Un incident hash è un identificatore esadecimale lungo usato per etichettare un specifico reclamo di sicurezza, un avviso o un evento, così da poterlo tracciare in modo coerente tra log, feed di minacce, note di caso e sistemi di reporting. A differenza di un hash di password, non ha lo scopo di proteggere un segreto; il suo compito è la correlazione. Se strumenti o analisti diversi fanno riferimento allo stesso hash, possono confermare rapidamente che stanno parlando dello stesso record.
Nella sicurezza informatica, gli incident hash aiutano i difensori a deduplicare segnalazioni rumorose, unire osservazioni correlate e preservare la catena di custodia nelle indagini. Sono comuni nei report sul ransomware, nel tracciamento degli abusi e nell'analisi delle frodi, dove un singolo evento può apparire in più dataset. Un hash non prova che sia avvenuta una compromissione, ma aiuta a collegare insieme elementi di prova come le rivendicazioni su siti di leak, gli alert EDR e i record di ticketing. Questo lo rende utile per il triage, la hunting e la revisione post-incidente.