Indicator of Compromise

Aus IT-Forensik Wiki
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.

Als Indicator of Compromise (IoC) werden forensische Spuren bezeichnet, welche auf mögliche schadhafte Aktivitäten im System oder Netzwerk schließen lassen. Möglich IOCs sind

  • Hash-Werte von Dateien
  • Registry Schlüssel
  • Protokoll Daten
  • Ungewöhnliches Systemverhalten (DNS Anfragen, Netzwerkverkehr, Datenbank-, Webzugriffe)

Ein IoC kann in verschiedenen Formaten gespeichert sein (z. B. OpenIOC, YARA Regel oder STIX). Diese Datensätze aus IoCs können von Tools zur automatischen Detektion von Sicherheitsvorfällen verwendet werden.

Quellen

  1. Makrushin, Denis: Indicators of Compromise (IoC) als Mittel zur Risikominimierung. https://de.securelist.com/indicators-of-compromise-as-a-way-to-reduce-risk/68605/, 13.07.2019
  2. Gibb, Will: OpenIOC: Back to the Basics. https://www.fireeye.com/blog/threat-research/2013/10/openioc-basics.html, 13.07.2019
  3. Lord, Nate: What are Indicators of Compromise? https://digitalguardian.com/blog/what-are-indicators-compromise, 16.07.19
Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Indicator_of_Compromise&oldid=626