Después de desplegar los Indicadores de Compromiso, se debería empezar a obtener lo denominado como “coincidencias”. Estas coincidencias implican una herramienta para Indicadores de Compromiso, encuentra una coincidencia para una regla definida o Indicador de Compromiso. Antes de tomar acciones sobre una coincidencia, se debe revisar la información de la coincidencia para determinar si es válido. Esto es normalmente requerido porque algunas coincidencias tienen menos fiabilidad por ser muy genéricos, o debido a los falsos positivos inesperados. Algunas veces se obtiene una pequeña cantidad de datos adicionales para ayudar a poner la coincidencia en contexto. A menos la coincidencia sea altamente fiable, en este punto aún se desconoce si el sistema es o no realmente parte del incidente. Consecuentemente se deben tomar una serie de pasos para determinar si el sistema es realmente de interés.

Conforme los sistemas son identificados, se debe realizar un triaje inicial sobre la nueva información. Estos pasos ayudan a asegurar se invierta tiempo en tareas relevantes, y mantener así la investigación enfocada en:

Validar: Examinar los detalles iniciales de los elementos coincidentes y determinar si son fiables. Por ejemplo, ¿Si un Indicador de Compromiso coincide únicamente con el nombre de un archivo, podría ser un falso positivo?. ¿Son los nuevos detalles consistentes con el lapso de tiempo conocido de la investigación actual?.

Categorizar: Asignar el sistema identificado hacia una o más categorías para mantener organizada la investigación. A través de los años se ha aprendido el etiquetar sistemas como “Comprometidos” es muy vago, y los investigadores deberían evitar utilizar estos términos. Resulta más útil utilizar categorías las cuales indiquen con más claridad el tipo de hallazgos y las actividades del atacante, como “Puerta trasera instalada”, “Acceso con credenciales válidas”, “Inyección SQL”, “Recolección de credenciales”, o “Robo de datos”.

Priorizar: Asignar una prioridad relativa para futuras acciones sobre el sistema identificado. Una práctica común dentro de muchas organizaciones es priorizar basándose en los factores relacionados a la empresa, como el usuario principal o el tipo de información procesada. Sin embargo esta perspectiva carece de un punto critico, el cual no considera otros factores de investigación. Por ejemplo, si los detalles iniciales del compromiso del sistema identificado son consistentes con los hallazgos de otros sistemas, una investigación más profunda del sistema no proporcionará ninguna nueva pista de la investigación, y podría tener una prioridad baja. De otro lado, si los detalles sugieren algo nuevo, como con diferente malware, puede ser beneficioso asignar una alta prioridad para el análisis, sin importar otros factores.

Fuentes:

https://www.sans.org/reading-room/whitepapers/forensics/paper/34200
https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-co...
http://www.reydes.com/d/?q=Creacion_de_Indicadores_de_Compromiso_IOC_Dur...