OpenIOC(Open Indicator of Compromise,開放威脅指標)
MANDIANT 公司發布的情報共享規范,是開源、靈活的框架。OpenIOC是一個記錄、定義以及共享威脅情報的格式,它通過借助機器可讀的形式實現不同類型威脅情報的快速共享。
IOC(Indicator of Compromise)
MANDIANT在長期的數字取證實踐中定義的可以反映主機或網絡行為的技術指示器,IOC以XML文檔類型描述捕獲多種威脅的事件響應信息,包括病毒文件的屬性、注冊表改變的特征、虛擬內存等,是一種入侵后可以取證的指標,可以識別一台主機或整個網絡。而OpenIOC是一個威脅情報共享的標准,通過遵循該標准,可以建立IOC的邏輯分組,在機器中以一種可讀的格式進行通信,從而實現威脅情報的交流共享。比如事件響應團隊可以使用OpenIOC的規范編寫多個IOCs來描述一個威脅的技術共性。