Команды управления поиском IOC

-T – префикс, указывающий, что команда принадлежит к группе команд управления параметрами и задачами приложения.

Команда kesl-control --scan-ioc

Команда запускает поиск индикаторов компрометации на устройстве (IOC).

Синтаксис команды

kesl-control [-T] --scan-ioc --path <путь к директории или файлу> [--process on|off] [--hint <регулярное выражение>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <список исключений>] [--scope <список директорий>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

Аргументы и ключи

--path <путь к директории или файлу> – путь к IOC-файлу или директории с IOC-файлами с расширением .IOC или .XML, с помощью которых требуется выполнить проверку.

Вы можете указать несколько путей, разделяя их пробелами. Вы также можете указать оба типа путей (к файлу и к директории).

--process – включение анализа процессов, запущенных на устройстве.

Возможные аргументы:

Если вы не укажете ключ --process, приложение выполнит анализ процессов, только если в используемом IOC-файле указаны данные этих процессов (ProcessItem).

--hint <регулярное выражение> – регулярное выражение, которому соответствует полный путь к файлу (FileItem) или исполняемому файлу процесса (ProcessItem), который требуется проанализировать.

Вы можете использовать следующие элементы регулярных выражений:

--arpentry – включение анализа записей в ARP-таблице (ArpEntryItem).

Возможные аргументы:

Если вы не укажете ключ --arpentry, приложение выполнит анализ таблицы ARP, только если в используемом IOC-файле указаны данные этой таблицы (ArpEntryItem).

--ports – включение анализа портов, открытых для соединения.

Возможные аргументы:

Если вы не укажете ключ --ports, приложение выполнит анализ портов, только если в используемом IOC-файле указаны данные этих портов (PortItem).

--system – включение анализа окружения системы.

Возможные аргументы:

Если вы не укажете ключ --system, приложение выполнит анализ окружения системы только если в используемом IOC-файле указаны данные об окружении системы (SystemInfoItem).

--files – включение анализа файлов.

Возможные аргументы:

Если вы не укажете ключ --files, приложение выполнит анализ файлов, только если в используемом IOC-файле указаны данные этих файлов (FileItem).

--drives – области, подлежащие проверке.

Возможные аргументы:

Если вы не укажете ключ --drives, приложение выполнит анализ файлов в пользовательских и системных директориях.

--excludes <список исключений> – список путей, исключаемых из проверки.

Исключения, заданные этим ключом, являются глобальными и действуют независимо от типа области или списка директорий. Такие исключения имеют приоритет над другими ключами, включая --hint и --scope.

Исключения задаются в виде путей, но не могут содержать рекурсивные элементы или символы маски (например, *).

Если вы не укажете ключ --excludes, проверка будет выполнена без исключений.

Вы можете указать несколько исключений, разделяя их пробелом.

--scope <список директорий> – список дополнительных директорий, подлежащих проверке.

Этот ключ является обязательным, если для ключа --drives вы указали аргумент custom.

--action – действие, выполняемое при обнаружении индикаторов компрометации.

Возможные аргументы:

Вы можете указать несколько действий, разделяя их запятыми.

Если вы указали аргумент Skip, остальные аргументы добавлять не нужно. Аргумент Skip может использоваться только самостоятельно.

В начало