目录

妥协的指标(Indicators of Compromise)

妥协指标(IOC)被定义为“法医数据,包括在系统日志条目或文件中找到的数据,用于识别系统或网络上的潜在恶意活动。”

通过监控IOC,组织可以检测攻击并迅速采取行动,防止此类攻击发生,或通过阻止早期攻击来限制损害。

有一些用例,允许查询法医文物,如 -

  • 通过MD5查找特定文件
  • 搜索实际存储在内存中的特定实体
  • 特定条目或条目集,存储在Windows注册表中

上述所有组合在搜索工件方面提供了更好的结果。 如上所述,Windows注册表为生成和维护IOC提供了一个完美的平台,它直接有助于计算取证。

方法 Methodology

  • 查找文件系统中的位置,特别是现在进入Windows注册表。

  • 搜索由取证工具设计的工件集。

  • 寻找任何不良活动的迹象。

调查生命周期

调查生命周期跟随IOC,它在注册表中搜索特定条目。

  • Stage 1: Initial Evidence - 在主机或网络上检测到危害的证据。 响应者将调查并确定确切的解决方案,这是一个具体的取证指标。

  • Stage 2: Create IOCs for Host & Network - 在收集的数据之后,创建了IOC,使用Windows注册表很容易实现。 OpenIOC的灵活性为如何制作指标提供了无限的排列数量。

  • Stage 3: Deploy IOCs in the Enterprise - 一旦创建了指定的IOC,调查员将在Windows寄存器中借助API部署这些技术。

  • Stage 4: Identification of Suspects - IOC的部署有助于以正常方式识别嫌疑人。 甚至还会识别其他系统。

  • Stage 5: Collect and Analyze Evidence - 相应地Stage 5: Collect and Analyze Evidence针对嫌疑人的证据。

  • Stage 6: Refine & Create New IOCs - 调查团队可以根据企业中的证据和数据以及其他情报创建新的IOC,并继续完善其周期。

下图显示了调查生命周期的各个阶段 -

调查生命周期
↑回到顶部↑
WIKI教程 @2018