Execute a verificação para indicadores de comprometimento (IOC). Um Indicador de compromisso (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de compromisso. As tarefas de verificação de IOC permitem localizar indicadores de comprometimento no computador e tomar as medidas de resposta a ameaças.
Sintaxe de comando
IOCSCAN <caminho completo para o arquivo IOC>|/path=<caminho para a pasta dos arquivos IOC> [/process=on|off] [/hint=<caminho completo para o arquivo executável do processo|caminho completo para o arquivo>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<data da publicação do evento>] [/channels=<lista de canais>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<lista de exclusões>][/scope=<lista de pastas para verificar>]
Arquivos IOC |
|
|
Caminho completo para o arquivo IOC que você deseja usar para verificação. É possível especificar vários arquivos IOC separados por espaços. O caminho completo para o arquivo IOC deve ser inserido sem o argumento Por exemplo, |
|
Caminho para a pasta com os arquivos IOC que deseja usar para verificação. Arquivos IOC são arquivos contendo os conjuntos de indicadores que o aplicativo tenta combinar para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC. Por exemplo, |
Tipo de dados para a verificação IOC |
|
|
Análise de dados do processo ao executar a verificação de IOC (termo ProcessItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do processo apenas se o documento ProcessItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados do arquivo ao executar a verificação de IOC (termos ProcessItem e FileItem). É possível selecionar um arquivo em uma das seguintes formas:
|
|
Análise de dados de registro do Windows ao executar uma verificação de IOC (termo RegistryItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa o registro do Windows apenas se o documento RegistryItem IOC estiver descrito no arquivo IOC fornecido para a verificação. Para o tipo de dados RegistryItem, o Kaspersky Endpoint Security verifica um conjunto de chaves do registro. |
|
Análise de dados sobre os registros no cache DNS local ao executar a verificação de IOC (termo DnsEntryItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa o cache DNS local apenas se o documento DnsEntryItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados sobre os registros na tabela ARP ao realizar a verificação de IOC (termo ArpEntryItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa a tabela ARP apenas se o documento ArpEntryItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados sobre as portas abertas para escuta ao executar a verificação de IOC (termo PortItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa a tabela de conexões ativas apenas se o documento PortItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados sobre os serviços instalados no dispositivo ao executar a verificação de IOC (termo ServiceItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do serviço apenas se o documento ServiceItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados do ambiente ao executar a verificação de IOC (termo SystemInfoItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do ambiente apenas se o documento SystemInfoItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados sobre os usuários ao realizar a verificação de IOC (termo UserItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados sobre os usuários criados no sistema apenas se o documento UserItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados sobre os volumes ao realizar a verificação de IOC (termo VolumeItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do volume apenas se o documento VolumeItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Análise de dados sobre os registros no log de eventos do Windows ao executar a verificação de IOC (termo EventLogItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa o log de eventos do Windows se o documento EventLogItem IOC estiver descrito no arquivo IOC fornecido para a verificação. |
|
Leva em consideração a data em que o evento foi publicado no log de eventos do Windows ao determinar o escopo da verificação de IOC para o documento IOC correspondente. Ao executar uma verificação de IOC, o Kaspersky Endpoint Security verifica as entradas do log de eventos do Windows publicadas durante o período da hora e data especificadas até o momento em que a tarefa é executada. O Kaspersky Endpoint Security permite especificar a data de publicação do evento como o valor do argumento. A verificação é executada apenas para os eventos publicados no log de eventos do Windows após a data especificada e antes da verificação ser executada. Caso o argumento não seja especificado, o Kaspersky Endpoint Security verifica os eventos com qualquer data de publicação. A configuração TaskSettings::BaseSettings::EventLogItem::datetime não pode ser editada. A configuração é usada apenas se o documento IOC EventLogItem for descrito no arquivo IOC fornecido para a verificação. |
|
Lista de nomes de canais (log) para os quais deseja realizar uma verificação de IOC. Caso o argumento seja especificado, o Kaspersky Endpoint Security verifica os registros publicados nos logs especificados. O documento IOC deve ter o termo EventLogItem descrito. O nome do log é especificado como uma string de acordo com o nome do log (canal) especificado nas propriedades do log (o parâmetro Full Name) ou nas propriedades do evento (o parâmetro <Channel></Channel> no esquema xml do evento). É possível especificar vários canais separados por espaços. Caso o argumento não seja especificado, o Kaspersky Endpoint Security verifica os registros dos canais |
|
Análise de dados do arquivo ao executar a verificação de IOC (termo FileItem). Caso o valor do argumento seja Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do arquivo apenas se o documento IOC FileItem estiver descrito no arquivo IOC fornecido para a verificação. |
|
Define o escopo da verificação de IOC ao analisar os dados para o documento FileItem IOC. Não é possível definir os seguintes valores para o escopo da verificação:
Caso o argumento não seja especificado, a verificação será executada nas áreas críticas. |
|
Define o escopo de exclusão ao analisar dados para o documento FileItem IOC. É possível especificar vários caminhos separados por espaços. |
|
Escopo da verificação de IOC definido pelo usuário ao analisar os dados para o documento FileItem IOC ( |
Valores de retorno do comando:
-1
significa que o comando não é compatível com a versão do aplicativo instalado no computador.0
significa que o comando foi executado com sucesso.1
significa que um argumento obrigatório não foi passado para o comando.2
significa que ocorreu um erro geral.4
significa que houve um erro de sintaxe.Caso o comando seja executado com sucesso (valor de retorno 0
) e os indicadores de comprometimento sejam detectados ao longo do caminho, o Kaspersky Endpoint Security envia as seguintes informações de resultado da tarefa para a linha de comando:
|
ID do arquivo IOC do cabeçalho da estrutura do arquivo IOC (a tag |
|
Descrição do arquivo IOC a partir do cabeçalho da estrutura do arquivo IOC (a tag |
|
Lista de IDs de todos os indicadores correspondentes. |
|
Dados para cada documento IOC para o qual houve uma correspondência. |