Um IOC é uma evidência ou artefato deixado para trás depois que algo aconteceu. Um IOA é uma série de ações ou comportamentos que um adversário emprega para atingir seu objetivo. O uso de IOCs tem sido o foco tradicional da detecção de endpoints, mas os adversários modernos se adaptaram para escapar mais facilmente das varreduras de IOC. Em uma investigação forense, os IOC são a evidência que prova que a segurança de uma rede foi atacada. Infelizmente, quando o IOC é descoberto, a rede provavelmente já foi comprometida. Por outro lado, os IOAs refletem uma série de ações que o invasor deve executar para ter sucesso. São um conjunto de ações necessárias para as ferramenta ou técnicas empregadas em comportamentos comuns de invasores, como execução de código, persistência, comando e controle (C&C) e movimento lateral. Uma abordagem eficaz de IOA não apenas coleta e analisa exatamente o que está acontecendo nos sistemas e redes da organização, mas o faz em tempo real, impedindo que a atividade maliciosa seja bem-sucedida.