-T – префикс, указывающий, что команда принадлежит к группе команд управления параметрами и задачами приложения.
Команда kesl-control --scan-ioc
Команда запускает поиск индикаторов компрометации на устройстве (IOC).
Синтаксис команды
kesl-control [-T] --scan-ioc --path
<
путь к директории или файлу
>
[--process on|off] [--hint <
регулярное выражение
>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <
список исключений
>] [--scope <
список директорий
>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]
Аргументы и ключи
--path <
путь к директории или файлу
>
– путь к IOC-файлу или директории с IOC-файлами с расширением .IOC или .XML, с помощью которых требуется выполнить проверку.
Вы можете указать несколько путей, разделяя их пробелами. Вы также можете указать оба типа путей (к файлу и к директории).
--process
– включение анализа процессов, запущенных на устройстве.
Возможные аргументы:
on
– включить анализ процессов, запущенных на устройстве (значение по умолчанию).off
– выключить анализ процессов, запущенных на устройстве.Если вы не укажете ключ --process
, приложение выполнит анализ процессов, только если в используемом IOC-файле указаны данные этих процессов (ProcessItem
).
--hint <
регулярное выражение
>
– регулярное выражение, которому соответствует полный путь к файлу (FileItem
) или исполняемому файлу процесса (ProcessItem
), который требуется проанализировать.
Вы можете использовать следующие элементы регулярных выражений:
. ^ $ |
* + ? {n} {n,} {n, m}
[^a-c]
\a
\e
\f
, \n
\r
\t
\v
\b
--arpentry
– включение анализа записей в ARP-таблице (ArpEntryItem
).
Возможные аргументы:
on
– включить анализ записей в ARP-таблице (значение по умолчанию).off
– выключить анализ записей в ARP-таблице.Если вы не укажете ключ --arpentry
, приложение выполнит анализ таблицы ARP, только если в используемом IOC-файле указаны данные этой таблицы (ArpEntryItem
).
--ports
– включение анализа портов, открытых для соединения.
Возможные аргументы:
on
– включить анализ портов, открытых для соединения и проверять активные соединения на устройстве (значение по умолчанию).off
– выключить анализ портов, открытых для соединения и не проверять активные соединения на устройстве.Если вы не укажете ключ --ports
, приложение выполнит анализ портов, только если в используемом IOC-файле указаны данные этих портов (PortItem
).
--system
– включение анализа окружения системы.
Возможные аргументы:
on
– включить анализ окружения системы (значение по умолчанию).off
– выключить анализ окружения системы.Если вы не укажете ключ --system
, приложение выполнит анализ окружения системы только если в используемом IOC-файле указаны данные об окружении системы (SystemInfoItem
).
--files
– включение анализа файлов.
Возможные аргументы:
on
– включить анализ файлов (значение по умолчанию).off
– выключить анализ файлов.Если вы не укажете ключ --files
, приложение выполнит анализ файлов, только если в используемом IOC-файле указаны данные этих файлов (FileItem
).
--drives
– области, подлежащие проверке.
Возможные аргументы:
all
– проверять все доступные файловые области.system
– проверять только файлы, расположенные тех в директориях, в которых установлена операционная система.critical
– проверять файлы в пользовательских и системных директориях (значение по умолчанию).custom
– проверять только файлы в указанных вами областях.Если вы не укажете ключ --drives
, приложение выполнит анализ файлов в пользовательских и системных директориях.
--excludes <
список исключений
>
– список путей, исключаемых из проверки.
Исключения, заданные этим ключом, являются глобальными и действуют независимо от типа области или списка директорий. Такие исключения имеют приоритет над другими ключами, включая --hint
и --scope
.
Исключения задаются в виде путей, но не могут содержать рекурсивные элементы или символы маски (например, *
).
Если вы не укажете ключ --excludes
, проверка будет выполнена без исключений.
Вы можете указать несколько исключений, разделяя их пробелом.
--scope <
список директорий
>
– список дополнительных директорий, подлежащих проверке.
Этот ключ является обязательным, если для ключа --drives
вы указали аргумент custom
.
--action
– действие, выполняемое при обнаружении индикаторов компрометации.
Возможные аргументы:
Skip
– приложение не будет выполнять никаких действий с обнаруженным объектом, но информация о нем сохранится в результатах выполнения задачи (значение по умолчанию).QuarantineFile
– приложение поместит обнаруженный объект на карантин.IsolateHost
– приложение изолирует от сети устройство, на котором обнаружен объект.ScanCriticalAreas
– приложение выполнит проверку важных областей.Вы можете указать несколько действий, разделяя их запятыми.
Если вы указали аргумент Skip
, остальные аргументы добавлять не нужно. Аргумент Skip
может использоваться только самостоятельно.