Los IOC son pistas para comprometer o partes de datos forenses, entradas o archivos de registro del sistema, que pueden considerarse inusuales e identificar actividades potencialmente maliciosas en un sistema o red.

Las firmas de virus y las direcciones IP, los hashes MD5 de los archivos de malware o las URL o los nombres de dominio de los servidores de control y comando de la botnet son algunos de los IOC clásicos. Algunos incluyen tráfico de red saliente inusual, anomalías en la actividad de la cuenta de usuario privilegiada, otros inician sesión en avisos de advertencia (para cuentas que no existen, o después de horas), aumenta el volumen de lectura de la base de datos, tamaños de respuesta HTML (si se usa la inyección de SQL para extraer datos), un gran número de solicitudes para el mismo archivo (que indica prueba y error), tráfico de aplicaciones de puerto no coincidentes (puertos inusuales), cambios sospechosos en el registro o en el archivo del sistema, anomalías en las solicitudes de DNS (grandes picos) e irregularidades geográficas.