IOCSCAN. Scansione degli indicatori di compromissione (IOC)

Eseguire l'attività Scansione indicatori di compromissione (IOC). Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. Le attività di scansione IOC consentono di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.

Sintassi del comando

IOCSCAN <percorso completo del file IOC>|/path=<percorso della cartella dei file IOC> [/process=on|off] [/hint=<percorso completo del file eseguibiledi un processo|percorso completo del file>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<data di pubblicazione dell'evento>] [/channels=<elenco dei canali>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<elenco delle esclusioni>][/scope=<elenco delle cartelle da sottoporre a scansione>]

File IOC

 

<percorso completo del file IOC>

Percorso completo del file IOC che si desidera utilizzare per la scansione. È possibile specificare più file IOC separati da spazi. Il percorso completo del file IOC deve essere inserito senza l'argomento /path.

Ad esempio, C:\Utenti\Admin\Desktop\IOC\file1.ioc

/path=<percorso della cartella con i file IOC>

Percorso della cartella con i file IOC che si desidera utilizzare per la scansione. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC.

Ad esempio, C:\Utenti\Admin\Desktop\IOC

Tipo di dati per la scansione IOC

 

/process=on|off

Analizza i dati dei processi durante l'esecuzione della scansione IOC (termine ProcessItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non analizza i processi in esecuzione sul computer durante l'esecuzione della scansione. Se il file IOC contiene i termini IOC del documento IOC ProcessItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dei processi solo se il documento IOC ProcessItem è descritto nel file IOC specificato per la scansione.

/hint=<percorso completo del file eseguibile del processo|percorso completo del file>

Analizza i dati dei file durante l'esecuzione della scansione IOC (termini ProcessItem e FileItem).

È possibile selezionare un file in uno dei seguenti modi:

  • <percorso completo del file eseguibile del processo> - ProcessItem;
  • <percorso completo del file> - FileItem.

/registry=on|off

Analizza i dati del registro di sistema di Windows durante l'esecuzione di una scansione IOC (termine RegistryItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione del registro di sistema di Windows. Se il file IOC contiene i termini del documento IOC RegistryItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza il registro di sistema di Windows solo se il documento IOC RegistryItem è descritto nel file IOC specificato per la scansione.

Per il tipo di dati RegistryItem, Kaspersky Endpoint Security esamina una serie di chiavi del Registro di sistema.

/dnsentry=on|off

Analizza i dati sui record nella cache DNS locale durante l'esecuzione della scansione IOC (termine DnsEntryItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione della cache DNS locale. Se il file IOC contiene i termini del documento IOC DnsEntryItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la cache DNS locale solo se il documento IOC DnsEntryItem è descritto nel file IOC specificato per la scansione.

/arpentry=on|off

Analizza i dati sui record nella tabella ARP durante l'esecuzione della scansione IOC (termine ArpEntryItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione della tabella ARP. Se il file IOC contiene i termini del documento IOC ArpEntryItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la tabella ARP solo se il documento IOC ArpEntryItem è descritto nel file IOC specificato per la scansione.

/ports=on|off

Analizza i dati sulle porte aperte per l'ascolto durante l'esecuzione della scansione IOC (termine PortItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione della tabella delle connessioni attive sul dispositivo. Se il file IOC contiene i termini del documento IOC PortItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la tabella delle connessioni attive solo se il documento IOC PortItem è descritto nel file IOC specificato per la scansione.

/services=on|off

Analizza i dati sui servizi installati nel dispositivo durante l'esecuzione della scansione IOC (termine ServiceItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione dei dati sui servizi installati nel dispositivo. Se il file IOC contiene i termini del documento IOC ServiceItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati del servizio solo se il documento ServiceItem IOC è descritto nel file IOC specificato per la scansione.

/system=on|off

Analizza i dati dell'ambiente durante l'esecuzione della scansione IOC (termine SystemInfoItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non analizza i dati dell'ambiente. Se il file IOC contiene i termini del documento IOC SystemInfoItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dell'ambiente solo se il documento IOC SystemInfoItem è descritto nel file IOC specificato per la scansione.

/users=on|off

Analizza i dati sugli utenti durante l'esecuzione della scansione IOC (termine UserItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non analizza i dati sugli utenti creati nel sistema. Se il file IOC contiene i termini del documento IOC UserItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati sugli utenti creati nel sistema solo se il documento IOC UserItem è descritto nel file IOC specificato per la scansione.

/volumes=on|off

Analizza i dati sui volumi durante l'esecuzione della scansione IOC (termine VolumeItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione dei dati sui volumi nel dispositivo. Se il file IOC contiene i termini del documento IOC VolumeItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati del volume solo se il documento IOC VolumeItem è descritto nel file IOC specificato per la scansione.

/eventlog=on|off

Analizza i dati sui record nel registro eventi di Windows durante l'esecuzione della scansione IOC (termine EventLogItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione dei record nel registro eventi di Windows. Se il file IOC contiene i termini del documento IOC EventLogItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza il registro eventi di Windows se il documento IOC EventLogItem è descritto nel file IOC specificato per la scansione.

/datetime=<data di pubblicazione dell'evento>

Prendere in considerazione la data in cui l'evento è stato pubblicato nel registro eventi di Windows quando si determina l'ambito di scansione IOC per il documento IOC corrispondente.

Quando si esegue una scansione IOC, Kaspersky Endpoint Security esegue la scansione delle voci del registro eventi di Windows pubblicate durante il periodo dall'ora e dalla data specificate al momento in cui viene eseguita l'attività.

Kaspersky Endpoint Security consente di specificare la data di pubblicazione dell'evento come valore dell'argomento. La scansione viene eseguita solo per gli eventi pubblicati nel registro eventi di Windows dopo la data specificata e prima dell'esecuzione della scansione.

Se l'argomento non è specificato, Kaspersky Endpoint Security esegue la scansione degli eventi con qualsiasi data di pubblicazione. L'impostazione TaskSettings::BaseSettings::EventLogItem::datetime non può essere modificata.

L'impostazione viene utilizzata solo se il documento IOC EventLogItem è descritto nel file IOC specificato per la scansione.

/Channel=<elenco dei canali>

Elenco dei nomi dei canali (registro) per i quali si desidera eseguire una scansione IOC.

Se l'argomento è specificato, Kaspersky Endpoint Security esegue la scansione dei record pubblicati nei registri specificati. Il documento IOC deve avere il termine EventLogItem descritto.

Il nome del registro viene specificato come stringa in conformità con il nome del registro (canale) specificato nelle proprietà del registro (il parametro Full Name) o nelle proprietà dell'evento (il parametro <Channel></Channel> nello schema XML dell'evento). È possibile specificare più canali separati da spazi.

Se l'argomento non è specificato, Kaspersky Endpoint Security esegue la scansione dei record per i canali Applicazione, Sistema, Sicurezza.

/files=on|off

Analizza i dati del file durante l'esecuzione della scansione IOC (termine FileItem).

Se il valore dell'argomento è off Kaspersky Endpoint Security non analizza i dati dei file. Se il file IOC contiene i termini del documento IOC FileItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dei file solo se il documento IOC FileItem è descritto nel file IOC specificato per la scansione.

/drives=<all|system|critical|custom>

Imposta l'ambito della scansione IOC durante l'analisi dei dati per il documento IOC FileItem.

È possibile impostare i seguenti valori per l'ambito della scansione:

  • <all> per tutti gli ambiti di file disponibili.
  • <system> per i file nelle cartelle in cui è installato il sistema operativo.
  • <critical> per i file temporanei nelle cartelle utente e di sistema.
  • <custom> per i file in ambiti definiti dall'utente (/scope=<elenco delle cartelle da sottoporre a scansione>).

Se l'argomento non è specificato, la scansione viene eseguita per le aree critiche.

/excludes=<elenco delle esclusioni>

Imposta l'ambito di esclusione durante l'analisi dei dati per il documento IOC FileItem. È possibile specificare più percorsi separati da spazi.

/scope=<elenco delle cartelle da sottoporre a scansione>

Ambito della scansione IOC definito dall'utente durante l'analisi dei dati per il documento IOC FileItem (/drives=custom). È possibile specificare più percorsi separati da spazi.

Valori restituiti dal comando:

Se il comando è stato eseguito correttamente (valore restituito 0) e sono stati rilevati indicatori di compromissione sul percorso, Kaspersky Endpoint Security restituisce le seguenti informazioni sui risultati dell'attività alla riga di comando:

Uuid

ID del file IOC dall'intestazione della struttura del file IOC (il tag<ioc id="">)

Nome

Descrizione del file IOC dall'intestazione della struttura del file IOC (il tag <description></description>)

Elementi degli indicatori abbinati

Elenco degli ID di tutti gli indicatori abbinati.

Oggetti abbinati

Dati per ogni documento IOC per cui è stata rilevata una corrispondenza.

Inizio pagina