-T 前缀表示该命令属于用于管理应用程序设置和任务的命令组。
kesl-control --scan-ioc
该命令可启动搜索设备上的入侵指标 (IOC)。
命令语法
kesl-control [-T] --scan-ioc --path <目录或文件路径> [--process on|off] [--hint <正则表达式>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <排除项列表>] [--scope <目录列表>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]
参数和键
--path <目录或文件路径>– IOC 文件的路径或包含带有 IOC或 .XML 扩展名的 IOC文件的目录,应用于执行扫描。
您可以指定多个路径,用空格分隔。您还可以指定两种类型的路径(文件路径和目录路径)。
--process— 启用对设备上运行的进程的分析。
可能的参数:
on— 启用对设备上运行的进程的分析(默认值)。off— 禁用对设备上运行的进程的分析。如果不指定 --process 选项,则仅当使用的IOC 文件指定了这些进程的详细信息(ProcessItem)时,应用程序才会分析进程。
--hint <正则表达式> — 与要分析的文件(FileItem)或进程的可执行文件(ProcessItem)的完整路径匹配的正则表达式。
您可以使用以下正则表达式元素:
. ^ $ |* + ? {n} {n,} {n, m}[^ac]'\a \e \f, \n \r \t \v \b--arpentry— 启用 ARP 表 (ArpEntryItem) 中的条目分析。
可能的参数:
on— 启用 ARP 表中条目的分析(默认值)。off— 禁用 ARP 表中条目的分析。如果不指定 --arpentry 选项,则仅当使用的 IOC 文件指定了 ARP 表(ArpEntryItem)的详细信息时,应用程序才会分析 ARP 表。
--ports— 启用对连接开放的端口的分析。
可能的参数:
on— 启用对连接开放的端口的分析并扫描设备上的活动连接(默认值)。off— 禁用对连接开放的端口的分析并且不扫描设备上的活动连接。如果不指定 --ports 选项,则仅当使用的IOC 文件指定了这些端口的详细信息(PortItem)时,应用程序才会分析端口。
--system— 启用系统环境分析。
可能的参数:
on— 启用系统环境分析(默认值)。off— 禁用系统环境分析。如果不指定 --system 选项,则仅当使用的IOC 文件指定了系统环境(SystemInfoItem)的详细信息时,应用程序才会分析系统环境。
--files— 启用文件分析。
可能的参数:
on— 启用文件分析(默认值)。off— 禁用文件分析。如果不指定 --files 选项,则仅当使用的 IOC 文件指定了这些文件的详细信息 (FileItem) 时,应用程序才会分析文件。
--drives— 要扫描的区域。
可能的参数:
all— 检查所有可用的文件区域。system— 仅扫描安装操作系统的目录中的文件。critical— 扫描用户和系统目录中的文件(默认值)。custom— 仅扫描您指定的区域中的文件。如果您未指定 --drives 选项,应用程序将分析用户和系统目录中的文件。
--excludes <排除项列表>— 从扫描中排除的路径列表。
此选项指定的排除项为全局选项,无论范围类型或目录列表如何均有效。这些排除项优先于其他命令行选项,包括--hint 和--scope。
排除项被指定为路径,但不能包含递归元素或通配符(例如 *)。
如果不指定 --excludes 选项,则执行扫描时不进行排除。
您可以指定多个排除项,用空格分隔。
--scope <目录列表>— 要扫描的附加目录列表。
如果您为 --drives 选项指定了custom参数,则需要此选项。
--action— 当检测到入侵指标时执行的操作。
可能的参数:
Skip — 应用程序不会对检测到的对象执行任何操作,但有关它的信息将保存在任务执行结果中(默认值)。QuarantineFile — 应用程序将隔离检测到的对象。IsolateHost— 应用程序对在其上检测到对象的设备实施网络隔离。ScanCriticalAreas— 应用程序将执行扫描关键区域。您可以指定多个操作,用逗号分隔。
如果指定 Skip 参数,请不要添加任何其他参数。Skip 参数只能单独使用。