使用漏洞指标（IOC）

漏洞指标（IOC）是在网络、系统或环境中观察到的一种构件，它可以（以高置信度）识别恶意活动或安全事件。IOC 能够以多种形式存在，包括 IP 地址、域、网络级构件（例如 TCP 标志或有效载荷）、系统或主机级构件（例如可执行文件、文件名和哈希值、日志文件条目或注册表条目等）。IOC 也可以是项目或活动的组合，例如系统中存在的特定项目或构件（某个文件或一组文件及注册表项）、按特定顺序执行的操作（从特定 IP 登录系统后执行特定异常命令）、或网络活动（进出特定域的异常入站或出站流量），这些组合能够指示特定的威胁、攻击或攻击者手法。

在迭代改进事件响应计划的过程中，应实施一个框架来收集、管理和利用 IOC，以此作为持续构建和改进检测与警报的机制，同时提高调查速度和有效性。首先，您可以将收集与管理 IOC 纳入事件响应流程的分析和调查阶段。通过主动识别、收集和存储 IOC，并将其作为流程的标准部分，您可以构建数据存储库（作为更全面的威胁情报计划的一部分），该存储库反过来又可以用于改进现有的检测和警报、构建额外的检测和警报、识别某个构件之前出现的位置和时间、构建和参考涉及匹配 IOC 的既往调查方式的文档等等。