Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.
В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
Чтобы создать и настроить стандартную задачу поиска IOC через интерфейс командной строки:
cd
перейдите в папку, где находится файл agent.exe.Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\"
и нажать на клавишу ENTER.
agent.exe --scan-ioc {[--path=<
путь к папке с IOC-файлами>] | [<
полный путь к IOC-файлу
>]} [--process=no] [--hint=<полный путь к исполняемому файлу процесса
|
полный путь к файлу>] [--registry=no] [--dnsentry=no] [--arpentry=no] [--ports=no] [–services=no] [--system=no] [--users=no] [--volumes=no] [--eventlog=no] [--datetime=<
дата публикации события
>] [--channels=<список каналов
>] [--files=no] [--network=no] [--url=no] [--drives=<all|system|critical|custom>] [--excludes=<
список исключений>][--scope=<
настраиваемый список папок
>] [--retro]
Если команда --scan-ioc
передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.
Если команда --scan-ioc
передана с двумя обязательными параметрами одновременно (--path=<
путь к папке с IOC-файлами>
и <
полный путь к IOC-файлу>
), Kaspersky Endpoint Agent выполняет проверку всех переданных IOC-файлов.
Параметры команд при запуске и настройке стандартных задач поиска IOC
Параметры |
Описание |
|
Обязательный параметр. Запускает стандартную задачу поиска IOC на устройстве. |
|
Путь к папке с IOC-файлами, по которым требуется выполнять поиск. Обязательный параметр, если не задан параметр |
|
Полный путь к IOC-файлу с расширением ioc или xml, по которому требуется выполнять поиск. Обязательный параметр, если не задан параметр Передается без аргумента |
|
Необязательный параметр. Параметр выключает анализ данных о процессах при проверке. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр позволяет сузить область анализируемых данных для проверки IOC-документов ProcessItem и FileItem, путем указания конкретного файла. В качестве значения параметра может быть задан:
|
|
Необязательный параметр. Параметр выключает анализ данных о записях в локальном кеше DNS (IOC-документ DnsEntryItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр выключает анализ данных о записях в ARP-таблице (документ ArpEntryItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр выключает анализ данных о портах, открытых на прослушивание (документ PortItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр выключает анализ данных о службах, установленных на устройстве (документ ServiceItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр выключает анализ данных о томах (документ VolumeItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр выключает анализ данных о записях в журнале событий Windows (документ EventLogItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр позволяет включать и выключать учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа. При поиске IOC Kaspersky Endpoint Agent будет обрабатывать только события, опубликованные в период с указанного времени и даты и до момента выполнения задачи. В качестве значения параметра Kaspersky Endpoint Agent позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки. Если параметр не передан, Kaspersky Endpoint Agent проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования. Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр позволяет передать список имен каналов (журналов), для которых требуется выполнить поиск IOC. Если этот параметр передан, при выполнении задачи поиска IOC Kaspersky Endpoint Agent будет учитывать только события, опубликованные в указанных журналах. Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). По умолчанию (в том числе, если параметр не передан) поиск IOC выполняется для каналов Application, System, Security. Параметру может быть передано несколько значений (через пробел). Параметр используется только в том случае, если IOC-документ EventLogItem описан в переданном на проверку IOC. |
|
Необязательный параметр. Параметр выключает анализ данных об окружении (IOC-документ SystemInfoItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр выключает анализ данных о пользователях (IOC-документ UserItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр выключает анализ данных о файлах (IOC-документ FileItem) при поиске IOC. Если параметр передан со значением Если параметр не передан, Kaspersky Endpoint Agent анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле. |
--network=no |
Необязательный параметр. Параметр включает поиск угроз на основе IOC-документа Network при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не выполняет поиск угроз на основе IOC-документа Network. Если в IOC-файле указаны термины IOC-документа Network, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent включает поиск угроз на основе IOC-документа Network, только если IOC-документ Network описан в переданном на проверку IOC-файле. |
--url=no |
Необязательный параметр. Параметр включает поиск угроз на основе IOC-документа UrlHistoryItem при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не выполняет поиск угроз на основе IOC-документа UrlHistoryItem. Если в IOC-файле указаны термины IOC-документа UrlHistoryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent включает поиск угроз на основе IOC-документа UrlHistoryItem, только если IOC-документ UrlHistoryItem описан в переданном на проверку IOC-файле. |
|
Необязательный параметр. Параметр позволяет задать область поиска IOC при анализе данных для IOC-документа FileItem. Можно задать одно из следующих значений параметра:
|
|
Необязательный параметр. Параметр позволяет задать области исключений при анализе данных для IOC-документа FileItem. В параметре можно передать несколько путей через пробел. Если параметр не передан, проверка выполняется без исключений. |
|
Необязательный параметр. Параметр становится обязательным, если передан параметр Параметр позволяет задать список областей проверки. В параметре можно передать несколько путей через пробел. |
|
Необязательный параметр. Параметр передается для запуска задачи в режиме Ретроспективный поиск IOC. Дополнительно с этим параметром можно передать временной интервал, в рамках которого программа должна выполнять ретроспективный поиск IOC при помощи параметров:
|
Коды возврата команды --scan-ioc
:
-1
– команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.0
– команда выполнена успешно.1
– команде не передан обязательный аргумент.2
– общая ошибка.4
– синтаксическая ошибка.Если команда была выполнена успешно (код 0
) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку следующие данные о результатах выполнения задачи:
Данные, которые программа выводит в командную строку при обнаружении IOC
|
Идентификатор IOC-файла из заголовка структуры IOC-файла (тег |
|
Описание IOC-файла из заголовка структуры IOC-файла (тег |
|
Перечень идентификаторов всех сработавших индикаторов. |
|
Данные о каждом документе IOC, в котором было найдено совпадение. |
|
Дата создания файла, в котором обнаружены маркеры компрометации. |
|
Только для FileItem. Время создания объекта, в котором обнаружены маркеры компрометации. |
|
Идентификатор процесса, для которого обнаружены маркеры компрометации. |
|
Уникальный идентификатор процесса, для которого обнаружены маркеры компрометации. |
|
Идентификатор родительского объекта, содержащего процесс, для которого обнаружены маркеры компрометации. |
|
Имя пользователя, который вносил изменения в объект сканирования. |
|
Время запуска процесса, для которого обнаружены маркеры компрометации. |