Indicadores de comprometimento (IOC) são artefatos observados em uma rede ou sistema operacional que provavelmente indicarão uma invasão. IOCs típicos são assinaturas de vírus e endereços IP, hashes MD5 de arquivos de malware ou URLs ou nomes de domínio. O IOC se aplica a STIX1,1 e 2.x.

Um IOC pode ser um observável único ou uma coleção de observáveis (por exemplo, um único URL inválido conhecido ou a presença de um arquivo específico e alguns valores de chave de registro específicos).

Depois que os IOCs foram identificados em um processo de resposta a incidentes e perícia forense, eles podem ser usados para detecção antecipada de futuras tentativas de ataque usando sistemas de detecção de invasão e software antivírus.

O IOC se aplica a STIX1,1 e 2.x.