IOCSCAN. Untersuchung auf Kompromittierungsindikatoren (IOC)
Ausführung der Aufgabe „Untersuchung auf Kompromittierungsindikatoren (IOC)“. Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Kompromittierungsindikatoren auf dem Computer gefunden werden, um dann Maßnahmen zur Reaktion auf Bedrohungen zu ergreifen.
Befehlssyntax
IOCSCAN <vollständiger Pfad der IOC-Datei>|/path=<Pfad des Ordners mit den IOC-Dateien> [/process=on|off] [/hint=<vollständiger Pfad der ausführbaren Datei des Prozesses|vollständiger Dateipfad>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<Veröffentlichungsdatum des Ereignisses>] [/channels=<Liste der Kanäle>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<Liste mit Ausnahmen>][/scope=<Liste der zu untersuchenden Ordner>]
IOC-Dateien |
|
| Vollständiger Pfad der IOC-Datei, die Sie zur Untersuchung verwenden möchten. Sie können mehrere durch Leerzeichen getrennte IOC-Dateien angeben. Der vollständige Pfad der IOC-Datei muss ohne das Argument / Beispiel: |
| Pfad des Ordners mit den IOC-Dateien, die Sie zur Untersuchung verwenden möchten. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen. Beispiel: |
Datentyp für die IOC-Untersuchung |
|
| Analysieren der Prozessdaten, während die IOC-Untersuchung ausgeführt wird (ProcessItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Prozessdaten nur dann, wenn das ProcessItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Dateidaten, während die IOC-Untersuchung ausgeführt wird (ProcessItem- und FileItem-Ausdrücke). Für die Auswahl einer Datei bestehen folgenden Möglichkeiten:
|
| Analysieren von Windows-Registrierungsdaten, während die IOC-Untersuchung ausgeführt wird (RegistryItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Windows-Registrierung nur dann, wenn das RegistryItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. Beim Datentyp „RegistryItem“ untersucht Kaspersky Endpoint Security eine Reihe von Registrierungsschlüsseln. |
| Analysieren von Daten über Einträge im lokalen DNS-Cache, während die IOC-Untersuchung ausgeführt wird (DnsEntryItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security den lokalen DNS-Cache nur dann, wenn das DnsEntryItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Daten über Einträge in der ARP-Tabelle, während die IOC-Untersuchung ausgeführt wird (ArpEntryItem-Begriff). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die ARP-Tabelle nur dann, wenn das ArpEntryItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Daten über Ports, die während der IOC-Untersuchung zum Abhören geöffnet sind (PortItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Tabelle der aktiven Verbindungen nur dann, wenn das PortItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Daten über auf dem Gerät installierte Dienste, während die IOC-Untersuchung ausgeführt wird (ServiceItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Dienstdaten nur dann, wenn das ServiceItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Umgebungsdaten, während die IOC-Untersuchung ausgeführt wird (SystemInfoItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Umgebungsdaten nur dann, wenn das SystemInfoItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Daten über Benutzer, während die IOC-Untersuchung ausgeführt wird (UserItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die im System über Benutzer erstellten Daten nur dann, wenn das UserItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Daten über Volumes, während die IOC-Untersuchung ausgeführt wird (VolumeItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Volume-Daten nur dann, wenn das VolumeItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Analysieren von Daten über Datensätze im Windows-Ereignisprotokoll, während die IOC-Untersuchung ausgeführt wird (EventLogItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security das Windows-Ereignisprotokoll nur dann, wenn das EventLogItem -IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Bei der Bestimmung des IOC-Untersuchungsbereichs für das entsprechende IOC-Dokument wird das Datum berücksichtigt, an dem das Ereignis im Windows-Ereignisprotokoll veröffentlicht wurde. Wenn eine IOC-Untersuchung ausgeführt wird, überprüft Kaspersky Endpoint Security die Einträge des Windows-Ereignisprotokolls, die ab dem angegebenen Zeitpunkt (Uhrzeit und Datum) bis zum Zeitpunkt der Aufgabenausführung veröffentlicht wurden. In Kaspersky Endpoint Security kann das Veröffentlichungsdatum des Ereignisses als Wert des Arguments angegeben werden. Die Untersuchung wird nur für Ereignisse durchgeführt, die nach dem angegebenen Datum und vor der Ausführung der Untersuchung im Windows-Ereignisprotokoll veröffentlicht wurden. Ist das Argument nicht angegeben, so untersucht Kaspersky Endpoint Security Ereignisse mit beliebigem Veröffentlichungsdatum. Die Einstellung TaskSettings::BaseSettings::EventLogItem::datetime kann nicht bearbeitet werden. Diese Einstellung wird nur verwendet, wenn das EventLogItem-IOC-Dokument in der für die Untersuchung bereitgestellten IOC-Datei beschrieben ist. |
| Liste der Kanal-(Protokoll-)Namen, für die Sie eine IOC-Untersuchung durchführen möchten. Wenn das Argument angegeben ist, untersucht Kaspersky Endpoint Security die in den angegebenen Protokollen veröffentlichten Einträge. Der EventLogItem-Ausdruck muss im IOC-Dokument beschrieben sein. Der Name des Protokolls wird als String angegeben, der dem Namen des Protokolls (Kanals) entspricht, das in den Protokolleigenschaften (Parameter „Full Name“) oder in den Ereigniseigenschaften (Parameter „<Channel></Channel>“ im XML-Schema des Ereignisses) angegeben ist. Sie können mehrere durch Leerzeichen getrennte Kanäle angeben. Ist das Argument nicht angegeben, so durchsucht Kaspersky Endpoint Security die Einträge nach den Kanälen |
| Analysieren von Dateidaten, während die IOC-Untersuchung ausgeführt wird (FileItem-Ausdruck). Wenn der Wert des Arguments Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Dateidaten nur dann, wenn das FileItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird. |
| Festlegen des IOC-Untersuchungsbereichs, wenn Daten für das FileItem-IOC-Dokument analysiert werden. Für den Untersuchungsbereich können Sie die folgenden Werte festlegen:
Ist das Argument nicht angegeben, so wird die Untersuchung für kritische Bereiche durchgeführt. |
| Festlegen des IOC-Ausnahmebereichs, wenn Daten für das FileItem-IOC-Dokument analysiert werden. Sie können mehrere durch Leerzeichen getrennte Pfade angeben. |
| Benutzerdefinierter IOC-Untersuchungsbereich, wenn Daten für das FileItem-IOC-Dokument analysiert werden ( |
Rückgabewerte des Befehls:
-1bedeutet: Die auf dem Computer installierte Version des Programms unterstützt den Befehl nicht.0bedeutet: Der Befehl wurde erfolgreich ausgeführt.1bedeutet: Dem Befehl wurde kein obligatorisches Argument übergeben.2bedeutet: Ein allgemeiner Fehler ist aufgetreten.4bedeutet: Ein Syntaxfehler ist aufgetreten.
Wenn der Befehl erfolgreich ausgeführt wurde (Rückgabewert 0) und dabei Kompromittierungsindikatoren erkannt wurden, gibt Kaspersky Endpoint Security die folgenden Informationen zu den Aufgabenergebnissen an die Befehlszeile aus:
| ID der IOC-Datei aus der Kopfzeile der IOC-Dateistruktur (Tag |
| Beschreibung der IOC-Datei aus der Kopfzeile der IOC-Dateistruktur (Tag |
| Liste der IDs aller übereinstimmenden Indikatoren. |
| Daten für jedes IOC-Dokument, für das es eine Übereinstimmung gab. |