La creación de IOC o Indicadores de Compromiso, es el proceso de documentar las características y artefactos relacionados a un incidente de una manera estructurada. Esto incluye todo desde la perspectiva de un host y la red; cosas más allá de únicamente un malware. Se debe pensar sobre elementos como nombres de directorios de trabajo, nombres de archivos de salida, eventos de login, mecanismos de persistencia, direcciones IP, nombres de dominio, e incluso firmas de protocolos de red sobre malware. La meta de los IOCs es ayudar a describir efectivamente, comunicar, y encontrar artefactos relacionados hacia un incidente. Debido a un IOC es únicamente una definición, no proporciona una mecanismo actual para encontrar coincidencias. Se debe crear o adquirir una tecnología para aprovechar el lenguaje IOC.

Una importante consideración en la selección de como representar IOCs, es la habilidad de utilizar el formato dentro de la organización. Indicadores de compromiso de la red son más comúnmente representados como reglas de la herramienta Snort, además existen productos de nivel comercial como también open source o libres, los cuales son factibles de utilizar. Desde la perspectiva del host, algunos de los formatos IOC disponibles son; STIX y YARA.

STIX (Structured Threat Information Expression) es un lenguaje y formato para serialización, utilizado para intercambiar inteligencia de cyber amenazas (CTI). Mientras YARA es una herramienta cuyo propósito es (pero no se limita) a ayudar a los investigadores de malware a identificar y clasificar fácilmente muestras de malware.

Fuentes:

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=cti
https://oasis-open.github.io/cti-documentation/stix/intro
https://github.com/mandiant/ioc_writer
http://virustotal.github.io/yara/
http://cyboxproject.github.io/
https://oasis-open.github.io/cti-documentation/