Les indicateurs de compromission (IoC) sont des artefacts observés sur un réseau ou un système d’exploitation susceptibles d’indiquer une intrusion. Les IoC typiques sont les signatures de virus et les adresses IP, les hachages MD5 de fichiers ou d’URL de logiciels malveillants ou les noms de domaine. IoC s’applique pour STIX 1.1 et 2.x.

Un IoC peut être un observable unique ou une collection d’observables (par exemple, une seule URL incorrecte connue ou la présence d’un fichier spécifique et de quelques valeurs de clé de registre spécifiques).

Une fois que les IoC ont été identifiés dans le cadre d’un processus de réponse aux incidents et d’expertise informatique, ils peuvent être utilisés pour la détection précoce de futures tentatives d’attaque à l’aide de systèmes de détection d’intrusion et de logiciels antivirus.

IoC s’applique pour STIX 1.1 et 2.x.