Cuprins

Comenzi de gestionare Detection and Response

Comenzi de gestionare Detection and Response

Puteți utiliza linia de comandă pentru a gestiona funcționalitatea încorporată a soluțiilor Detection and Response (de exemplu, Kaspersky Sandbox sau Kaspersky Endpoint Detection and Response Optimum). Puteți gestiona soluțiile Detection and Response dacă gestionarea utilizând consola Kaspersky Security Center nu este posibilă. Puteți vizualiza lista de comenzi pentru gestionarea aplicației executând comanda HELP. Pentru a citi despre sintaxa unei anumite comenzi, introduceți <comanda> HELP.

În această secțiune

SANDBOX. Gestionarea Kaspersky Sandbox

PREVENȚIE. Gestionarea prevenirii executării

IZOLARE. Gestionarea Izolării rețelei

RESTORE. Restaurarea fișierelor din Carantină

IOCSCAN. Scanare pentru descoperirea indicatorilor de compromitere (IOC)

MDRLICENSE. Activare MDR

Începutul paginii

SANDBOX. Gestionarea Kaspersky Sandbox

Comenzi pentru gestionarea componentei Kaspersky Sandbox:

Activați sau dezactivați componenta Kaspersky Sandbox.
Componenta Kaspersky Sandbox permite interoperabilitatea cu soluția Kaspersky Sandbox.
Configurați componenta Kaspersky Sandbox:
- Conectați computerele la serverele Kaspersky Sandbox.
  Serverele utilizează imagini virtuale implementate ale sistemelor de operare Microsoft Windows pentru a executa obiectele care trebuie scanate. Puteți introduce o adresă IP (IPv4 sau IPv6) sau un nume de domeniu complet calificat. Pentru detalii despre implementarea imaginilor virtuale și configurarea serverelor Kaspersky Sandbox, consultați Ajutor Kaspersky Sandbox.
- Configurați timpul de expirare al conexiunii pentru serverul Kaspersky Sandbox.
  Expirare timp pentru primirea unui răspuns la o cerere de scanare a obiectelor de la serverul Kaspersky Sandbox. După expirarea timpului de expirare, Kaspersky Sandbox redirecționează solicitarea către următorul server. Valoarea timpului de expirare depinde de viteza și stabilitatea conexiunii. Valoarea implicită este 5 de secunde.
- Configurați o conexiune de încredere între computer și serverele Kaspersky Sandbox.
  Pentru a configura o conexiune de încredere cu serverele Kaspersky Sandbox, trebuie să pregătiți un certificat TLS. Apoi trebuie să adăugați certificatul la serverele Kaspersky Sandbox și la politica Kaspersky Endpoint Security. Pentru detalii despre pregătirea certificatului și adăugarea certificatului la servere, consultați Ajutorul Kaspersky Sandbox.
Afișați setările curente ale componentei.

Sintaxa de comandă

stop sandbox [/login=<nume utilizator> /password=<parolă>]

start sandbox

sandbox /set [--tls=yes|no] [--servers=<adresă server>:<port>] [--timeout=<expirare conexiune server Kaspersky Sandbox (ms)>] [--pinned-certificate=<cale către certificatul TLS>][/login=<nume utilizator> /password=<parolă>]

sandbox /show

Funcționare
`stop`	Dezctivați componenta Kaspersky Sandbox.
`start`	Activați componenta Kaspersky Sandbox.
`set`	Configurați componenta Kaspersky Sandbox. Puteți modifica următoarele setări: Folosiți o conexiune de încredere (`--tls`). Adăugați un certificat TLS (`--pinned-certificate`). Setați timpul de expirare a conexiunii serverului Kaspersky Sandbox (`--timeout`). Adăugați serverele Kaspersky Sandbox (`--servers`).
`show`	Afișați setările curente ale componentei. Veți primi următorul răspuns: `sandbox.timeout =<expirare conexiune server Kaspersky Sandbox (ms)>` `sandbox.tls =<stare conexiune de încredere>` `sandbox.servers =<lista serverelor Kaspersky Sandbox>`

Autentificare
`/login=<nume utilizator> /password=<parolă>`	Acreditări de cont de utilizator cu permisiunile necesare de protecție prin parolă.

Exemplu:

avp.com start sandbox

avp.com sandbox /set --tls=yes --pinned-certificate="С:\Users\Admin\certificate.pem"

avp.com sandbox /set --servers=10.10.111.0:147

Începutul paginii

PREVENȚIE. Gestionarea prevenirii executării

Dezactivați Prevenirea executării sau afișați setările curente ale componentei, inclusiv lista regulilor de prevenire a executării.

Sintaxa de comandă

dezactivare prevenire

prevenire/afișare

După executarea comenzii prevenire/afișare, veți primi răspunsul următor:

prevention.enable=true|false

prevention.mode=audit|prevent

prevention.rules

id: <ID regulă>

target: script|process|document

Md5:<codul hash MD5 al fișierului>

sha256: <codul hash SHA256 al fișierului>

pattern: <cale către obiect>

sensibil la litere mari și mici: true|false

Valori returnate de comandă:

-1 înseamnă că comanda nu este acceptată de versiunea Kaspersky Endpoint Agent instalată pe dispozitiv;
0 înseamnă că comanda a fost executată cu succes;
1 înseamnă că un argument obligatoriu nu a fost transmis comenzii;
2 înseamnă că a apărut o eroare generală;
4 înseamnă că a apărut o eroare de sintaxă.
9 - operație greșită (de exemplu, o încercare de a dezactiva componenta atunci când aceasta este deja dezactivată).

Începutul paginii

IZOLARE. Gestionarea Izolării rețelei

Dezactivați opțiunea Izolare rețea a computerului sau afișați setările curente ale componentelor, inclusiv lista profilurilor de excludere din rețea configurate, precum și lista regulilor configurate în profilurile de rețea.

Sintaxa de comandă:

izolare/OPRIT/conectare=<nume utilizator>/password=<parolă>

izolare/STAT

Ca urmare a executării comenzii afișare, primiți următorul răspuns: isolation.enable=true|false.

Valori returnate de comandă:

-1 înseamnă că comanda nu este acceptată de versiunea Kaspersky Endpoint Agent instalată pe dispozitiv;
0 înseamnă că comanda a fost executată cu succes;
1 înseamnă că un argument obligatoriu nu a fost transmis comenzii;
2 înseamnă că a apărut o eroare generală;
4 înseamnă că a apărut o eroare de sintaxă.
9 - operație greșită (de exemplu, o încercare de a dezactiva componenta atunci când aceasta este deja dezactivată).

Începutul paginii

RESTORE. Restaurarea fișierelor din Carantină

Restabiliți un fișier din Carantină într-un folder special de pe computer. Apoi, trebuie să mutați manual fișierul în folderul destinație. Carantină este un spațiu de stocare local special pe computer în care sunt mutate fișierele infectate cu viruși sau fișiere care nu pot fi dezinfectate. Fișierele introduse în carantină sunt stocate într-o stare criptată și nu amenință securitatea dispozitivului. Kaspersky Endpoint Security utilizează Carantina numai atunci când lucrează cu soluțiile Kaspersky Sandbox și Kaspersky Endpoint Detection and Response Optimum. În alte cazuri, Kaspersky Endpoint Security plasează fișierul relevant în Copie de rezervă. Pentru detalii despre gestionarea Carantinei ca parte a soluțiilor, consultați Kaspersky Sandbox și Ghiduri de ajutor Kaspersky Endpoint Detection and Response Optimum.

Pentru a executa această comandă, funcția Protecție prin parolă trebuie activată. Utilizatorul trebuie să aibă permisiunea Restaurare din Copie de rezervă.

Obiectul este carantinat în contul de sistem (SYSTEM).

Sintaxa de comandă

RESTORE [/REPLACE] <nume fișier> /login=<nume utilizator> /password=<parolă>

Setări avansate
`/REPLACE`	Suprascrieți un fișier existent.
`<nume fișier>`	Numele fișierului care va fi restaurat.

Autentificare
`/login=<nume utilizator> /password=<parolă>`	Acreditări de cont de utilizator cu permisiunile necesare de protecție prin parolă.

Exemplu:

avp.com RESTORE /REPLACE true_file.txt /login=KLAdmin /password=!Password1

Valori returnate de comandă:

-1 înseamnă că comanda nu este acceptată de versiunea Kaspersky Endpoint Agent instalată pe dispozitiv;
0 înseamnă că comanda a fost executată cu succes;
1 înseamnă că un argument obligatoriu nu a fost transmis comenzii;
2 înseamnă că a apărut o eroare generală;
4 înseamnă că a apărut o eroare de sintaxă.

Începutul paginii

IOCSCAN. Scanare pentru descoperirea indicatorilor de compromitere (IOC)

Executați activitatea Scanare pentru descoperirea indicatorilor de compromitere (IOC). Un Indicator de compromitere (IOC) este un set de date despre un obiect sau o activitate care indică accesul neautorizat la computer (compromiterea datelor). De exemplu, multe încercări nereușite de conectare la sistem pot constitui un Indicator de compromitere. Activitățile Scanare IOC permit găsirea Indicatorilor de compromitere pe computer și luarea măsurilor de răspuns la amenințări.

Sintaxa de comandă

IOC files

<full path to the IOC file>

Calea completă către fișierul IOC pe care doriți să îl utilizați pentru scanare. Puteți specifica mai multe fișiere IOC separate prin spații. Calea completă către fișierul IOC trebuie introdusă fără argumentul /path.

De exemplu, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Calea către directorul cu fișiere IOC pe care doriți să le utilizați pentru scanare. Fișierele IOC sunt fișiere care conțin seturile de indicatori pe care aplicația încearcă să le potrivească pentru a contoriza o detectare. Fișierele IOC trebuie să fie conforme cu standardul OpenIOC.

De exemplu, C:\Users\Admin\Desktop\IOC

Tipul de date pentru scanarea IOC
`/process=on\|off`	Analizați datele procesului atunci când efectuați scanarea IOC (termen ProcessItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează procesele care se execută pe computer la efectuarea scanării. În cazul în care fișierul IOC conține termenii IOC ai documentului IOC ProcessItem, aceștia sunt ignorați (detectați ca nicio potrivire). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele procesului numai dacă documentul IOC ProcessItem este descris în fișierul IOC care este furnizat pentru scanare.
`/hint=<full path to the executable file of the process\|full path to the file>`	Analizați datele fișierului atunci când efectuați scanarea IOC (termenii ProcessItem și FileItem). Poți selecta un fișier într-unul din următoarele moduri: `<full path to the executable file of the process>` – ProcessItem; `<full path to the file>` – FileItem.
`/registry=on\|off`	Analizați datele registry-ului Windows atunci când efectuați o scanare IOC (termen RegistryItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează registry-ul Windows. Dacă fișierul IOC conține termeni ai documentului IOC RegistryItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează registy-ul Windows numai dacă documentul IOC RegistryItem este descris în fișierul IOC care este furnizat pentru scanare. Pentru tipul de date RegistryItem, Kaspersky Endpoint Security scanează un set de chei de registry.
`/dnsentry=on\|off`	Analizați datele despre înregistrările din memoria cache DNS locală atunci când efectuați scanarea IOC (termen DnsEntryItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează memoria cache DNS locală. Dacă fișierul IOC conține termenii documentului IOC DnsEntryItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează memoria cache DNS locală numai dacă documentul IOC DnsEntryItem este descris în fișierul IOC care este furnizat pentru scanare.
`/arpentry=on\|off`	Analizați datele despre înregistrările din tabelul ARP atunci când efectuați scanarea IOC (termen ArpEntryItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează tabelul ARP. Dacă fișierul IOC conține termenii documentului IOC ArpEntryItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează tabelul ARP numai dacă documentul IOC ArpEntryItem este descris în fișierul IOC care este furnizat pentru scanare.
`/ports=on\|off`	Analizați datele despre porturile deschise pentru ascultare atunci când efectuați scanarea IOC (termen PortItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează tabelul conexiunilor active pe dispozitiv. Dacă fișierul IOC conține termenii documentului IOC PortItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează tabelul conexiunilor active numai dacă documentul IOC PortItem este descris în fișierul IOC care este furnizat pentru scanare.
`/services=on\|off`	Analizați datele despre serviciile instalate pe dispozitiv atunci când efectuați scanarea IOC (termen ServiceItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează datele despre serviciile instalate pe dispozitiv. Dacă fișierul IOC conține termenii documentului IOC ServiceItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre servicii numai dacă documentul IOC ServiceItem este descris în fișierul IOC care este furnizat pentru scanare.
`/system=on\|off`	Analizați datele despre mediu atunci când efectuați scanarea IOC (termen SystemInfoItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează datele despre mediu. Dacă fișierul IOC conține termenii documentului IOC SystemInfoItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre mediu numai dacă documentul IOC SystemInfoItem este descris în fișierul IOC care este furnizat pentru scanare.
`/users=on\|off`	Analizați datele despre utilizatori atunci când efectuați scanarea IOC (termen UserItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează datele despre utilizatorii creați în sistem. Dacă fișierul IOC conține termenii documentului IOC UserItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre utilizatorii creați în sistem numai dacă documentul IOC UserItem este descris în fișierul IOC care este furnizat pentru scanare.
`/volumes=on\|off`	Analizați datele despre volume atunci când efectuați scanarea IOC (termen VolumeItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează datele despre volumele de pe dispozitiv. Dacă fișierul IOC conține termenii documentului IOC VolumeItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre volume numai dacă documentul IOC VolumeItem este descris în fișierul IOC care este furnizat pentru scanare.
`/eventlog=on\|off`	Analizați datele despre înregistrările din jurnalul de evenimente Windows atunci când efectuați scanarea IOC (termen EventLogItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează înregistrările din jurnalul de evenimente Windows. Dacă fișierul IOC conține termenii documentului IOC EventLogItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează jurnalul de evenimente Windows numai dacă documentul IOC EventLogItem este descris în fișierul IOC care este furnizat pentru scanare.
`/datetime=<event publication date>`	Luați în considerare data la care evenimentul a fost publicat în jurnalul de evenimente Windows atunci când determinați domeniul de scanare IOC pentru documentul IOC corespunzător. Când efectuați o scanare IOC, IOC Kaspersky Endpoint Security scanează intrările din jurnalul de evenimente Windows publicate în perioada cuprinsă între data și ora specificate și momentul la care se execută activitatea. Kaspersky Endpoint Security permite specificarea datei publicării evenimentului ca valoare a argumentului. Scanarea se efectuează numai pentru evenimentele publicate în jurnalul de evenimente Windows după data specificată și înainte de executarea scanării. Dacă argumentul nu este specificat, Kaspersky Endpoint Security scanează evenimentele cu orice dată de publicare. Setarea TaskSettings::BaseSettings::EventLogItem::datetime nu poate fi editată. Setarea este utilizată numai dacă documentul IOC EventLogItem este descris în fișierul IOC furnizat pentru scanare.
`/channel=<list of channels>`	Lista numelor canalelor (înregistrate în jurnal) pentru care doriți să efectuați o scanare IOC. Dacă argumentul este specificat, Kaspersky Endpoint Security scanează înregistrările publicate în jurnalele specificate. Documentul IOC trebuie să aibă termenul EventLogItem descris. Numele jurnalului este specificat ca un șir în conformitate cu numele (canalului) jurnalului specificat în proprietățile jurnalului (parametrul Nume complet) sau în proprietățile evenimentului (parametrul <Channel></Channel> din schema xml a evenimentului). Puteți specifica mai multe canale separate prin spații. Dacă argumentul nu este specificat, Kaspersky Endpoint Security scanează înregistrările pentru canalele `Aplicație`, `Sistem`, `Securitate`.
`/files=on\|off`	Analizați datele fișierului atunci când efectuați scanarea IOC (termen FileItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează datele despre fișier. Dacă fișierul IOC conține termenii documentului IOC FileItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele fișierului numai dacă documentul IOC FileItem este descris în fișierul IOC care este furnizat pentru scanare.
`/drives=<all\|system\|critical\|custom>`	Setați domeniul de scanare IOC atunci când analizați datele pentru documentul IOC FileItem. Puteți seta următoarele valori pentru domeniul de scanare: `<all>` pentru toate domeniile de fișiere disponibile, `<system>` pentru fișierele din directoarele în care este instalat sistemul de operare, `<critical>` pentru fișierele temporare din directoarele utilizator și sistem, `<custom>` pentru fișierele din domenii definite de utilizator (`/scope=<list of folders to scan>`). Dacă argumentul nu este specificat, scanarea se efectuează pentru zonele critice.
`/excludes=<list of exclusions>`	Setați domeniul de excludere atunci când analizați datele pentru documentul IOC FileItem. Puteți specifica mai multe căi separate prin spații.
`/scope=<list of folders to scan>`	Domeniul de scanare IOC definit de utilizator atunci când se analizează datele pentru documentul IOC FileItem (`/drives=custom`). Puteți specifica mai multe căi separate prin spații.

Valori returnate de comandă:

-1 înseamnă că comanda nu este acceptată de versiunea Kaspersky Endpoint Agent instalată pe dispozitiv;
0 înseamnă că comanda a fost executată cu succes;
1 înseamnă că un argument obligatoriu nu a fost transmis comenzii;
2 înseamnă că a apărut o eroare generală;
4 înseamnă că a apărut o eroare de sintaxă.

Dacă comanda a fost executată cu succes (valoare returnată 0) și indicatori de compromitere au fost detectați pe parcurs, Kaspersky Endpoint Security exportă următoarele informații despre rezultatul activității în linia de comandă:

`Uuid`	ID-ul fișierului IOC din antetul structurii fișierului IOC (eticheta `<ioc id="">`)
`Nume`	ID-ul fișierului IOC din antetul structurii fișierului IOC (eticheta `<description></description>`)
`Elemente indicatori potriviți`	Lista ID-urilor tuturor indicatorilor care se potrivesc.
`Obiecte potrivite`	Date pentru fiecare document IOC pentru care a existat o potrivire.

Începutul paginii

MDRLICENSE. Activare MDR

Efectuați operații cu fișierul de configurare BLOB pentru a activa componenta Managed Detection and Response. Fișierul BLOB conține Id-ul clientului și informații despre licența pentru componenta Kaspersky Managed Detection and Response. Fișierul BLOB se află în arhiva ZIP a fișierului de configurare MDR. Puteți obține arhiva ZIP în Consola Kaspersky Managed Detection and Response. Pentru informații detaliate despre fișierul BLOB, consultați Ajutorul Kaspersky Managed Detection and Response.

Sunt necesare privilegii de administrator pentru a efectua operații cu un fișier BLOB. Setările componentei Managed Detection and Response din politică trebuie să fie, de asemenea, disponibile pentru editare ().

Sintaxa de comandă

MDRLICENSE <funcționare> [/login=<nume utilizator> /password=<parolă>]

Funcționare
`/ADD <nume fișier>`	Aplicați fișierul de configurare BLOB pentru integrarea cu Kaspersky Managed Detection and Response (format fișier P7). Puteți aplica doar un singur fișier BLOB. Dacă un fișier BLOB a fost deja adăugat în computer, acesta va fi înlocuit.
`/DEL`	Ștergeți fișierul de configurare BLOB.

Autentificare
`/login=<nume utilizator> /password=<parolă>`	Acreditări de cont de utilizator cu permisiunile necesare de protecție prin parolă.

Exemplu:

avp.com MDRLICENSE /ADD file.key
avp.com MDRLICENSE /DEL /login=KLAdmin /password=!Password1

Începutul paginii