妥协指标(IOC)定义为"法医数据,包括在系统日志条目或文件中找到的数据,用于识别系统或网络上的潜在恶意活动."
通过监控IOC,组织可以检测攻击并迅速采取行动,防止此类攻击发生,或通过阻止早期阶段的攻击来限制损害.
有一些用例允许查询法医文物,例如 :
按MD5查找特定文件
搜索对于特定实体,实际存储在内存中
特定条目或条目集,存储在Windows注册表中
上述所有组合在搜索工件方面提供了更好的结果.如上所述,Windows注册表为生成和维护IOC提供了一个完美的平台,它直接有助于计算取证.
查找文件系统中的位置,特别是现在进入Windows注册表.
搜索一组通过取证工具设计的工件.
查看任何不良活动的迹象.
调查生命周期跟随IOC,并在注册表中搜索特定条目.
第1阶段:初始证据 : 在主机或网络上检测到危害的证据.响应者将调查并确定确切的解决方案,这是一个具体的取证指标.
第2阶段:为主持人创建IOC&网络 : 收集数据后,将创建IOC,使用Windows注册表很容易实现. OpenIOC的灵活性为指标的制作方式提供了无限的排列数.
第3阶段:在企业中部署IOC : 去;一旦创建了指定的IOC,调查员将在Windows注册表中借助API来部署这些技术.
第4阶段:识别嫌疑人 : IOC的部署有助于以正常方式识别嫌疑人.甚至还会识别其他系统.
第5阶段:收集和分析证据 : 相应地收集和分析了针对嫌疑人的证据.
第6阶段:优化&创建新的IOC : 调查小组可以根据他们在企业中发现的证据和数据以及其他情报创建新的IOC,并继续改进他们的周期.
下图显示了调查生命周期的阶段;
