在命令行中搜索入侵指标

仅当与 Kaspersky Endpoint Detection and Response Optimum 集成时，您才可以在命令行上通过使用 IOC 扫描任务来扫描入侵指标。与 Kaspersky Endpoint Detection and Response (KATA) 集成时，在 Kaspersky Endpoint Detection and Response (KATA) 解决方案端执行 IOC 扫描。

要从命令行创建、配置和运行IOC 扫描任务，请运行以下命令：

kesl-control [-T] --scan-ioc --path <目录或文件路径> [--process on|off] [--hint <正则表达式>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <排除项列表>] [--scope <目录列表>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

其中：

• --path <目录或文件路径>– IOC 文件的路径或包含带有 IOC或 .XML 扩展名的 IOC文件的目录，应用于执行扫描。

  您可以指定多个路径，用空格分隔。您还可以指定两种类型的路径（文件路径和目录路径）。

• --process— 启用对设备上运行的进程的分析。

  可能的参数：

  • on— 启用对设备上运行的进程的分析（默认值）。
  • off— 禁用对设备上运行的进程的分析。

  如果不指定 --process 选项，则仅当使用的IOC 文件指定了这些进程的详细信息（ProcessItem）时，应用程序才会分析进程。

• --hint <正则表达式> — 与要分析的文件（FileItem）或进程的可执行文件（ProcessItem）的完整路径匹配的正则表达式。

  您可以使用以下正则表达式元素：

  • 元字符： . ^ $ |
  • 字符类：数字、字母、小写、大写、cntrl
  • 量词：* + ? {n} {n,} {n, m}
  • 否定：'[^a-c]'
  • 转义字符：\a \e \f, \n \r \t \v \b
• --arpentry— 启用 ARP 表 (ArpEntryItem) 中的条目分析。

  可能的参数：

  • on— 启用 ARP 表中条目的分析（默认值）。
  • off— 禁用 ARP 表中条目的分析。

  如果不指定 --arpentry 选项，则仅当使用的 IOC 文件指定了 ARP 表（ArpEntryItem）的详细信息时，应用程序才会分析 ARP 表。

  --ports— 启用对连接开放的端口的分析。

  可能的参数：

  • on— 启用对连接开放的端口的分析并扫描设备上的活动连接（默认值）。
  • off— 禁用对连接开放的端口的分析并且不扫描设备上的活动连接。

  如果不指定 --ports 选项，则仅当使用的IOC 文件指定了这些端口的详细信息（PortItem）时，应用程序才会分析端口。

• --system— 启用系统环境分析。

  可能的参数：

  • on— 启用系统环境分析（默认值）。
  • off— 禁用系统环境分析。

  如果不指定 --system 选项，则仅当使用的IOC 文件指定了系统环境（SystemInfoItem）的详细信息时，应用程序才会分析系统环境。

• --files— 启用文件分析。

  可能的参数：

  • on— 启用文件分析（默认值）。
  • off— 禁用文件分析。

  如果不指定 --files 选项，则仅当使用的 IOC 文件指定了这些文件的详细信息 (FileItem) 时，应用程序才会分析文件。

• --drives— 要扫描的区域。

  可能的参数：

  • all— 检查所有可用的文件区域。
  • system— 仅扫描安装操作系统的目录中的文件。
  • critical— 扫描用户和系统目录中的文件（默认值）。
  • custom— 仅扫描您指定的区域中的文件。

  如果您未指定 --drives 选项，应用程序将分析用户和系统目录中的文件。

• --excludes <排除项列表>— 从扫描中排除的路径列表。

  此选项指定的排除项为全局选项，无论范围类型或目录列表如何均有效。这些排除项优先于其他命令行选项，包括--hint 和--scope。

  排除项被指定为路径，但不能包含递归元素或通配符（例如 *）。

  如果不指定 --excludes 选项，则执行扫描时不进行排除。

  您可以指定多个排除项，用空格分隔。

• --scope <目录列表>— 要扫描的附加目录列表。

  如果您为 --drives 选项指定了custom参数，则需要此选项。

• --action— 当检测到入侵指标时执行的操作。

  可能的参数：

  • Skip — 应用程序不会对检测到的对象执行任何操作，但有关它的信息将保存在任务执行结果中（默认值）。
  • QuarantineFile — 应用程序将隔离检测到的对象。
  • IsolateHost— 应用程序对在其上检测到对象的设备实施网络隔离。
  • ScanCriticalAreas— 应用程序将执行扫描关键区域。
    • /lib/systemd
    • /lib/udev
    • /lib/dbus-1.0
    • /usr/local/lib/systemd/user
    • /usr/share/dbus-1
    • /usr/share/gdm/autostart
    • /usr/share/gnome/autostart
    • /var/spool/at
    • /var/spool/at/spool
    • /var/spool/anacron
    • /var/spool/cron
    • /boot
    • /bin
    • /sbin
    • /lib
    • /lib32
    • /lib64
    • /libx32
    • /usr/lib
    • /usr/lib32
    • /usr/lib64
    • /usr/libx32
    • ~/.config/autostart
    • ~/.config/autostart-scripts
    • ~/.config/plasma-workspace/env
    • ~/.config/plasma-workspace/shutdown
    • ~/.config/lxsession
    • ~/.fluxbox/startup
    • ~/.kde/Autostart
    • /etc

  您可以指定多个操作，用逗号分隔。

  如果指定 Skip 参数，请不要添加任何其他参数。Skip 参数只能单独使用。

页面顶部