators-compromise, 16.07.19