仅当与 Kaspersky Endpoint Detection and Response Optimum 集成时,您才可以在命令行上通过使用 IOC 扫描任务来扫描入侵指标。与 Kaspersky Endpoint Detection and Response (KATA) 集成时,在 Kaspersky Endpoint Detection and Response (KATA) 解决方案端执行 IOC 扫描。
要从命令行创建、配置和运行IOC 扫描任务,请运行以下命令:
kesl-control [-T] --scan-ioc --path
<
目录或文件路径
>
[--process on|off] [--hint <
正则表达式
>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <
排除项列表
>] [--scope <
目录列表
>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]
其中:
--path <
目录或文件路径
>
– IOC 文件的路径或包含带有 IOC或 .XML 扩展名的 IOC文件的目录,应用于执行扫描。
您可以指定多个路径,用空格分隔。您还可以指定两种类型的路径(文件路径和目录路径)。
--process
— 启用对设备上运行的进程的分析。
可能的参数:
on
— 启用对设备上运行的进程的分析(默认值)。off
— 禁用对设备上运行的进程的分析。如果不指定 --process
选项,则仅当使用的IOC 文件指定了这些进程的详细信息(ProcessItem
)时,应用程序才会分析进程。
--hint <
正则表达式
>
— 与要分析的文件(FileItem
)或进程的可执行文件(ProcessItem
)的完整路径匹配的正则表达式。
您可以使用以下正则表达式元素:
. ^ $ |
* + ? {n} {n,} {n, m}
[^ac]
'\a
\e
\f
, \n
\r
\t
\v
\b
--arpentry
— 启用 ARP 表 (ArpEntryItem
) 中的条目分析。
可能的参数:
on
— 启用 ARP 表中条目的分析(默认值)。off
— 禁用 ARP 表中条目的分析。如果不指定 --arpentry
选项,则仅当使用的 IOC 文件指定了 ARP 表(ArpEntryItem
)的详细信息时,应用程序才会分析 ARP 表。
--ports
— 启用对连接开放的端口的分析。
可能的参数:
on
— 启用对连接开放的端口的分析并扫描设备上的活动连接(默认值)。off
— 禁用对连接开放的端口的分析并且不扫描设备上的活动连接。如果不指定 --ports
选项,则仅当使用的IOC 文件指定了这些端口的详细信息(PortItem
)时,应用程序才会分析端口。
--system
— 启用系统环境分析。
可能的参数:
on
— 启用系统环境分析(默认值)。off
— 禁用系统环境分析。如果不指定 --system
选项,则仅当使用的IOC 文件指定了系统环境(SystemInfoItem
)的详细信息时,应用程序才会分析系统环境。
--files
— 启用文件分析。
可能的参数:
on
— 启用文件分析(默认值)。off
— 禁用文件分析。如果不指定 --files
选项,则仅当使用的 IOC 文件指定了这些文件的详细信息 (FileItem
) 时,应用程序才会分析文件。
--drives
— 要扫描的区域。
可能的参数:
all
— 检查所有可用的文件区域。system
— 仅扫描安装操作系统的目录中的文件。critical
— 扫描用户和系统目录中的文件(默认值)。custom
— 仅扫描您指定的区域中的文件。如果您未指定 --drives
选项,应用程序将分析用户和系统目录中的文件。
--excludes <
排除项列表
>
— 从扫描中排除的路径列表。
此选项指定的排除项为全局选项,无论范围类型或目录列表如何均有效。这些排除项优先于其他命令行选项,包括--hint
和--scope
。
排除项被指定为路径,但不能包含递归元素或通配符(例如 *
)。
如果不指定 --excludes
选项,则执行扫描时不进行排除。
您可以指定多个排除项,用空格分隔。
--scope <
目录列表
>
— 要扫描的附加目录列表。
如果您为 --drives
选项指定了custom
参数,则需要此选项。
--action
— 当检测到入侵指标时执行的操作。
可能的参数:
Skip
— 应用程序不会对检测到的对象执行任何操作,但有关它的信息将保存在任务执行结果中(默认值)。QuarantineFile
— 应用程序将隔离检测到的对象。IsolateHost
— 应用程序对在其上检测到对象的设备实施网络隔离。ScanCriticalAreas
— 应用程序将执行扫描关键区域。您可以指定多个操作,用逗号分隔。
如果指定 Skip
参数,请不要添加任何其他参数。Skip
参数只能单独使用。