EDR的IOA规则库和IOC规则库指的是啥？

刚刚发现，EDR里面有一个IOA规则库和IOC规则库，这两个规则库代表啥意思？

IOC库用于采集并检测终端访问恶意网址行为。 IOA库用于采集并检测终端恶意行为，如文件操作行为、进程创建/停止行为、无文件攻击行为等。

IOA叫攻击指标，IOC叫攻陷指标
IOA一般是攻击的行为，比如多次登录尝试失败的爆破行为，某个软件发起了恶意域名的访问行为这种
IOC一般是被攻破的证据，比如恶意文件哈希值，恶意软件的特征，恶意的ip地址、url、域名

攻击信标（IOA）与攻陷信标（IOC）
可以看看这个文档http://www.hackdig.com/11/hack-831737.htm

如何理解IOA与IOC检测技术？同样以小偷入室盗窃为例，IOA检测技术代表着小区安保能够发现小偷踩点、标记、撬开门锁的行为，及时制止小偷的盗窃行为，而IOC检测技术则代表着小偷实施盗窃后，通过监控、指纹等证据追踪抓到小偷。
IoC 专注于攻击者为实现其意图而使用的特定文件和采取的行动，而 IoA 则专注于这些意图本身。IoC 关注“如何？”，而 IoA 关注“为什么？”。
IoC 本身代表的是恶意行为，因为它们是安全性已遭到破坏的证据，所以怎么可能是善意的呢？另一方面，IoA 代表的是根据上下文被判定为具有威胁性的行为。
例如，端口扫描本身不是恶意活动；无害的扫描器可能会执行端口扫描以检查一切是否正常。但是，如果还有其他上下文数据，例如表明站内主机使用非典型端口与站外主机通信的日志，那么这就是 IoA：在侦察阶段，无害的端口扫描器可能成为潜在攻击者，扫描您的网络是否存在任何漏洞。

IoC 是什么？
入侵指标 (IoC) 指的是在网络或设备上发现的数据物件，可作为系统疑遭入侵的证据：例如，不属于系统目录的文件或可疑 IP 地址。IoC 是“确凿证据”，即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响，并训练他们的工具和技术，以更好地检测和隔离日后可能出现的威胁。

IoC 的一些常见示例：


·异常 DNS 查找

·可疑文件、应用程序和进程

·属于僵尸网络或恶意软件命令和控制（C&C 或 C2）服务器的 IP 地址和域名

·已知恶意软件的攻击签名或文件哈希值

·异常大小的 HTML 响应

·对配置文件、寄存器或设备设置的未经授权修改

IoA 是什么？

攻击指标 (IoA) 是攻击者可能企图破坏系统的预警信号。它将各种数据片段（包括未知属性、IoC 和上下文信息，例如组织风险和情报）构建成潜在威胁的动态实时态势图。IoA 并非为了识别特定的恶意工具，而是通过关注所有攻击者为破坏系统而必须采取的步骤（例如侦察、初始访问、执行）来识别攻击者的战略意图。IoA 对于检测新的、复杂的网络攻击形式（例如无恶意软件入侵和零日攻击）至关重要。

IoA 的一些常见示例：
从本质上看，列出典型的 IoA 不如 IoC 直接，因为 IoA 是含有上下文的综合性信息片段组合。但有些特定的行为可以作为攻击者企图渗透系统的指标：

·多次访问一个文件

·管理员或特权用户账户出现可疑活动

·意外的软件更新

·通过很少使用的端口传输数据

·网站上出现非典型的人为行为

·多次登录尝试失败

·站内主机与恶名昭著的互联网资源或与业务范围之外的国家/地区进行通信

IoC 和 IoA：两者有什么区别？
IoC 和 IoA 可通过以下四种简单的方法进行区分：

具体工具与动机：

IoC 专注于攻击者为实现其意图而使用的特定文件和采取的行动，而 IoA 则专注于这些意图本身。IoC 关注“如何？”，而 IoA 关注“为什么？”。

恶意与不一定恶意

IoC 本身代表的是恶意行为，因为它们是安全性已遭到破坏的证据，所以怎么可能是善意的呢？另一方面，IoA 代表的是根据上下文被判定为具有威胁性的行为。

例如，端口扫描本身不是恶意活动；无害的扫描器可能会执行端口扫描以检查一切是否正常。但是，如果还有其他上下文数据，例如表明站内主机使用非典型端口与站外主机通信的日志，那么这就是 IoA：在侦察阶段，无害的端口扫描器可能成为潜在攻击者，扫描您的网络是否存在任何漏洞。

静态与动态

IoC 被称为“静态”指标，因为网络攻击的构成元素（例如，后门、C&C 连接、IP 地址、事件日志、哈希值）不会随时间变化。这是标准威胁情报的基本概念：使用此类已知恶意构成元素的数据库来识别传入威胁。

但如果您面临的是未知的新型威胁和不熟悉的构成元素，或者确实是无恶意的攻击，该怎么办？IoC 发挥不了作用，因为匹配不到任何恶意行为。但无论是否使用了新构成元素（或根本不使用），攻击者在实施网络攻击的整个过程中必须经历一系列类似的阶段。IoA 旨在识别这些潜在的、稳定的攻击模式，因此可以检测出全新的威胁。

因此，IoA 被称为“动态”指标：在整个攻击阶段和切换攻击手段的过程中，网络犯罪活动是动态的，而 IoA 检测方法可以实时识别和跟踪这些正在发生的行为。

被动与主动

IoC 是被动的：破坏行为已经发生，而 IoC 就像是犯罪现场留下的线索。不幸的是，这有点太晚了，可能需要付出高昂的成本来应对破坏事件，修复造成的损坏并恢复系统。

另一方面，IoA的作用体现在攻击的初始阶段；它们是可能发生攻击的预警信号。因此，识别 IoA 可以让安全团队主动拦截和阻止攻击，防患于未然。这显然对保护系统的安全更为有利，因为组织可以避免代价高昂的破坏行为，而安全团队也不必花时间在事后取证调查中“拼凑”各条线索。

简单来说，两者的区别在于：IoC 是破坏已经发生的证据，而 IoA 是破坏可能发生的证据。

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主可以按照楼上贴出的连接进行排查试试，如果不行还是直接找400协助查看吧