用於管理 IOC 掃描的指令

-T 是一個前綴，表示該指令屬於用於管理應用程式設定和工作的指令群組。

kesl-control --scan-ioc

此指令可啟動搜尋裝置上的入侵指標 (IOC)。

命令語法

kesl-control [-T] --scan-ioc --path <path to directory or file> [--process on|off] [--hint <正規表達式>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <排除項目清單>] [--scope <目錄清單>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

參數和金鑰

--path 目錄或檔案的路徑> — IOC 檔案的路徑或者包含帶有 .IOC 或 .XML 副檔名的 IOC 檔案的目錄的路徑，應該被用於執行掃描。

您可以指定多個路徑，以空格分隔。您也可以指定兩種類型的路徑（檔案路徑和目錄路徑）。

--process — 啟用對裝置上執行的處理程序的分析。

可能的參數：

• on — 啟用對裝置上執行的處理程序的分析（預設值）。
• off — 停用對裝置上執行的處理程序的分析。

如果不指定--process選項，則僅當使用的 IOC 檔案指定了這些處理程序的詳細資訊（ProcessItem）時，應用程式才會分析處理程序。

--hint <正規表示式> — 與要分析的處理程序 (ProcessItem) 的檔案 (FileItem) 或可執行檔案 (ProcessItem) 的完整路徑相符的正規表示式。

您可以使用以下正規表達式元素：

• 元字元：。 ^ $ |
• 字元類別：數字、字母、小寫、大寫、cntrl
• 量詞：* + ? {n} {n,} {n,m}
• 否定：[^a-c]
• 逸出字元：\a \e \f，\n \r \t \v \b

--arpentry — 啟用分析 ARP 表 (ArpEntryItem) 中的條目。

可能的參數：

• on — 啟用分析 ARP 表中的條目（預設值）。
• off — 停用分析 ARP 表中的條目。

如果不指定--arpentry選項，則僅當使用的 IOC 檔案指定了 ARP 表 (ArpEntryItem) 的詳細資訊時，應用程式才會分析 ARP 表。

--ports — 啟用分析用於連線的開放連接埠。

可能的參數：

• on — 啟用分析用於連線的開放連接埠並掃描裝置上的活動連線（預設值）。
• off — 停用分析用於連線的開放連接埠並且不掃描裝置上的活動連線。

如果不指定--ports選項，則僅當使用的 IOC 檔案指定了這些連接埠的詳細資訊（PortItem）時，應用程式才會分析連接埠。

--system — 啟用系統環境分析。

可能的參數：

• on — 啟用系統環境分析（預設值）。
• off — 停用系統環境分析。

如果不指定--system選項，則僅當使用的 IOC 檔案指定了系統環境 (SystemInfoItem) 的詳細資訊時，應用程式才會分析系統環境。

--files — 啟用檔案分析。

可能的參數：

• on — 啟用檔案分析（預設值）。
• off — 停用檔案分析。

如果沒有指定--files選項，則僅當使用的 IOC 檔案指定了這些檔案的詳細資訊 (FileItem) 時，應用程式才會分析檔案。

--drives — 要掃描的區域。

可能的參數：

• all— 檢查所有可用的檔案區域。
• system — 僅掃描安裝了作業系統的目錄中的檔案。
• critical — 掃描使用者和系統目錄中的檔案（預設值）。
• custom — 僅掃描您指定區域中的檔案。

如果您未指定--drives選項，應用程式將分析使用者和系統目錄中的檔案。

--excludes 排除項目清單> — 從掃描中排除的路徑清單。

此選項指定的排除項目是全域的，並且無論範圍類型或目錄清單如何均有效。這些排除項目優先於其他指令列選項，包括--hint和--scope。

排除項目被指定為路徑，但不能包含遞歸元素或通配符（例如*）。

如果不指定--excludes選項，則掃描執行時將不進行排除。

您可以指定多個排除項目，以空格分隔。

--scope <目錄清單> — 要掃描的附加目錄清單。

如果您為--drives選項指定了自訂參數，則需要此選項。

--action — 當偵測到入侵指標時執行的操作。

可能的參數：

• Skip — 應用程式不會對偵測到的物件執行任何操作，但關於它的資訊將保存在工作執行結果中（預設值）。
• QuarantineFile — 應用程式將隔離偵測到的物件。
• IsolateHost — 應用程式對偵測到物件的裝置實施網路隔離。
• ScanCriticalAreas — 應用程式將執行掃描關鍵區域。
  • /lib/systemd
  • /lib/udev
  • /lib/dbus-1.0
  • /usr/local/lib/systemd/user
  • /usr/share/dbus-1
  • /usr/share/gdm/autostart
  • /usr/share/gnome/autostart
  • /var/spool/at
  • /var/spool/在/spool
  • /var/spool/anacron
  • /var/spool/cron
  • /boot
  • /bin
  • /sbin
  • /lib
  • /lib32
  • /lib64
  • /libx32
  • /usr/lib
  • /usr/lib32
  • /usr/lib64
  • /usr/libx32
  • ~/.config/autostart
  • ~/.config/autostart-scripts
  • ~/.config/plasma-workspace/env
  • ~/.config/plasma-workspace/shutdown
  • ~/.config/lxsession
  • ~/.fluxbox/startup
  • ~/.kde/Autostart
  • /etc

您可以用逗號分隔來指定多個操作。

如果指定Skip參數，請不要新增任何其他參數。Skip參數只能單獨使用。

頁頂