Indicatoren van inbreuken (IOC's): soorten, voorbeelden, opsporing en reactie

Mei 19, 2026
Kaseya
Incidentafhandeling, Bedreigingsdetectie, Bedreigingen

Wanneer een aanvaller zich door uw omgeving beweegt, laat hij sporen achter. Een bestand dat op een ongebruikelijke locatie is opgeslagen. Een uitgaande verbinding met een IP-adres waarmee geen enkel legitiem proces contact zou mogen hebben. Een inlogpoging vanuit een land waar u geen medewerkers heeft. Dit zijn indicatoren van inbreuk (IOC’s): digitaal bewijs dat er in een systeem of netwerk is ingebroken, of dat er op dat moment actief wordt ingebroken.

Voor beveiligingsteams en MSP’s zijn IOC’s een van de belangrijkste hulpmiddelen om bedreigingen op te sporen die de perimeter al hebben gepasseerd. Tools zoals Datto EDR, Kaseya SIEM en Kaseya MDR zijn precies hierop gericht: het opsporen van IOC’s in uw hele omgeving en het omzetten daarvan in gecoördineerde reacties voordat de schade zich verder uitbreidt.

Wat zijn indicatoren van een inbreuk?

Indicatoren van compromittering zijn stukjes digitaal forensisch bewijsmateriaal die erop wijzen dat er zonder toestemming toegang is verkregen tot een systeem, eindpunt of netwerk, of dat deze zijn geïnfecteerd met malware of het doelwit zijn geweest van een aanval. De term ‘compromittering’ is bewust gekozen: tegen de tijd dat de meeste IOC’s worden geïdentificeerd, heeft er al een inbraak plaatsgevonden of is deze nog gaande.

IOC’s kunnen aanwijzingen zijn die worden verzameld uit logbestanden, netwerkverkeer, bestandssystemen of telemetrie van eindpunten. Het gaat hierbij om specifieke bestands-hashes die in verband worden gebracht met bekende malware, IP-adressen of domeinen die worden gebruikt voor command-and-control, wijzigingen in registersleutels, afwijkend procesgedrag en authenticatiepatronen die wijzen op diefstal van inloggegevens.

Beveiligingsteams maken op twee manieren gebruik van IOC’s. Reactief: nadat een verdachte gebeurtenis is gesignaleerd, zoeken analisten naar IOC’s om te achterhalen wat er is gebeurd, het spoor van de aanvaller te volgen en de omvang van het incident vast te stellen. Proactief: teams voeren bekende IOC’s in detectietools in, zodat er automatisch een waarschuwing wordt gegenereerd als dezelfde kenmerken opnieuw opduiken. Juist dit tweede gebruik maakt feeds met dreigingsinformatie en het delen van IOC’s zo waardevol.

Het is belangrijk om één beperking duidelijk te maken: het opsporen van IOC’s is per definitie achteraf. Als je tools een IOC hebben gevonden, is er al iets misgegaan. Het doel van goede IOC-monitoring is om de tijd tussen het moment waarop een inbreuk plaatsvindt en het moment waarop deze wordt ontdekt te verkleinen, want juist in die periode kunnen aanvallers hun gang gaan.

Indicatoren van compromittering versus indicatoren van een aanval (IOA’s): wat is het verschil?

Een indicator van compromittering is een aanwijzing dat er al iets ernstigs is gebeurd. Het is gebaseerd op concrete sporen: een bestandshash, een registersleutel, een domeinnaam, een IP-adres. IOC’s zijn specifiek en statisch.

Een indicator van een aanval richt zich op gedrag in plaats van op artefacten. IOAs beschrijven de technieken en acties die een aanvaller gebruikt, ongeacht de specifieke tools die hij inzet. Een proces dat een subproces genereert dat een netwerkverbinding probeert tot stand te brengen, is een IOA-patroon. Dit kan worden veroorzaakt door bekende malware of door een gloednieuwe bedreiging die nog nooit is geregistreerd. IOAs zijn breder van opzet en beter bestand tegen ontwijking, omdat het wijzigen van een bestandshash het onderliggende gedrag niet verandert.

In de praktijk maken volwassen beveiligingsafdelingen gebruik van beide. IOC’s sporen bekende bedreigingen snel op. IOA’s detecteren nieuwe aanvallen en geavanceerde aanvallers die speciaal tools ontwikkelen om te voorkomen dat ze in bekende IOC-databases worden herkend.

Soorten indicatoren van inbreuken

IOC’s worden ingedeeld in vier categorieën op basis van hun herkomst en wat ze beschrijven.

Netwerkgebaseerde IOC’s

Netwerk-IOC’s zijn aanwijzingen die verband houden met verdachte of kwaadaardige netwerkactiviteit. Hieronder vallen IP-adressen die gekoppeld zijn aan de infrastructuur van cybercriminelen, domeinen die worden gebruikt voor command-and-control-communicatie (C2), ongebruikelijke patronen in uitgaand verkeer en DNS-verzoeken voor domeinen die niet overeenkomen met legitieme diensten.

Aangezien netwerk-IOC’s vaak wijzen op actieve communicatie met door aanvallers gecontroleerde infrastructuur, is het van groot belang dat ze snel worden opgespoord. Een eindpunt dat is gehackt maar waaruit nog geen gegevens zijn gestolen, kan nog steeds worden ingeperkt als de uitgaande C2-verbinding eerst wordt onderschept.

Op de host gebaseerde IOC’s

Hostgebaseerde IOC’s zijn te vinden op individuele eindpunten en apparaten. Het gaat hierbij om onverwachte wijzigingen in registersleutels of systeembestanden, nieuwe processen die onder ongebruikelijke bovenliggende processen draaien, aanpassingen aan geplande taken of opstartvermeldingen, bestanden die verschijnen op locaties waar legitieme software geen gegevens opslaat, en ongeoorloofde wijzigingen in accountrechten.

EDR-tools vormen het belangrijkste middel voor het opsporen van hostgebaseerde IOC’s, omdat ze op agentniveau inzicht bieden in alles wat er op het apparaat gebeurt: elke processtart, elke bestandswijziging, elke aanpassing in het register. Dankzij deze telemetrie is het mogelijk om bestandsloze malware en ‘living-off-the-land’-aanvallen op te sporen die geen bestanden op de schijf achterlaten, maar wel sporen in het gedrag.

Op bestanden gebaseerde IOC’s

Bestandsgebaseerde IOC’s zijn specifieke kenmerken die gekoppeld zijn aan bekende schadelijke bestanden. De meest voorkomende vorm is een cryptografische hash (MD5, SHA-1 of SHA-256) die een bestand op unieke wijze identificeert. Als een hash overeenkomt met een hash die aan bekende malware is gekoppeld, is dat een sterke aanwijzing dat het bestand schadelijk is, ongeacht de nieuwe bestandsnaam.

Andere bestandsgebaseerde IOC’s zijn onder meer bestandsnamen en paden die door bekende malwarefamilies worden gebruikt, en gegevens van digitale certificaten van ondertekende malware. Bestandsgebaseerde IOC’s kunnen snel worden gecontroleerd en zijn eenvoudig te delen; daarom vormen ze het grootste deel van de gegevens in threat intelligence-feeds. Een nadeel is dat ze gemakkelijk kunnen worden omzeild door de code opnieuw te compileren, waardoor de hash verandert.

Gedragsgerelateerde IOC’s

Gedragsgerelateerde IOC’s beschrijven activiteitspatronen die afwijken van vastgestelde referentiewaarden, ongeacht de specifieke bestanden of artefacten die hierbij betrokken zijn. Meerdere mislukte inlogpogingen op verschillende accounts binnen een kort tijdsbestek, een gebruikersaccount dat toegang zoekt tot gedeelde bestanden die het nog nooit eerder heeft gebruikt, of grote hoeveelheden gegevens die door één enkele gebruiker uit een database worden gelezen, zijn allemaal gedragsgerelateerde IOC’s.

Gedragsgerichte IOC’s hebben een vastgestelde referentiewaarde nodig om zinvol te zijn. SIEM-platforms en UEBA-tools (User and Entity Behavior Analytics) bouwen deze referentiewaarden in de loop van de tijd op en signaleren afwijkingen automatisch, waardoor ze bijzonder effectief zijn in het opsporen van bedreigingen die er bewust op gericht zijn om niet te voldoen aan bekende IOC-signaturen.

Voorbeelden van veelvoorkomende aanwijzingen voor een inbreuk

Als beveiligingsteams weten hoe IOC’s er in de praktijk uitzien, weten ze beter waar ze op moeten letten. De meest voorkomende voorbeelden zijn onder meer:

  • Ongewone authenticatieactiviteit: meerdere mislukte inlogpogingen op verschillende accounts vanaf hetzelfde IP-adres, een succesvolle inlogpoging vanaf een onverwachte geografische locatie of vanaf een apparaat dat nog nooit eerder toegang tot het account heeft gehad, en inlogpogingen op ongebruikelijke tijdstippen duiden allemaal op mogelijke diefstal van inloggegevens of ongeoorloofde toegang.
  • Afwijkend uitgaand verkeer: wanneer een apparaat plotseling grote hoeveelheden gegevens verstuurt naar externe bestemmingen waarmee het nog nooit heeft gecommuniceerd, of naar bekende kwaadaardige IP-reeksen, duidt dit op mogelijke gegevensdiefstal. Verkeer dat met regelmatige, vaste tussenpozen wordt verzonden, wijst vaak op communicatie met C2-infrastructuur.
  • Onverwachte processen of software: processen die vanuit tijdelijke mappen worden uitgevoerd, niet-ondertekende uitvoerbare bestanden op locaties waar normaal gesproken geen software staat, en tools voor externe toegang die op productiemachines niet thuishoren, zijn allemaal het onderzoeken waard. Geplande taken of opstartvermeldingen die zijn verschenen zonder dat daar een bijbehorend wijzigingsverzoek aan ten grondslag ligt, kunnen wijzen op de aanwezigheid van een aanvaller die zich in het systeem heeft genesteld.
  • Verdachte wijzigingen in het register: Aanvallers wijzigen registersleutels om hun aanwezigheid in het systeem te bestendigen, beveiligingstools uit te schakelen of het systeemgedrag te veranderen. Wijzigingen in sleutels voor automatisch starten of in serviceconfiguraties zonder bijbehorend wijzigingsticket zijn sterke hostgebaseerde IOC’s.
  • Afwijkingen in het DNS-verkeer: grote hoeveelheden DNS-verzoeken naar één enkel domein, verzoeken voor nieuw geregistreerde of algoritmisch gegenereerde domeinen (een techniek die bekendstaat als ‘domain generation algorithms’, of DGA) en zoekopdrachten naar bekende schadelijke domeinen duiden allemaal op een mogelijke inbreuk op het netwerk.
  • Ongeautoriseerde configuratiewijzigingen: firewallregels die zijn aangepast om inkomende poorten te openen, nieuwe beheerdersaccounts die zonder toestemming zijn aangemaakt en beveiligingssoftware die is uitgeschakeld of verwijderd, zijn allemaal indicatoren die onmiddellijk nader onderzoek vereisen.

Hoe IOC’s worden gebruikt bij incidentrespons

IOC-detectie is het meest waardevol wanneer deze is gekoppeld aan een responsworkflow. Het opsporen van een IOC zonder daar snel actie op te ondernemen, is maar net iets beter dan het helemaal niet vinden ervan.

In de praktijk verloopt de op IOC’s gebaseerde incidentrespons volgens een vast patroon. Er wordt een waarschuwing gegenereerd wanneer een bekende IOC wordt herkend of wanneer afwijkend gedrag een drempelwaarde overschrijdt. Een analist gaat na of dit een daadwerkelijke dreiging vormt. Indien dit wordt bevestigd, wordt de omvang van het incident in kaart gebracht: welke systemen zijn getroffen, tot welke gegevens is mogelijk toegang verkregen en hoe heeft de aanvaller zich toegang verschaft? Daarna volgt inperking, waarbij eindpunten worden geïsoleerd of verdachte verbindingen worden geblokkeerd. Bij herstel worden kwaadaardige artefacten verwijderd en wordt de toegangsvector afgesloten. Ten slotte worden de tijdens het onderzoek verzamelde IOC's toegevoegd aan detectieregels, zodat hetzelfde patroon de volgende keer sneller wordt opgemerkt.

Snelheid is bij elke stap van cruciaal belang. Uit het ‘Unit 42 Global Incident Response Report 2026’ blijkt dat de snelste aanvallen tegenwoordig al binnen 72 minuten na de eerste toegang tot gegevens leiden. Organisaties die gebruikmaken van geautomatiseerde detectie en inperking van IOC’s, lossen incidenten consequent sneller op dan organisaties die vertrouwen op handmatige controle.

Tools voor het correleren van bedreigingen en het detecteren van IOC’s

Er zijn verschillende categorieën beveiligingstechnologie die specifiek zijn ontwikkeld voor het opsporen van en reageren op IOC’s.

Beveiligingsinformatie- en gebeurtenissenbeheer (SIEM)

SIEM is het belangrijkste hulpmiddel voor het correleren van IOC’s binnen een omgeving. Een SIEM verzamelt log- en gebeurtenisgegevens uit de gehele IT-stack, past correlatieregels toe om patronen te identificeren die overeenkomen met bekende IOC’s of verdacht gedrag, en genereert geprioriteerde waarschuwingen. Omdat een SIEM gegevens uit meerdere bronnen tegelijkertijd ziet, legt het verbanden tussen gebeurtenissen die op zichzelf onopvallend zouden lijken: een mislukte aanmelding, gevolgd door een succesvolle aanmelding vanaf een ander IP-adres, gevolgd door het openen door die gebruiker van een gedeeld bestand waar hij nog nooit iets mee heeft gedaan, wordt een gecorreleerd incident in plaats van drie afzonderlijke waarschuwingen met lage prioriteit.

Eindpuntdetectie en -respons (EDR)

EDR-tools monitoren individuele eindpunten in realtime op hostgebaseerde en gedragsgerelateerde IOC’s. Ze registreren gedetailleerde telemetriegegevens, vergelijken gedrag met dreigingsbibliotheken en IOC-databases, en ondersteunen geautomatiseerde of door analisten gestuurde reacties, waaronder isolatie, het beëindigen van processen en het in quarantaine plaatsen van bestanden.

Beheerde detection and response MDR)

MDR-diensten voegen een analytische laag toe aan SIEM- en EDR-technologie. In plaats van de beoordeling en het onderzoek van IOC’s aan interne medewerkers over te laten, houden MDR-aanbieders continu toezicht en reageren zij namens de klant op bevestigde bedreigingen. Voor organisaties die niet over een 24/7 beveiligingsteam beschikken, zorgt MDR ervoor dat de detectie van IOC’s wordt omgezet in concrete maatregelen.

detection and response CDR)

Naarmate steeds meer bedrijfsactiviteiten worden verplaatst naar platforms als Microsoft 365 en Google Workspace, zijn cloudgebaseerde IOC’s een belangrijk onderdeel geworden van het dreigingsbeeld. CDR-tools breiden de detectie van IOC’s uit naar SaaS-omgevingen en signaleren zaken als ongebruikelijke OAuth-app-machtigingen, aanmeldingen vanaf onmogelijke locaties, het massaal downloaden van bestanden en ongeoorloofde wijzigingen in de configuraties van cloudtenants.

Platforms voor dreigingsinformatie

Platforms voor dreigingsinformatie verzamelen IOC-gegevens uit wereldwijde feeds, overheidsadviezen, onderzoek van leveranciers en informatie die door de gemeenschap wordt gedeeld. Ze vullen waarschuwingen aan met context over de context waarin een bepaald IP-adres, domein of bestands-hash voorkomt, welke kwaadwillende groepen er gebruik van maken en hoe recent het in actieve campagnes is waargenomen, waardoor analisten beter kunnen bepalen wat ze als eerste moeten onderzoeken.

Hoe Kaseya teams helpt bij het opsporen van en reageren op IOC’s

Het beveiligingsplatform van Kaseya is ontworpen om IOC’s over het gehele aanvalsoppervlak te detecteren en deze detectie te koppelen aan een snelle, gecoördineerde reactie, met name voor MSP’s en kleine IT-teams die niet over een uitgebreide interne beveiligingsafdeling beschikken.

Kaseya SIEM verzamelt telemetriegegevens uit meer dan 60 gegevensbronnen, legt verbanden tussen overeenkomende IOC’s en verdachte gedragspatronen op het gebied van eindpunten, identiteit, netwerken en de cloud, en bewaart logbestanden gedurende 400 dagen ter ondersteuning van forensisch onderzoek. Geautomatiseerde responsregels kunnen onmiddellijk in werking treden zodra IOC’s worden bevestigd, waarbij accounts worden geblokkeerd, apparaten worden geïsoleerd en aflopende sessies worden gemarkeerd zonder dat er handmatige tussenkomst nodig is.

Datto EDR controleert eindpunten in realtime op hostgebaseerde en gedragsgerelateerde IOC’s, koppelt detecties aan het MITRE ATT&CK-raamwerk voor directe context voor analisten en biedt meer dan 65 geautomatiseerde responsmaatregelen, waaronder het terugdraaien van ransomware.

Kaseya MDR beschikt over beveiligingsanalisten in de VS die uw omgeving 24 uur per dag in de gaten houden, door IOC’s geactiveerde waarschuwingen onderzoeken en inperkingsmaatregelen nemen wanneer bedreigingen worden bevestigd. Voor organisaties die 24/7 IOC-respons nodig hebben zonder zelf een SOC op te zetten, is MDR de praktische oplossing.

SaaS Alerts breidt IOC-detectie uit naar Microsoft 365, Google Workspace en andere cloudapplicaties. Teams kunnen aangepaste IOC-regels definiëren met behulp van gebeurtenistriggers en filters, waarbij community-IOC-sjablonen voor veelvoorkomende bedreigingspatronen direct beschikbaar zijn. SaaS Alerts rechtstreeks SaaS Alerts met Kaseya SIEM voor cross-surface correlatie, waardoor analisten op één plek een uniform overzicht krijgen van IOC-activiteit op endpoints en in de cloud. Samen bieden deze tools MSP's en IT-teams het inzicht en de responscapaciteit om op IOC's te reageren in elke laag van de omgeving, zonder dat er een speciaal beveiligingscentrum nodig is om dit te laten werken.

Eén compleet platform voor IT- en Security

Kaseya 365 de alles-in-één-oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya 365

Één platform. Alles omtrent IT.

Kaseya 365 profiteren van de voordelen van de beste tools voor IT-beheer en beveiliging in één enkele oplossing.

Ontdek Kaseya 365

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeeld risico en toegewijde ondersteuning voor uw bedrijf.

Ontdek Partner First Pledge

Kaseya's rapport over de stand van zaken bij MSP's in 2026

Kaseya - Rapport over de stand van zaken bij MSP's in 2026 - Webafbeelding - 1200x800 - BIJGEWERKT

Ontvang MSP-inzichten voor 2026 van meer dan 1.000 dienstverleners en ontdek hoe u uw omzet kunt vergroten, u kunt aanpassen aan de druk van de markt en concurrerend kunt blijven.

Nu downloaden

Ontdek categorieën

Wat is dreigingsdetectie en -respons (TDR)?

Ontdek hoe dreigingsdetectie en -respons (TDR) werkt, waarom het belangrijk is, welke tools erbij worden gebruikt en hoe MSP’s en IT-teams effectieve TDR-programma’s kunnen opzetten.

Lees blogbericht

Wat is XDR? Een gids voor uitgebreide detectie en respons

Ontdek de basisprincipes van XDR, waaronder hoe het werkt, de belangrijkste voordelen, hoe het zich verhoudt tot vergelijkbare technologieën en hoe u vandaag nog dekking op XDR-niveau kunt realiseren.

Lees blogbericht

Wat is de cyber kill chain? Stappen, voorbeelden en hoe je deze kunt verstoren

Ontdek wat de cyber kill chain is, hoe de zeven stappen ervan werken, bekijk een praktijkvoorbeeld, zie hoe deze zich verhoudt tot MITRE ATT&CK en leer hoe u deze kunt gebruiken om de beveiliging te verbeteren.

Lees blogbericht