Индикаторы
Поддерживаемые типы индикаторов компрометации
Индикаторы компрометации (IOCs) — это конкретные признаки, по которым можно распознать потенциальную угрозу ИБ. Среди распространяемых данных от к ним относятся:
- IP-адреса, связанные с преступной активностью
- Домены, используемые злоумышленниками
- URL, используемые злоумышленниками
- Хеши вредоносных файлов
Индикатор атаки (IoA) — это правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки.
Категории индикаторов - базовая классификация индикаторов по типу угрозы. Категория — это классификационный признак, который определяет:
- Классы вредоносного программного обеспечения
- Сущность конкретного индикатора
- Основные свойства и характеристики объекта
Примеры категорий: Ransomware, Phishing, Stealer, С2.
Типы индикаторов компрометации (IoC)
В данном разделе приведено описание форматов индикаторов, поддерживаемых платформой Solar TI Feeds.
| Тип | Формат (рус.) | Определение | Пример |
|---|---|---|---|
| IPV4 | IPv4 адрес | 32-битный IP-адрес сетевого уровня. Используется для идентификации сетевых устройств | 192.0.2.10 |
| SOCKETV4 | IPv4 адрес : Порт | Комбинация IPv4-адреса и номера транспортного порта (TCP/UDP) | 192.0.2.10:443 |
| IPV6 | IPv6 адрес | 128-битный IP-адрес сетевого уровня в шестнадцатеричной нотации | 2001:db8::1 |
| SOCKETV6 | [IPv6 адрес] : Порт | Комбинация IPv6-адреса и порта транспортного уровня. Адрес заключается в квадратные скобки для отделения от порта | [2001:db8::1]:8080 |
| URL | Унифицированный указатель ресурса | Полная строка запроса к ресурсу, включающая протокол, доменное имя (или IP), путь к файлу и параметры запроса | https://example.com/path/malware.exe |
| DOMAIN | Доменное имя (FQDN) | Символьное имя, идентифицирующее ресурс в Интернете | example.com |
| MD5 | MD5 | Хэш-сумма файла, вычисленная по алгоритму MD5 | d41d8cd98f00b204e9800998ecf8427e |
| SHA1 | SHA1 | Хэш-сумма файла, вычисленная по алгоритму SHA1 | da39a3ee5e6b4b0d3255bfef95601890afd80709 |
| SHA256 | SHA256 | Хэш-сумма файла, вычисленная по алгоритму SHA256 | e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 |
| FILE | Хэш-сумма файла | Информация о файле, идентифицируемом по его хэш-сумме по алгоритму SHA256. Метаданные объекта могут содержать дополнительные хэши (MD5, SHA1) | e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 |