コンピュータ・フォレンジックにおけるIndicator of compromise(IoC)とは、ネットワーク上やOS上で発見された、明らかにシステムへの侵入を示す痕跡やデータのこと。「侵害の兆候」とも言われる

指標の種類

典型的なIoCは、ウイルスシグネチャやIPアドレス、マルウェアファイルのMD5ハッシュ、ボットネットのコマンド&コントロールサーバのURLやドメイン名など。

IoCは、インシデントレスポンスやコンピュータフォレンジックの過程で特定された後、侵入検知システムやウイルス対策ソフトウェアを使って、将来の攻撃の試みを早期に検知するために使用される

自動化のための標準化

より効率的な自動処理のために、IoC記述子のフォーマットを標準化する取り組みが行われている。

既知の指標は通常業界内で情報交換され、Traffic Light Protocolが使用されている

Leave a Reply

Your email address will not be published.