IOC (индикатор компрометации) — это цифровой маркер или набор данных, указывающий на то, что система, сеть или устройство могли подвергнуться атаке или несанкционированному вмешательству. Эти индикаторы играют роль своеобразных «улик» в расследованиях киберпреступлений — по ним можно определить факт взлома, отследить путь проникновения и начать реагирование на инцидент.
К типичным IOC относят IP-адреса, подозрительные домены, URL, сигнатуры вредоносного ПО, хэши файлов, изменённые ключи реестра, нестандартные порты и аномалии в сетевом трафике. Используя IOC, специалисты по кибербезопасности могут оперативно выявлять угрозы, изолировать заражённые элементы инфраструктуры и предотвращать дальнейшее распространение вредоносной активности. Эти данные часто поступают из аналитических отчётов, Threat Intelligence-источников или результатов форензики после инцидента.