En materia de riesgos cibernéticos, hacen referencia a una tecnología estandarizada que consiste en definir las características técnicas de una amenaza por medio de las evidencias existentes en un equipo comprometido, es decir, se identifican diferentes acciones como ficheros creados, entradas de registro modificadas, procesos o servicios nuevos, etc. de manera que puedan servir para identificar otros ordenadores afectados por la misma amenaza o prevenirlos de la misma.Se tratan de nuevas vías para proteger los sistemas y para poder comprobar si éstos se han visto comprometidos, al quedarse las protecciones convencionales obsoletas.