Indicadores de comprometimento (IoC) são artefatos observados em uma rede ou sistema operacional que provavelmente indicam uma invasão. IoCs típicos são assinaturas de vírus e endereços IP, hashes MD5 de arquivos de malware ou URLs ou nomes de domínio. O IoC se aplica a STIX 1.1 e 2.x.

Um IoC pode ser um único observável ou uma coleção de observáveis (por exemplo, um único URL incorreto conhecido ou a presença de um arquivo específico e alguns valores de chave de registro específicos).

Depois que os IoCs forem identificados em um processo de resposta a incidentes e perícia de computador, eles podem ser usados para detecção antecipada de futuras tentativas de ataque usando sistemas de detecção de intrusão e software antivírus.

O IoC se aplica a STIX 1.1 e 2.x.