Uso de indicadores de comprometimento (IOCs) - Guia do usuário do AWS Security Incident Response

Uso de indicadores de comprometimento (IOCs)

Um indicador de comprometimento (IOC, na sigla em inglês) refere-se a um artefato detectado em uma rede, em um sistema ou em um ambiente que possibilita, com elevado nível de confiança, a identificação de atividades maliciosas ou de um incidente de segurança. Os IOCs podem se manifestar em várias formas, incluindo endereços IP, domínios, artefatos em nível de rede como sinalizadores TCP ou cargas úteis, artefatos em nível de sistema ou host, como executáveis, nomes de arquivos e hashes, entradas em arquivos de log, entradas no registro, entre outros. Além disso, os IOCs podem ser uma combinação de itens ou de atividades, como a existência de arquivos ou artefatos específicos em um sistema (por exemplo, um determinado arquivo ou conjunto de arquivos e itens no registro), ações executadas em uma sequência específica (por exemplo, um login em um sistema usando um IP determinado, seguido por comandos anômalos específicos) ou atividades na rede (por exemplo, tráfego anômalo de entrada ou de saída para ou a partir de determinados domínios), que podem indicar uma ameaça, um ataque ou uma metodologia de invasor específica.

À medida que você aprimora iterativamente seu programa de resposta a incidentes, deve implementar uma estrutura para coletar, gerenciar e usar os IOCs como um mecanismo para desenvolver e aprimorar continuamente as detecções e as gerações de alertas, além de aumentar a rapidez e a eficácia das investigações. É possível começar ao incorporar a coleta e o gerenciamento de IOCs às fases de análise e de investigação dos seus processos de resposta a incidentes. Ao identificar, coletar e armazenar proativamente os IOCs como um procedimento padrão em seus processos, é possível desenvolver um repositório de dados integrado a um programa de inteligência de ameaças mais abrangente. Este repositório, por sua vez, pode ser empregado para aprimorar detecções e alertas existentes, desenvolver detecções e alertas adicionais, identificar o momento e o local da ocorrência prévia de um artefato, elaborar e consultar documentação sobre investigações anteriores envolvendo IOCs correspondentes, entre outras aplicações.