اول indicator چیست؟ indicatorها شواهد مربوط به حوادث امنیتی هستند. آنها می توانند هش، نام دامنه، آدرس IP، URL، امضای بدافزار، کلیدهای رجیستری، نام فایل، فرآیندها،services، ترافیک شبکه، فعالیت از مکان های جغرافیایی غیرمعمول، نرم افزار ناشناس، فعالیت غیرمعمول، تغییرات غیرمعمول رجیستری یا فایل، فعالیت خواندن بالا در پایگاه داده باشند. ، تعداد زیاد تلاش برای ورود ناموفق، تغییرات پیکربندی مشکوک، و کوئری های غیرعادی DNS.
دوم Indicator of Compromise (IOC)شواهدیست از یک حادثه امنیتی که گذشته است. شواهدی مبنی بر اینکه یک سیستم یا شبکه ممکن است از دسترسی غیرمجاز توسط بدافزار یا انسان استفاده مخرب کرده باشد. IoC ها توسط DFIR، IR، CTI، threat hunters و سایر مدافعان برای مطالعه حملات استفاده میکنند.
سوم indicator of attack ( IOA) شواهدیست از یک حادثه امنیتی فعال و جاری است. شواهدی مبنی بر اینکه ممکن است در حال حاضر یک سیستم یا شبکه بدون مجوز توسط بدافزار یا یک انسان در دسترس باشد. IoAها توسط IDSها، IPSها، NGFWها، ضد بدافزارها و سایر سخت افزارها و نرم افزارهای شناسایی برای هشدار و توقف احتمالی حملات فعال استفاده می شوند.
بنابراین، تفاوت بین IoC و IoA در این است که یک IoC تاریخی است و به یک حمله گذشته نگاه می کند، در حالی که یک IoA جاری و فعال است و به یک حمله در فرآیند نگاه می کند.