Indicadores de comprometimento (IOC) são artefatos observados em uma rede ou sistema operacional que provavelmente indicarão uma invasão. IOCs típicos são assinaturas de vírus e endereços IP, hashes MD5 de arquivos ou URLs de malware ou nomes de domínio. O IOC se aplica ao STIX1,1 e 2.x.

Um IOC pode ser um único observável ou uma coleção de observáveis (por exemplo, um único URL inválido conhecido ou a presença de um arquivo específico e alguns valores de chave de registro específicos).

Depois que os IOCs foram identificados em um processo de resposta a incidentes e perícia de computador, eles podem ser usados para detecção antecipada de futuras tentativas de ataque usando sistemas de detecção de invasão e software antivírus.

O IOC se aplica ao STIX1,1 e 2.x.