Indikatoren für Kompromittierung (IOC) sind Artefakte, die in einem Netzwerk oder Betriebssystem beobachtet werden und wahrscheinlich auf einen Angriff hinweisen. Typische IoCs sind Virensignaturen und IP-Adressen, MD5-Hashes von Malware-Dateien oder URLs oder Domänennamen. IOC gilt für STIX1,1 und 2.x.

Ein IOC kann ein einzelnes erkennbares Element oder eine Sammlung von erkennbaren Elementen sein (z. B. eine einzelne bekannte ungültige URL oder das Vorhandensein einer bestimmten Datei und einiger bestimmter Registrierungsschlüsselwerte).

Nachdem IoCs in einem Prozess der Reaktion auf Incidents und Computerforensik identifiziert wurden, können sie zur Früherkennung zukünftiger Angriffsversuche mithilfe von Angriffserkennungssystemen und Virenschutzsoftware verwendet werden.

IOC gilt für STIX1,1 und 2.x.