1 статья с этим тегом
IOA (Indicator of Attack) обнаруживает взлом по поведению атаки в процессе (повышение привилегий → горизонтальное перемещение → вывод данных). Это противоположность ретроспективного IOC. Злоумышленники мгновенно меняют хеши и IP, но техника (поведение) трудно меняется — поэтому IOA служат дольше. Даже небольшие команды могут подойти к этому, отслеживая поведение, отличающееся от нормального.