Menggunakan indikator penyusupan (IOC)

Indikator penyusupan (IOC) adalah artefak yang diamati di dalam atau pada jaringan, sistem, atau lingkungan yang dapat (dengan tingkat kepercayaan tinggi) mengidentifikasi aktivitas berbahaya atau insiden keamanan. IOC dapat muncul dalam berbagai bentuk, termasuk alamat IP, domain, artefak tingkat jaringan seperti bendera TCP atau payload, artefak sistem atau tingkat host seperti file eksekusi, nama file dan hash, entri file log, atau entri registri, dan banyak lagi. IOC juga dapat berupa kombinasi item atau aktivitas, seperti keberadaan item atau artefak tertentu pada sistem (file tertentu atau set file dan item registri), tindakan yang dilakukan dalam urutan tertentu (masuk ke sistem dari IP tertentu diikuti oleh perintah anomali tertentu), atau aktivitas jaringan (lalu lintas masuk atau keluar anomali ke atau dari domain tertentu) yang dapat menunjukkan ancaman, serangan, atau metodologi penyerang tertentu.

Seiring dengan upaya Anda untuk meningkatkan program tanggap insiden secara iteratif, Anda harus menerapkan kerangka kerja untuk mengumpulkan, mengelola, dan menggunakan IOC sebagai mekanisme untuk terus membangun dan meningkatkan pendeteksian dan peringatan, serta meningkatkan kecepatan dan keampuhan penyelidikan. Anda dapat memulai dengan memasukkan pengumpulan dan pengelolaan IOC ke dalam fase analisis dan investigasi proses respons insiden Anda. Dengan mengidentifikasi, mengumpulkan, dan menyimpan IOC secara proaktif sebagai bagian standar dari proses Anda, Anda dapat membangun repositori data (sebagai bagian dari program intelijen ancaman yang lebih komprehensif) yang pada gilirannya dapat digunakan untuk meningkatkan deteksi dan peringatan yang sudah ada, membangun deteksi dan peringatan tambahan, mengidentifikasi di mana dan kapan sebuah artefak terlihat sebelumnya, membuat dan mereferensikan dokumentasi tentang bagaimana investigasi yang pernah dilakukan yang melibatkan pencocokan IOC, dan masih banyak lagi.