Какие основные типы индикаторов компрометации существуют в системах безопасности?

Некоторые основные типы индикаторов компрометации (IOC) в системах безопасности:

• Атомарные. vc.ru К ним относятся IP-адреса, e-mail-адреса, DNS-адреса, полные URL и другие данные, которые позволяют идентифицировать вредоносные процессы в сети или на отдельных компьютерах. vc.ru
• Вычисляемые. vc.ru К этому типу индикаторов относятся хэши (контрольные суммы) вредоносных файлов по стандартам MD5 или SHA1, ключи реестра, списки процессов или информация для декодирования протоколов, по которым работает вредоносный код. vc.ru
• Поведенческие. vc.ru Это не отдельные индикаторы, а их наборы, которые описывают профиль поведения чего-либо или кого-либо — злоумышленника, узла, подсети и т. п.. vc.ru

Некоторые другие индикаторы компрометации:

• Аномалии трафика. www.microsoft.com Если из организации покидает намного больше данных или действия выполняются из необычного расположения в сети, это может быть признаком атаки. www.microsoft.com
• Необычные попытки входа. www.microsoft.com Важно обращать внимание на входы в необычное время суток или из необычных географических расположений, а также на множественные неудачные входы для одной учётной записи. www.microsoft.com
• Аномалии привилегированной учётной записи. www.microsoft.com Нетипичное поведение, связанное с этими учётными записями, например попытка повысить свои привилегии, может быть признаком нарушения безопасности. www.microsoft.com
• Изменение конфигураций систем. www.microsoft.com Вредоносные программы часто настроены на внесение изменений в конфигурации систем, например на включение удалённого доступа или отключение программного обеспечения системы безопасности. www.microsoft.com
• Неожиданная установка или обновление программного обеспечения. www.microsoft.com Многие атаки начинаются с установки программного обеспечения, например вредоносных программ или программ-шантажистов. www.microsoft.com
• Многочисленные запросы для одного файла. www.microsoft.com Несколько запросов для одного файла могут указывать на то, что злоумышленник пытается украсть его и попробовал получить к нему доступ несколькими способами. www.microsoft.com