本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用入侵指標 (IOCs)
<a name="use-indicators-of-compromise"></a>

 *入侵指標* (IOC) 是在網路、系統或環境中觀察到的成品，可以 （具有高度可信度） 識別惡意活動或安全事件。IOCs可以以各種形式存在，包括 IP 地址、網域、網路層級成品，例如 TCP 旗標或承載、系統或主機層級成品，例如可執行檔、檔案名稱和雜湊、日誌檔案項目或登錄項目等。它們也可以是項目或活動的組合，例如在系統上存在特定項目或成品 （特定檔案或一組檔案和登錄項目）、以特定順序執行的動作 （從特定 IP 登入系統，後面接著特定異常命令），或網路活動 （進出特定網域的異常傳入或傳出流量），這些動作可能指出特定威脅、攻擊或攻擊者方法。

 當您努力反覆改善事件回應計畫時，您應該實作架構來收集、管理和利用 IOCs做為機制，以持續建置和改善偵測和提醒，並改善調查的速度和有效性。您可以從將 IOCs 的收集和管理納入事件回應程序的分析和調查階段開始。透過主動識別、收集和儲存 IOCs 作為程序的標準部分，您可以建置資料儲存庫 （做為更全面的威脅情報計劃的一部分），進而用於改善現有的偵測和警示、建立額外的偵測和警示、識別之前看到成品的位置和時間、建置和參考文件，以了解先前如何進行涉及相符 IOCs調查等。