Glossário

#IOC #resposta a incidentes #inteligência de ameaças #detecção

O que é um IOC (Indicator of Compromise) — rastros que revelam uma invasão

Um IOC (Indicator of Compromise) é um rastro deixado por uma invasão que já aconteceu — um hash de arquivo suspeito, o IP ou domínio de um atacante, um processo incomum. O significado e os tipos, como compará-los com seus logs e o limite (rastros são reativos e facilmente mudados) — explicado de forma defensiva.

Publicado 2026-06-11 Atualizado 2026-06-11 5 min de leitura

"Como eu sei se fui invadido?" — as pistas são os IOCs (Indicators of Compromise). Veja o significado e os tipos, como usá-los e por que você não deve confiar demais neles — tudo de forma defensiva (sem passos de ataque).

Os principais tipos de IOC

Eles se dividem em quatro, por "onde o rastro fica".

Rede

IPs, domínios, URLs de destino

Arquivo

Hashes de malware, nomes de arquivo reveladores

Host

Processos estranhos, mudanças no registro

Comportamento

Envios em massa de madrugada, logins estranhos

Tipo	Exemplos	Onde você os compara
Rede	IP/domínio do servidor do atacante, URL de C2	Logs de firewall / proxy / DNS
Arquivo	Hash SHA-256 de malware, nome de arquivo distintivo	EDR / antivírus / listagem de arquivos
Host	Chave de registro suspeita, processo residente desconhecido	Logs do SO, lista de processos
Comportamento	Login em horário/país incomum, tráfego em massa súbito	Logs de autenticação, monitoramento de tráfego

IOC vs IOA — "rastro" vs "comportamento"

O contraste comum é o IOA (Indicator of Attack). A diferença mostra tanto a força quanto a fraqueza do IOC.

IOC (Indicator of Compromise) = um rastro do resultado

Evidência do que já aconteceu (hashes, IPs)
Pode ser comparado mecanicamente contra o sabidamente malicioso — rápido
Mas os atacantes o mudam facilmente (descartável)
Inerentemente reativo

IOA (Indicator of Attack) = comportamento em andamento

O fluxo da técnica: escalonamento de privilégios → movimento lateral → exfiltração
Captura mais perto do tempo real
Mais difícil de mudar do que um rastro (é a essência do ataque)
Mais pesado de adotar — precisa entender a mecânica

Quão "mudável" cada um é para o atacante (a pirâmide da dor)

Mesmo entre os IOCs, o esforço de que um atacante precisa para mudar um — ou seja, o quanto dói para ele quando você o captura — varia enormemente. Mais baixo é mais fácil de mudar; mais alto é mais difícil.

Técnicas / TTPs (mais difícil de mudar = mais eficaz)

Ferramentas

Nomes de domínio

Endereços IP, hashes de arquivo (mudados num instante)

Embaixo = atacantes mudam num instante (baixo impacto). Em cima = difícil de mudar (alto impacto).

Então comparar hashes e IPs funciona rápido, mas fica obsoleto rápido. Quanto mais você entende a técnica (como eles atacam), mais a sua defesa dura.

Usando IOCs mesmo em pequena escala

Mesmo sem um EDR dedicado ou uma assinatura de inteligência de ameaças, há um mínimo realista que você pode fazer.

Obtenha IOCs de fontes confiáveis

Use IOCs publicados em divulgações oficiais de invasões, em avisos de autoridades/CSIRT e em relatórios de fabricantes de boa reputação. Não use uma lista de origem desconhecida.

Compare-os com seus logs e dependências

Cruze os IPs/domínios/hashes compartilhados com seus logs de acesso, logs de DNS e pacotes de dependência (por exemplo, numa divulgação de cadeia de suprimentos, verifique se você usa a mesma versão envenenada).

Ao detectar, isole e investigue

Corte o dispositivo/chave/token afetado e dimensione o impacto, depois restaure conforme o seu plano de backup e recuperação.

Registre seus próprios IOCs e amplie a verificação

Anote os rastros que você encontrou e amplie a inspeção para outros dispositivos e serviços em busca dos mesmos sinais.

A visão deste site: um IOC é uma 'marca de queimadura depois do fogo' — o objetivo de verdade é não pegar fogo

A correspondência de IOC importa, mas é inspecionar as marcas de queimadura depois de um incêndio. Quando um rastro aparece, você já foi invadido. Então neste site mantemos a correspondência de IOC como ferramenta de inspeção, enquanto colocamos o peso em um design que não pega fogo: privilégio mínimo, correções rápidas (monitoramento de CVE), MFA resistente a phishing e nunca armazenar segredos em texto puro. Uma defesa que se apoia na correspondência reativa de rastros está sempre um passo atrás. O poder de "notar" via rastros e o poder de "evitar" que rastros existam são duas rodas que você quer juntas.

Leia a seguir

Glossário: O que é um CVE (o identificador do buraco) · O que é ransomware · O que é phishing
Recuperação: Fundamentos de backup e recuperação

FAQ

QO que é um IOC?

Sigla para Indicator of Compromise — um rastro deixado por uma invasão que já aconteceu. Concretamente: o hash de um arquivo suspeito, o IP ou domínio de destino de um atacante, uma URL maliciosa, um processo incomum ou uma mudança no registro. Você mantém esses dados como uma lista de sabidamente maliciosos e os compara com seus logs e dispositivos para detectar sinais de comprometimento.

QEm que um IOC difere de um CVE?

Um CVE é 'onde está o buraco' (um identificador de vulnerabilidade); um IOC é 'há evidência de uma invasão' (prova de ataque). Um CVE é o que você corrige; um IOC é o que você verifica para ver se já foi atingido. A ordem: feche o buraco via o CVE, depois inspecione em busca de rastros via IOCs.

QPosso me defender só com IOCs?

Não. Os IOCs são inerentemente reativos, e os atacantes trocam hashes de arquivo e IPs barato. A correspondência de IOC é útil como verificação final para o sabidamente malicioso, mas a defesa de verdade é um design que não pega fogo (privilégio mínimo, correções rápidas, MFA resistente a phishing) somado ao monitoramento do 'comportamento', que é mais difícil de mudar.