IOCSCAN.‏ فحص مؤشرات الاختراق (IOC)

تشغيل مهمة الفحص للبحث عن مؤشرات الاختراق (IOC).‏ مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهام فحص مؤشر الاختراق العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.

بناء جملة الأمر

‎IOCSCAN <full path to the IOC file>|/path=<path to the IOC files folder> [/process=on|off] [/hint=<full path to executable file of a process|full file path>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<list of exclusions>][/scope=<list of folders to scan>‎]

ملفات IOC

 

‎<full path to the IOC file>‎

المسار الكامل إلى ملف IOC الذي تريد استخدامه للفحص. يمكنك تحديد ملفات IOC متعددة مفصولة بمسافات. يجب إدخال المسار الكامل لملف IOC بدون وسيطة ‎/path.‏

على سبيل المثال، ‎C:\Users\Admin\Desktop\IOC\file1.ioc

‎/path=<path to the folder with IOC files>‎

المسار إلى المجلد الذي يحتوي على ملفات IOC التي تريد استخدامها للفحص. ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات IOC مع معيار OpenIOC.‏

على سبيل المثال، ‎C:\Users\Admin\Desktop\IOC

نوع البيانات لفحص IOC

 

‎/process=on|off‎

تحليل بيانات العملية عند إجراء فحص IOC (شرط ProcessItem).‏

إذا كانت قيمة الوسيط off، فلا يحلل Kaspersky Endpoint Security العمليات التي تعمل على الكمبيوتر عند إجراء الفحص. وإذا كان ملف IOC يحتوي على شروط IOC لمستند ProcessItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير مطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات العملية فقط إذا كان مستند ProcessItem IOC موصوفًا في ملف IOC المتاح للفحص.

‎/hint=<full path to the executable file of the process|full path to the file>‎

تحليل بيانات الملف عند إجراء فحص IOC (شروط ProcessItem وFileItem).‏

يمكنك تحديد ملف بإحدى الطرق التالية:

  • <full path to the executable file of the process> – ProcessItem‎؛
  • <full path to the file> – FileItem‎.‏

‎/registry=on|off

تحليل بيانات تسجيل Windows عند إجراء فحص IOC (شرط RegistryItem).‏

إذا كانت قيمة الوسيطة off، لا يفحص Kaspersky Endpoint Security تسجيل Windows.‏ إذا كان ملف IOC يحتوي على شروط مستند RegistryItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security تسجيل Windows فقط إذا كان مستند RegistryItem IOC موصوفًا في ملف IOC المتوفر المقدم للفحص.

لنوع البيانات RegistryItem، يفحص Kaspersky Endpoint Security مجموعة من مفاتيح التسجيل.‏

‎/dnsentry=on|off‎

تحليل البيانات حول السجلات في ذاكرة التخزين المؤقت لـ DNS المحلي عند إجراء فحص IOC (شرط DnsEntryItem).‏

إذا كانت قيمة الوسيطة off، لا يفحص Kaspersky Endpoint Security ذاكرة التخزين المؤقت لـ DNS المحلي. وإذا كان ملف IOC يحتوي على شروط مستند DnsEntryItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security ذاكرة التخزين المؤقت لـ DNS المحلي فقط إذا كان مستند DnsEntryItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/arpentry=on|off

تحليل البيانات حول السجلات في جدول ARP عند إجراء فحص IOC (شرط ArpEntryItem).‏

إذا كانت قيمة الوسيطة off، لا يفحص Kaspersky Endpoint Security جدول ARP.‏ إذا كان ملف IOC يحتوي على شروط مستند ArpEntryItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security جدول ARP فقط إذا كان مستند ArpEntryItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/ports=on|off

تحليل البيانات حول المنافذ المفتوحة للاستماع عند إجراء فحص IOC (شرط PortItem).‏

إذا كانت قيمة الوسيطة off، لا يفحص Kaspersky Endpoint Security جدول الاتصالات النشطة على الجهاز. إذا كان ملف IOC يحتوي على شروط مستند PortItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security جدول الاتصالات النشطة فقط إذا كان مستند PortItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/services=on|off

تحليل البيانات حول الخدمات المثبتة على الجهاز عند إجراء فحص IOC (شرط ServiceItem).‏

إذا كانت قيمة الوسيطة off، لا يفحص Kaspersky Endpoint Security البيانات حول الخدمات المثبتة على الجهاز. إذا كان ملف IOC يحتوي على شروط مستند ServiceItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات الخدمة فقط إذا كان مستند ServiceItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/system=on|off

تحليل بيانات البيئة عند إجراء فحص IOC (شرط SystemInfoItem).‏

إذا كانت قيمة الوسيط off، لا يحلل Kaspersky Endpoint Security بيانات البيئة. وإذا كان ملف IOC يحتوي على شروط مستند SystemInfoItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات البيئة فقط إذا كان مستند SystemInfoItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/users=on|off

تحليل البيانات حول المستخدمين عند إجراء فحص IOC (شرط UserItem).‏

إذا كانت قيمة الوسيط off، لا يحلل Kaspersky Endpoint Security البيانات المتعلقة بالمستخدمين الذين تم إنشاؤهم في النظام. إذا كان ملف IOC يحتوي على شروط مستند UserItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security البيانات المتعلقة بالمستخدمين الذين تم إنشاؤهم في النظام فقط إذا كان مستند UserItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/volumes=on|off

تحليل البيانات حول وحدات التخزين عند إجراء فحص IOC (شرط VolumeItem).‏

إذا كانت قيمة الوسيط off، لا يفحص Kaspersky Endpoint Security البيانات حول وحدات التخزين على الجهاز. إذا كان ملف IOC يحتوي على شروط مستند VolumeItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيط، يحلل Kaspersky Endpoint Security بيانات وحدات التخزين فقط إذا كان مستند VolumeItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/eventlog=on|off

تحليل البيانات حول السجلات في سجل أحداث Windows عند إجراء فحص IOC (شرط EventLogItem).‏

إذا كانت قيمة الوسيطة off، لا يفحص Kaspersky Endpoint Security السجلات الموجودة في سجل أحداث Windows.‏ إذا احتوى ملف IOC على شروط مستند EventLogItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security سجل أحداث Windows إذا كان مستند EventLogItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/datetime=<event publication date>‎

ضع في الاعتبار تاريخ نشر الحدث في سجل أحداث Windows عند تحديد نطاق فحص IOC لمستند IOC المقابل.

عند إجراء فحص IOC، يفحص Kaspersky Endpoint Security إدخالات سجل أحداث Windows المنشورة خلال الفترة من الوقت والتاريخ المحددين إلى لحظة تشغيل المهمة.

يسمح Kaspersky Endpoint Security بتحديد تاريخ نشر الحدث كقيمة الوسيطة. ويتم إجراء الفحص فقط للأحداث المنشورة في سجل أحداث Windows بعد التاريخ المحدد وقبل تشغيل الفحص.

إذا لم يتم تحديد الوسيطة، يفحص Kaspersky Endpoint Security الأحداث بأي تاريخ نشر. لا يمكن تحرير إعداد TaskSettings::BaseSettings::EventLogItem::datetime.‏

يُستخدم الإعداد فقط في حالة وصف مستند EventLogItem IOC في ملف IOC المقدم للفحص.

‎/channel=<list of channels>‎

قائمة بأسماء القنوات (السجل) التي تريد إجراء فحص IOC لها.

في حالة تحديد الوسيطة، يفحص Kaspersky Endpoint Security السجلات المنشورة في السجلات المحددة. ويجب أن يحتوي مستند IOC على شرط EventLogItem الموضح.

يتم تحديد اسم السجل كسلسلة وفقًا لاسم السجل (القناة) المحدد في خصائص السجل (معلمة الاسم الكامل) أو في خصائص الحدث (المعلمة ‎<Channel></Channel>‎ في مخطط xml للحدث). يمكنك تحديد قنوات متعددة مفصولة بمسافات.

إذا لم يتم تحديد الوسيطة، يفحص Kaspersky Endpoint Security السجلات بحثًا عن القنوات Application وSystem وSecurity.‏

‎/files=on|off

تحليل بيانات الملف عند إجراء فحص IOC (شرط FileItem).‏

إذا كانت قيمة الوسيط off، لا يحلل Kaspersky Endpoint Security بيانات الملف. إذا كان ملف IOC يحتوي على شروط مستند FileItem IOC، فسيتم تجاهلها (يتم اكتشافها على أنها غير متطابقة).

إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات الملف فقط إذا كان مستند FileItem IOC موصوفًا في ملف IOC المقدم للفحص.

‎/drives=<all|system|critical|custom>‎

ضبط نطاق فحص IOC عند تحليل البيانات لمستند FileItem IOC.‏

يمكنك تعيين القيم التالية لنطاق الفحص:

  • <all> لجميع نطاقات الملفات المتاحة.
  • <system> للملفات الموجودة في المجلدات حيث تم تثبيت نظام التشغيل.
  • <critical> للملفات المؤقتة في مجلدات المستخدم والنظام.
  • <custom> للملفات في النطاقات المعرفة بواسطة المستخدم (‎/scope=<list of folders to scan>‎).‏

إذا لم يتم تحديد الوسيطة، يتم إجراء الفحص للمناطق الحرجة.

‎/excludes=<list of exclusions>‎

تعيين نطاق الاستثناء عند تحليل البيانات لمستند FileItem IOC.‏ يمكنك تحديد مسارات متعددة مفصولة بمسافات.

‎/scope=<list of folders to scan>‎

نطاق فحص IOC المحدد بواسطة المستخدم عند تحليل البيانات لمستند FileItem IOC ‏(‎/drives=custom‎)‏. يمكنك تحديد مسارات متعددة مفصولة بمسافات.

قيم إرجاع الأمر:

في حالة تنفيذ الأمر بنجاح (قيمة الإرجاع 0) وتم اكشاف مؤشرات اختراق على طول الطريق، يُخرج Kaspersky Endpoint Security معلومات نتائج المهمة التالية إلى سطر الأوامر:

Uuid

معرف ملف IOC من رأس بنية ملف IOC ‏(علامة ‎<ioc id="">‎)‏

الاسم

وصف ملف IOC من رأس بنية ملف IOC ‏(علامة ‎<description></description>‎)‏

Matched Indicator Items

قائمة معرفات جميع المؤشرات المطابقة.

Matched objects

البيانات الخاصة بكل مستند IOC التي تم العثور على تطابق لها.

أعلى الصفحة