В зависимости от типа обработанного объекта, в окне результатов поиска индикаторов компрометации могут отображаться следующие данные:
ARP-протокол:
IP-адрес из ARP-таблицы.
Физический адрес из ARP-таблицы.
DNS-запись:
Тип и имя записи DNS.
IP-адрес защищаемого компьютера.
Событие в журнале Windows:
Идентификатор записи в журнале событий.
Имя источника данных в журнале.
Имя журнала.
Учетная запись пользователя.
Время события.
Файл:
MD5-хеш файла.
SHA256-хеш файла.
Полное имя файла (включая путь).
Размер файла.
Порт:
Удаленный IP-адрес, с которым было установлено соединение в момент проверки.
Удаленный порт, с которым было установлено соединение в момент проверки.
IP-адрес локального адаптера.
Порт, открытый на локальном адаптере.
Протокол в виде числа (в соответствии со стандартом IANA).
Процесс:
Имя процесса.
Аргументы процесса.
Путь к файлу процесса.
Windows идентификатор (PID) процесса.
Windows идентификатор (PID) родительского процесса.
Имя учетной записи пользователя, запустившего процесс.
Дата и время запуска процесса.
Служба:
Имя службы.
Описание службы.
Путь и имя DLL-службы (для svchost).
Путь и имя исполняемого файла службы.
Windows идентификатор (PID) службы.
Тип службы (например, драйвер ядра или адаптер).
Статус службы.
Режим запуска службы.
Пользователь:
Имя учетной записи пользователя.
Том:
Наименование тома.
Буква тома.
Тип тома.
Реестр:
Значение реестра Windows.
Значение куста реестра.
Путь к ключу реестра (без куста и без имени значения).
Параметр реестра.
Переменные окружения:
Физический адрес (MAC) защищаемый компьютер.
Система (окружение).
Имя ОС с версией.
Сетевое имя защищаемого устройства.
Домен или группа, к которой принадлежит защищаемый компьютер.
В разделе IOC отображается структура IOC-файла. При совпадении обработанного объекта с одним из условий IOC-правила, это условие подсвечивается. Если обработанный объект совпадает с несколькими условиями, выделяется текст всей ветки.