# IoC 抽出のためのテクニックとツール 5 min read... # 前提 IoC(Indicator of Compromise)とは、セキュリティインシデントに関連するインディケーターのことです。具体的には、マルウェアのハッシュ値(MD5, SHA256, sssdeep, etc.)やその通信先の IP アドレス、URL 等がこれに該当します。 一般的に、IoC はブラックリストへの適用や情報共有のために用いられます。 # IoC 抽出が必要とされる背景 セキュリティベンダーから提供されるレポートの中に、IoC が含まれていることがありますが、構造化されたデータとして提供されていない場合がほとんどです。(例えば、文中にドメイン名や IP アドレスが記載されているだけ等) こういったレポートから、IoC を構造化されたデータとして抽出することで、ブラックリストへの適用や情報共有の