参考

David Bianco在2015年发布的博文： http://detect-respond.blogspot.com/2013/07/on-misuse-of-indicators.html

定义：

指示器：指向特定结论的一条信息

indicator：an indicator is a piece of information that points to a certain conclusion.

意义：

一条单独的指示器可能不足以支撑其指向的结论，但足够多的指示器可以最终得到正确的结论。指示器是证明结论的证据（数据点）。

形式：

可以认为是可能重复的任何数据类型或者特定模式。例如恶意软件使用的一条域名或者IP地址，交易中反复出现的数据，对手特定操作的组合。

分类：

• 归因指示器(Attribution Indicators)：用于溯源特定威胁角色（threat actor）
• 检测指示器(Detection Indicators)：用于发现安全事件的可观察物（也被称为IOC）
• 预测指示器(Prediction Indicators)：用于预示其他事件的行为模式
• 分析指示器(Profiling Indicators)：用于帮助发现哪些用户、设施、项目可能成为被攻击对象。

注：

• 预测指示器和分析指示器可能难以落地。
• 归因指示器和检测指示器可能共享某些信息，反例：动态域名3322.org，连接到该域名的流量大部分是高度可疑的，是一个很好的检测指标，但可能有上百个威胁角色使用该域名，难以溯源/归因，不是很好的归因指标