Поиск индикаторов компрометации в командной строке

Вы можете выполнять поиск индикаторов компрометации с помощью задачи поиска IOC в командной строке только при интеграции с Kaspersky Endpoint Detection and Response Optimum. При интеграции с Kaspersky Endpoint Detection and Response (KATA) поиск IOC выполняется на стороне решения Kaspersky Endpoint Detection and Response (KATA).

Чтобы создать, настроить и запустить задачу Поиск IOC в командной строке, выполните следующую команду:

kesl-control [-T] --scan-ioc --path <путь к директории или файлу> [--process on|off] [--hint <регулярное выражение>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <список исключений>] [--scope <список директорий>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

где:

• --path <путь к директории или файлу> – путь к IOC-файлу или директории с IOC-файлами с расширением .IOC или .XML, с помощью которых требуется выполнить проверку.

  Вы можете указать несколько путей, разделяя их пробелами. Вы также можете указать оба типа путей (к файлу и к директории).

• --process – включение анализа процессов, запущенных на устройстве.

  Возможные аргументы:

  • on – включить анализ процессов, запущенных на устройстве (значение по умолчанию).
  • off – выключить анализ процессов, запущенных на устройстве.

  Если вы не укажете ключ --process, приложение выполнит анализ процессов, только если в используемом IOC-файле указаны данные этих процессов (ProcessItem).

• --hint <регулярное выражение> – регулярное выражение, которому соответствует полный путь к файлу (FileItem) или исполняемому файлу процесса (ProcessItem), который требуется проанализировать.

  Вы можете использовать следующие элементы регулярных выражений:

  • метасимволы: . ^ $ |
  • классы символов: digit, alpha, lower, upper, cntrl
  • квантификаторы: * + ? {n} {n,} {n, m}
  • отрицание: [^a-c]
  • экранируемые символы: \a \e \f, \n \r \t \v \b
• --arpentry – включение анализа записей в ARP-таблице (ArpEntryItem).

  Возможные аргументы:

  • on – включить анализ записей в ARP-таблице (значение по умолчанию).
  • off – выключить анализ записей в ARP-таблице.

  Если вы не укажете ключ --arpentry, приложение выполнит анализ таблицы ARP, только если в используемом IOC-файле указаны данные этой таблицы (ArpEntryItem).

  --ports – включение анализа портов, открытых для соединения.

  Возможные аргументы:

  • on – включить анализ портов, открытых для соединения и проверять активные соединения на устройстве (значение по умолчанию).
  • off – выключить анализ портов, открытых для соединения и не проверять активные соединения на устройстве.

  Если вы не укажете ключ --ports, приложение выполнит анализ портов, только если в используемом IOC-файле указаны данные этих портов (PortItem).

• --system – включение анализа окружения системы.

  Возможные аргументы:

  • on – включить анализ окружения системы (значение по умолчанию).
  • off – выключить анализ окружения системы.

  Если вы не укажете ключ --system, приложение выполнит анализ окружения системы, только если в используемом IOC-файле указаны данные об окружении системы (SystemInfoItem).

• --files – включение анализа файлов.

  Возможные аргументы:

  • on – включить анализ файлов (значение по умолчанию).
  • off – выключить анализ файлов.

  Если вы не укажете ключ --files, приложение выполнит анализ файлов, только если в используемом IOC-файле указаны данные этих файлов (FileItem).

• --drives – области, подлежащие проверке.

  Возможные аргументы:

  • all – проверять все доступные файловые области.
  • system – проверять только файлы, расположенные тех в директориях, в которых установлена операционная система.
  • critical – проверять файлы в пользовательских и системных директориях (значение по умолчанию).
  • custom – проверять только файлы в указанных вами областях.

  Если вы не укажете ключ --drives, приложение выполнит анализ файлов в пользовательских и системных директориях.

• --excludes <список исключений> – список путей, исключаемых из проверки.

  Исключения, заданные этим ключом, являются глобальными и действуют независимо от типа области или списка директорий. Такие исключения имеют приоритет над другими ключами, включая --hint и --scope.

  Исключения задаются в виде путей, но не могут содержать рекурсивные элементы или символы маски (например, *).

  Если вы не укажете ключ --excludes, проверка выполняется без исключений.

  Вы можете указать несколько исключений, разделяя их пробелом.

• --scope <список директорий> – список дополнительных директорий, подлежащих проверке.

  Этот ключ является обязательным, если для ключа --drives вы указали аргумент custom.

• --action – действие, выполняемое при обнаружении индикаторов компрометации.

  Возможные аргументы:

  • Skip – приложение не будет выполнять никаких действий с обнаруженным объектом, но информация о нем сохранится в результатах выполнения задачи (значение по умолчанию).
  • QuarantineFile – приложение поместит обнаруженный объект на карантин.
  • IsolateHost – приложение изолирует от сети устройство, на котором обнаружен объект.
  • ScanCriticalAreas – приложение выполнит проверку важных областей.
    • /lib/systemd
    • /lib/udev
    • /lib/dbus-1.0
    • /usr/local/lib/systemd/user
    • /usr/share/dbus-1
    • /usr/share/gdm/autostart
    • /usr/share/gnome/autostart
    • /var/spool/at
    • /var/spool/at/spool
    • /var/spool/anacron
    • /var/spool/cron
    • /boot
    • /bin
    • /sbin
    • /lib
    • /lib32
    • /lib64
    • /libx32
    • /usr/lib
    • /usr/lib32
    • /usr/lib64
    • /usr/libx32
    • ~/.config/autostart
    • ~/.config/autostart-scripts
    • ~/.config/plasma-workspace/env
    • ~/.config/plasma-workspace/shutdown
    • ~/.config/lxsession
    • ~/.fluxbox/startup
    • ~/.kde/Autostart
    • /etc

  Вы можете указать несколько действий, разделяя их запятыми.

  Если вы указали аргумент Skip, остальные аргументы добавлять не нужно. Аргумент Skip может использоваться только самостоятельно.

В начало