Nur bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum können Sie Suche nach Kompromittierungsindikatoren anhand der IOC-Untersuchungsaufgabe über die Befehlszeile ausführen. Bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA) wird die IOC-Untersuchung in Kaspersky Endpoint Detection and Response (KATA) ausgeführt.
Um die Aufgabe IoC-Untersuchung über die Befehlszeile zu erstellen, zu konfigurieren und auszuführen, verwenden Sie den folgenden Befehl:
kesl-control [-T] --scan-ioc --path <Pfad zu Verzeichnis oder Datei> [--process on|off] [--hint <regulärer Ausdruck>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <Liste der Ausschlüsse>] [--scope <Liste der Verzeichnisse>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]
Wobei gilt:
--path <Pfad zu Verzeichnis oder Datei> – Pfad zu einer IOC-Datei oder zu einem Verzeichnis mit IOC-Dateien, welche die Erweiterungen IOC- oder XML besitzen und mit deren Hilfe die Untersuchung ausgeführt wird.
Sie können mehrere, durch Leerzeichen getrennte Pfade angeben. Sie können auch beide Arten von Pfaden (Datei und Verzeichnis) angeben.
--process – Analyse der auf dem Gerät laufenden Prozesse aktivieren.
Mögliche Argumente:
on – Analyse der auf dem Gerät laufenden Prozesse aktivieren (Standardwert).off – Analyse der auf dem Gerät laufenden Prozesse deaktivieren.Wenn Sie den Parameter --process nicht angeben, führt die Anwendung nur dann eine Prozessanalyse durch, wenn die verwendete IOC-Datei Daten dieser Prozesse (ProcessItem) enthält.
--hint <regulärer Ausdruck> – Regulärer Ausdruck, der dem vollständigen Pfad einer Datei (FileItem) oder der ausführbaren Datei eines Prozesses (ProcessItem) entspricht, der analysiert werden soll.
Für den regulären Ausdruck können folgende Elemente verwendet werden:
. ^ $ |* + ? {n} {n,} {n, m}[^a-c]\a \e \f, \n \r \t \v \b--arpentry – Analyse von Einträgen in der ARP-Tabelle (ArpEntryItem) aktivieren.
Mögliche Argumente:
on – Analyse von Einträge in der ARP-Tabelle aktivieren (Standardwert).off – Analyse von Einträgen in der ARP-Tabelle deaktivieren.Wenn Sie den Parameter --arpentry nicht angeben, führt die Anwendung nur dann eine Analyse der ARP-Tabelle durch, wenn die verwendete IOC-Datei Daten dieser Tabelle (ArpEntryItem) enthält.
--ports – Analyse von Ports aktivieren, die geöffnet sind und Verbindungen empfangen können.
Mögliche Argumente:
on – Analyse von geöffneten Ports und aktiven Verbindungen mit dem Gerät aktivieren (Standardwert).off – Analyse von geöffneten Ports und aktiven Verbindungen mit dem Gerät deaktivieren.Wenn Sie den Parameter --ports nicht angeben, führt die Anwendung nur dann eine Portanalyse durch, wenn die verwendete IOC-Datei Daten dieser Ports (PortItem) enthält.
--system – Analyse der Systemumgebung aktivieren.
Mögliche Argumente:
on – Analyse der Systemumgebung aktivieren (Standardwert).off – Analyse der Systemumgebung deaktivieren.Wenn Sie den Parameter --system nicht angeben, führt die Anwendung nur dann eine Analyse der Systemumgebung durch, wenn die verwendete IOC-Datei Daten über die Systemumgebung (SystemInfoItem) enthält.
--files – Dateianalyse aktivieren.
Mögliche Argumente:
on – Dateianalyse aktivieren (Standardwert).off – Dateianalyse deaktivieren.Wenn Sie den Parameter --files nicht angeben, führt die Anwendung nur dann eine Dateianalyse durch, wenn die verwendete IOC-Datei Daten dieser Dateien (FileItem) enthält.
--drives – zu untersuchende Bereiche.
Mögliche Argumente:
all – alle verfügbaren Dateibereiche untersuchen.system – nur die Dateien untersuchen, die sich in Verzeichnissen befinden, in denen das Betriebssystem installiert ist.critical – Dateien in den Benutzer- und Systemverzeichnissen untersuchen (Standardwert).custom – nur die Dateien untersuchen, die sich in den von Ihnen angegebenen Bereichen befinden.Wenn Sie den Parameter --drives nicht angeben, analysiert die Anwendung die Dateien in den Benutzer- und Systemverzeichnissen.
--excludes <Liste mit Ausschlüssen> – Liste mit Pfaden, die aus der Untersuchung ausgeschlossen werden sollen.
Die in diesem Parameter angegebenen Ausnahmen sind global und gelten unabhängig von der Art des Bereichs oder der Verzeichnisliste. Diese Ausnahmen besitzen eine höhere Priorität als anderen Optionen wie --hint und --scope.
Ausschlüsse werden als Pfade angegeben, dürfen jedoch keine rekursiven Elemente oder Masken-Symbole (wie .*) enthalten.
Wenn Sie den Parameter --excludes nicht angeben, wird die Untersuchung ohne Ausschlüsse durchgeführt.
Sie können mehrere, durch Leerzeichen getrennte Ausschlüsse angeben.
--scope <Liste mit Verzeichnissen> – Liste mit zusätzlichen Verzeichnissen, die untersucht werden sollen.
Dieser Parameter ist erforderlich, wenn Sie für den Parameter --drives das Argument custom angegeben haben.
--action – Aktion, die bei Erkennung eines Kompromittierungsindikators ausgeführt werden soll.
Mögliche Argumente:
Skip – die Anwendung führt keine Aktionen mit dem erkannten Objekt aus, aber Informationen darüber werden in den Ergebnissen der Aufgabenausführung gespeichert (Standardwert).QuarantineFile – die Anwendung verschiebt das erkannte Objekt in die Quarantäne.IsolateHost – die Anwendung isoliert das Gerät, auf dem das Objekt erkannt wurde, vom Netzwerk.ScanCriticalAreas – die Anwendung führt eine Untersuchung der kritischen Bereiche durch.Sie können mehrere, durch Leerzeichen getrennte Aktionen angeben.
Wenn Sie das Argument Skip angegeben haben, müssen Sie keine weiteren Argumente hinzufügen. Das Argument Skip kann nur alleinstehend verwendet werden.