用于管理 IOC 扫描的命令

-T 前缀表示该命令属于用于管理应用程序设置和任务的命令组。

kesl-control --scan-ioc

该命令可启动搜索设备上的入侵指标 (IOC)

命令语法

kesl-control [-T] --scan-ioc --path <目录或文件路径> [--process on|off] [--hint <正则表达式>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <排除项列表>] [--scope <目录列表>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

参数和键

--path <目录或文件路径>– IOC 文件的路径或包含带有 IOC或 .XML 扩展名的 IOC文件的目录,应用于执行扫描。

您可以指定多个路径,用空格分隔。您还可以指定两种类型的路径(文件路径和目录路径)。

--process— 启用对设备上运行的进程的分析。

可能的参数:

如果不指定 --process 选项,则仅当使用的IOC 文件指定了这些进程的详细信息(ProcessItem)时,应用程序才会分析进程。

--hint <正则表达式> — 与要分析的文件(FileItem)或进程的可执行文件(ProcessItem)的完整路径匹配的正则表达式。

您可以使用以下正则表达式元素:

--arpentry— 启用 ARP 表 (ArpEntryItem) 中的条目分析。

可能的参数:

如果不指定 --arpentry 选项,则仅当使用的 IOC 文件指定了 ARP 表(ArpEntryItem)的详细信息时,应用程序才会分析 ARP 表。

--ports— 启用对连接开放的端口的分析。

可能的参数:

如果不指定 --ports 选项,则仅当使用的IOC 文件指定了这些端口的详细信息(PortItem)时,应用程序才会分析端口。

--system— 启用系统环境分析。

可能的参数:

如果不指定 --system 选项,则仅当使用的IOC 文件指定了系统环境(SystemInfoItem)的详细信息时,应用程序才会分析系统环境。

--files— 启用文件分析。

可能的参数:

如果不指定 --files 选项,则仅当使用的 IOC 文件指定了这些文件的详细信息 (FileItem) 时,应用程序才会分析文件。

--drives— 要扫描的区域。

可能的参数:

如果您未指定 --drives 选项,应用程序将分析用户和系统目录中的文件。

--excludes <排除项列表>— 从扫描中排除的路径列表。

此选项指定的排除项为全局选项,无论范围类型或目录列表如何均有效。这些排除项优先于其他命令行选项,包括--hint--scope

排除项被指定为路径,但不能包含递归元素或通配符(例如 *)。

如果不指定 --excludes 选项,则执行扫描时不进行排除。

您可以指定多个排除项,用空格分隔。

--scope <目录列表>— 要扫描的附加目录列表。

如果您为 --drives 选项指定了custom参数,则需要此选项。

--action— 当检测到入侵指标时执行的操作。

可能的参数:

您可以指定多个操作,用逗号分隔。

如果指定 Skip 参数,请不要添加任何其他参数。Skip 参数只能单独使用。

页面顶部