Indicator Of Compromise (IoC ) Nedir?

 Indicator Of Compromise Nedir?

IoC, herhangi bir siber saldırı sonucu zarar gelemden önce güvenlik tehditlerini, veri

ihlallerini, içeriden gelen tehditleri ve daha fazlasını belirlemeye yardımcı olan, kurmun

ağındaki tutarsızlıkları veya olağan dışı faaliyetlerin gösteren, güvenlik ihlaline işaret

eden kanıt olarak ifade edebiliriz. IoC’ler yalnızca yaklaşan saldırılar için bir uyarı işareti

olarak hareket etmekle kalmaz, aynı zamanda olanları analiz etmeye de yardımcı olur.

IoC verileri, şüpheli bir olayı veya network üzerindeki paket akışından sonra toplanır.

IoC’lar uzmanlar tarafından, kötü niyetli faaliyetleri tespit etmesine yardımcı olmaktadır.

Network içerisinde zararlı faaliyetleri erken fark edip müdahale kısa bir süre içerisinde

gerçekleştirilebilir.

IoC olabilecek veriler;

  • Ayrıcalıklı kullanıcıların anormal halleri
  • Deviant DNS istekleri
  • Web trafiğinin çok fazla artış olması
  • Veritabanı okumanın artmış olması
  • HTML yanıt boyutlarının büyümesi
  • Aynı dosya üzerinde normalden fazla istek
  • Registry’de olağan dışı değişiklikler.
  • Sistemde bilinmeyen dosyalar, uygulamalar ve işlemler.
  • Brute Force saldırılarını gösteren ağ trafiği
  • ip adreslerinin farklı coğrafyalardan gelmesi

IoC’leri takip etmek, kurumun güvenlik olaylarını tespit etme ve bunlara yanıt verme

konusunda daha iyi performans göstermesine olanak tanır. IoC’ler sağladığı verilerle,

uzmanlar tarafından bilgiye dayalı kararları daha hızlı ve daha doğru bir şeklide verebilir.

Sonuç olarak müdahale olarak daha hızlı hareket edebilirler.

Açık Kaynak IoC Araçları

  • InQuest / ThreatIngestor – Tehdit istihbaratını tüketmek için esnek çerçeve.
  • InQuest / iocextract – Gelişmiş Uzlaşma Göstergesi (IOC) çıkarıcı.
  • Neo23x0 / yarGen – yarGen, YARA kuralları için bir jeneratördür.
  • mandiant / ioc_writer – OpenIOC nesnelerinin temel oluşturulmasına ve düzenlenmesine izin veren bir python kitaplığı sağlar.
  • yahoo / PyIOCe – Python IOC Düzenleyicisi.
  • ninoseki / mitaka – Birçok kaynakta IoC’leri / gözlemlenebilirleri aramak için tarayıcı uzantısı.

IOC Biçimleri

MISP Malware Information Sharing Platform & Threat Sharing format- MISP

çekirdek formatı dahil MISP projesinde kullanılan özellikler.

Mitre Cyber Observable eXpression (CybOX™) – Bu site arşivlenmiş CybOX

belgelerini içerir.

Mitre Malware Attribute Enumeration and Characterization (MAEC™) – Kötü

amaçlı yazılımları anlamak için bir şema.

Mitre Structured Threat Information eXpression (STIX™) – Siber tehdit istihbaratı

için yapılandırılmış bir dil.

Yara – Kötü amaçlı yazılım araştırmacıları (ve diğer herkes) için kalıp eşleştirme

İsviçre bıçağı.

mandiant/OpenIOC_1.1- Bu depo, revize edilmiş bir şema, iocterms dosyası ve

OpenIOC 1.1 adını verdiğimiz revize edilmiş OpenIOC sürümünün taslağının

temelini oluşturan diğer destekleyici belgeleri içerir.

IoC Nedir