上一篇
什么是ioc
IOC(Indicator of Compromise)是威胁情报中的一个术语,指的是一个或多个与攻击者相关的可追踪和识别的信息,这些信息可以帮助安全专家更好地了解攻击者的行为、意图和能力,从而采取相应的防御措施,IOC通常包括以下几类信息:
1、IP地址
2、URL
3、域名
4、邮箱地址
5、文件哈希值
6、用户名和密码
7、数字证书
8、反面软件样本
9、网络协议和端口
10、其他关联信息
以下是一个简单的IOC表格示例:
| IOC类型 | IOC值 | 描述 |
| IP地址 | 192.168.1.1 | 攻击者的源IP地址 |
| URL | www.example.com/maliciouspage | 包含反面代码的网页URL |
| 域名 | example.com | 与反面活动相关的域名 |
| 邮箱地址 | attacker@example.com | 攻击者的邮箱地址 |
| 文件哈希值 | abc123def456 | 反面软件的文件哈希值 |
| 用户名和密码 | user:password | 用于登录的攻击者凭据 |
| 数字证书 | example_certificate.crt | 用于中间人攻击的数字证书 |
| 反面软件样本 | malicious_sample.exe | 反面软件的样本文件 |
| 网络协议和端口 | SMB:445 | 攻击者使用的网络协议和端口 |
| 其他关联信息 | … | 根据具体情况填写的其他关联信息 |
