Use indicadores de comprometimento (IOCs)

PDF

Um indicador de comprometimento (IOC) é um artefato observado em ou em uma rede, sistema ou ambiente que pode (com um alto nível de confiança) identificar atividades maliciosas ou um incidente de segurança. IOCs podem existir em várias formas, incluindo endereços IP, domínios, artefatos no nível da rede, como sinalizadores ou cargas úteis de TCP, artefatos no nível do sistema ou do host, como executáveis, nomes e hashes de arquivos, entradas de arquivos de log ou entradas de registro e muito mais. Eles também podem ser uma combinação de itens ou atividades, como a existência de itens ou artefatos específicos em um sistema (um determinado arquivo ou conjunto de arquivos e itens de registro), ações realizadas em determinada ordem (um login em um sistema a partir de um determinado IP seguido por comandos anômalos específicos) ou atividade de rede (tráfego anômalo de entrada ou saída de ou para determinados domínios) que pode indicar uma ameaça específica, ataque ou metodologia do atacante.

Ao trabalhar para melhorar iterativamente seu programa de resposta a incidentes, você deve implementar uma estrutura para coletar, gerenciar e utilizar IOCs como um mecanismo para criar e melhorar continuamente as detecções e alertas e melhorar a velocidade e a eficácia das investigações. Você pode começar incorporando a coleta e o gerenciamento de IOCs nas fases de análise e investigação de seus processos de resposta a incidentes. Ao identificar, coletar e armazenar proativamente IOCs como parte padrão do seu processo, você pode criar um repositório de dados (como parte de um programa de inteligência de ameaças mais abrangente) que, por sua vez, pode ser usado para melhorar as detecções e alertas existentes, criar detecções e alertas adicionais, identificar onde e quando um artefato foi visto antes, criar e referenciar documentação de como as investigações eram feitas anteriormente envolvendo correspondência e muito mais. IOCs