Команды управления поиском IOC

-T – префикс, указывающий, что команда принадлежит к группе команд управления параметрами и задачами приложения.

Команда kesl-control --scan-ioc

Команда запускает поиск индикаторов компрометации на устройстве (IOC).

Синтаксис команды

kesl-control [-T] --scan-ioc --path <путь к директории или файлу> [--process on|off] [--hint <регулярное выражение>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <список исключений>] [--scope <список директорий>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

Аргументы и ключи

--path <путь к директории или файлу> – путь к IOC-файлу или директории с IOC-файлами с расширением .IOC или .XML, с помощью которых требуется выполнить проверку.

Вы можете указать несколько путей, разделяя их пробелами. Вы также можете указать оба типа путей (к файлу и к директории).

--process – включение анализа процессов, запущенных на устройстве.

Возможные аргументы:

• on – включить анализ процессов, запущенных на устройстве (значение по умолчанию).
• off – выключить анализ процессов, запущенных на устройстве.

Если вы не укажете ключ --process, приложение выполнит анализ процессов, только если в используемом IOC-файле указаны данные этих процессов (ProcessItem).

--hint <регулярное выражение> – регулярное выражение, которому соответствует полный путь к файлу (FileItem) или исполняемому файлу процесса (ProcessItem), который требуется проанализировать.

Вы можете использовать следующие элементы регулярных выражений:

• метасимволы: . ^ $ |
• классы символов: digit, alpha, lower, upper, cntrl
• квантификаторы: * + ? {n} {n,} {n, m}
• отрицание: [^a-c]
• экранируемые символы: \a \e \f, \n \r \t \v \b

--arpentry – включение анализа записей в ARP-таблице (ArpEntryItem).

Возможные аргументы:

• on – включить анализ записей в ARP-таблице (значение по умолчанию).
• off – выключить анализ записей в ARP-таблице.

Если вы не укажете ключ --arpentry, приложение выполнит анализ таблицы ARP, только если в используемом IOC-файле указаны данные этой таблицы (ArpEntryItem).

--ports – включение анализа портов, открытых для соединения.

Возможные аргументы:

• on – включить анализ портов, открытых для соединения и проверять активные соединения на устройстве (значение по умолчанию).
• off – выключить анализ портов, открытых для соединения и не проверять активные соединения на устройстве.

Если вы не укажете ключ --ports, приложение выполнит анализ портов, только если в используемом IOC-файле указаны данные этих портов (PortItem).

--system – включение анализа окружения системы.

Возможные аргументы:

• on – включить анализ окружения системы (значение по умолчанию).
• off – выключить анализ окружения системы.

Если вы не укажете ключ --system, приложение выполнит анализ окружения системы только если в используемом IOC-файле указаны данные об окружении системы (SystemInfoItem).

--files – включение анализа файлов.

Возможные аргументы:

• on – включить анализ файлов (значение по умолчанию).
• off – выключить анализ файлов.

Если вы не укажете ключ --files, приложение выполнит анализ файлов, только если в используемом IOC-файле указаны данные этих файлов (FileItem).

--drives – области, подлежащие проверке.

Возможные аргументы:

• all – проверять все доступные файловые области.
• system – проверять только файлы, расположенные тех в директориях, в которых установлена операционная система.
• critical – проверять файлы в пользовательских и системных директориях (значение по умолчанию).
• custom – проверять только файлы в указанных вами областях.

Если вы не укажете ключ --drives, приложение выполнит анализ файлов в пользовательских и системных директориях.

--excludes <список исключений> – список путей, исключаемых из проверки.

Исключения, заданные этим ключом, являются глобальными и действуют независимо от типа области или списка директорий. Такие исключения имеют приоритет над другими ключами, включая --hint и --scope.

Исключения задаются в виде путей, но не могут содержать рекурсивные элементы или символы маски (например, *).

Если вы не укажете ключ --excludes, проверка будет выполнена без исключений.

Вы можете указать несколько исключений, разделяя их пробелом.

--scope <список директорий> – список дополнительных директорий, подлежащих проверке.

Этот ключ является обязательным, если для ключа --drives вы указали аргумент custom.

--action – действие, выполняемое при обнаружении индикаторов компрометации.

Возможные аргументы:

• Skip – приложение не будет выполнять никаких действий с обнаруженным объектом, но информация о нем сохранится в результатах выполнения задачи (значение по умолчанию).
• QuarantineFile – приложение поместит обнаруженный объект на карантин.
• IsolateHost – приложение изолирует от сети устройство, на котором обнаружен объект.
• ScanCriticalAreas – приложение выполнит проверку важных областей.
  • /lib/systemd
  • /lib/udev
  • /lib/dbus-1.0
  • /usr/local/lib/systemd/user
  • /usr/share/dbus-1
  • /usr/share/gdm/autostart
  • /usr/share/gnome/autostart
  • /var/spool/at
  • /var/spool/at/spool
  • /var/spool/anacron
  • /var/spool/cron
  • /boot
  • /bin
  • /sbin
  • /lib
  • /lib32
  • /lib64
  • /libx32
  • /usr/lib
  • /usr/lib32
  • /usr/lib64
  • /usr/libx32
  • ~/.config/autostart
  • ~/.config/autostart-scripts
  • ~/.config/plasma-workspace/env
  • ~/.config/plasma-workspace/shutdown
  • ~/.config/lxsession
  • ~/.fluxbox/startup
  • ~/.kde/Autostart
  • /etc

Вы можете указать несколько действий, разделяя их запятыми.

Если вы указали аргумент Skip, остальные аргументы добавлять не нужно. Аргумент Skip может использоваться только самостоятельно.

В начало