Wskaźniki te mogą obejmować adresy IP, nazwy hostów, adresy URL, hashe plików, geolokalizacje (ASN-y, kraje), konta e-mail, agenty użytkownika i wiele innych. Wśród powszechnie wykorzystywanych wskaźników szczególną uwagę warto zwrócić na odcisk palca JA3 TLS. JA3 to narzędzie do tworzenia odcisków palca połączeń TLS na podstawie opcji negocjowanych podczas sesji TLS. Na podstawie tych odcisków można wykrywać konkretne aplikacje, jak również złośliwe oprogramowanie.
Ta metoda jest szczególnie przydatna, ponieważ większość ruchu w organizacjach jest zazwyczaj szyfrowana, co oznacza, że systemy analizy pakietów sieciowych, takie jak IPS, są silnie ograniczone bez odszyfrowywania ruchu. W internecie można znaleźć wiele wskaźników kompromitacji zawierających złośliwe odciski JA3, np. https://sslbl.abuse.ch/ja3-fingerprints/.
Odciski JA3 są dostępne dla klientów, którzy zakupili licencję Performance systemu Sycope NSM.
W Sycope NSM dostępna jest wbudowana reguła do wykrywania złośliwych odcisków JA3, jednak poniżej znajduje się przykład prostego zapytania do wykrywania tej aktywności.
