손상의 표시자(IOC) 사용

손상 지표(IOC)는 네트워크, 시스템 또는 환경에서 관찰된 아티팩트로, 높은 수준의 신뢰도로 악의적인 활동이나 보안 인시던트를 식별할 수 있습니다. IOC는 IP 주소, 도메인, TCP 플래그 또는 페이로드와 같은 네트워크 수준 아티팩트, 실행 파일, 파일 이름 및 해시, 로그 파일 항목 또는 레지스트리 항목과 같은 시스템 또는 호스트 수준 아티팩트 등의 다양한 형태로 존재할 수 있습니다. 또한 특정 위협, 공격 또는 공격자의 방법론을 나타낼 수 있는 특정 항목 또는 아티팩트(특정 파일 또는 파일 및 레지스트리 항목 세트)의 존재, 특정 순서로 수행되는 작업(특정 IP에서 시스템에 로그인한 후 특정 비정상적인 명령이 이어지는 경우) 또는 네트워크 활동(특정 도메인을 오가는 비정상적인 인바운드 또는 아웃바운드 트래픽) 등의 항목 또는 활동의 조합일 수도 있습니다.

인시던트 대응 프로그램을 반복적으로 개선하기 위해 노력할 때 탐지 및 알림을 지속적으로 구축 및 개선하고 조사의 속도와 효율성을 개선하기 위한 메커니즘으로 IOC를 수집, 관리 및 활용하는 프레임워크를 구현해야 합니다. 먼저 인시던트 대응 프로세스의 분석 및 조사 단계에 IOC의 수집 및 관리를 통합하는 것부터 시작할 수 있습니다. 프로세스의 표준 부분으로 IOC를 선제적으로 식별, 수집, 저장하면 보다 포괄적인 위협 인텔리전스 프로그램의 일환으로 데이터 리포지토리를 구축하여 기존 탐지와 알림을 개선하고, 추가 탐지 및 알림을 구축하고, 이전에 아티팩트가 발견된 위치와 시간을 식별하고, 이전에 일치하는 IOC와 관련된 조사를 수행한 방법에 대한 문서를 작성하고 참조하는 데 사용할 수 있습니다.