IOC 扫描。妥协的指标 (IOC) 扫描

运行“妥协的指标 (IOC) 扫描”任务。妥协的指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问计算机(数据泄露)。例如,许多登录系统的尝试都不成功,这可能构成妥协的指标。IOC 扫描任务允许在计算机上查找妥协的指标,并采取威胁响应措施。

命令语法

IOCSCAN <IOC 文件完整路径>|/path=<IOC 文件的文件夹路径> [/process=on|off] [/hint=<进程可执行文件的完整路径|完整文件路径>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<事件发布日期>] [/channels=<通道列表>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<排除项列表>][/scope=<扫描的文件夹列表>]

IOC 文件

 

<IOC 文件的完整路径>

您要用于扫描的 IOC 文件的完整路径。您可以指定多个由空格分隔的 IOC 文件。IOC 文件的完整路径不可以使用 /path 参数输入。

例如,C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<IOC 文件的文件夹路径>

您要用于扫描的 IOC 文件的文件夹路径。IOC 文件是包含应用程序尝试匹配以计数检测的指标集的文件。IOC 文件必须符合 OpenIOC 标准

例如,C:\Users\Admin\Desktop\IOC

用于 IOC 扫描的数据类型

 

/process=on|off

执行 IOC 扫描时分析进程数据(ProcessItem 术语)。

如果参数的值为“off”,则在执行扫描时,Kaspersky Endpoint Security 不会分析计算机上运行的进程。如果 IOC 文件包含 ProcessItem IOC 文档的 IOC 术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 ProcessItem IOC 文档时,Kaspersky Endpoint Security 才会分析进程数据。

/hint=<进程可执行文件的完整路径|文件的完整路径>

执行 IOC 扫描时分析文件数据(ProcessItem 和 FileItem 术语)。

您可以采用以下方式之一选择文件:

  • <进程可执行文件的完整路径> – ProcessItem;
  • <文件的完整路径> – FileItem。

/registry=on|off

执行 IOC 扫描时分析 Windows 注册表数据(RegistryItem 术语)。

如果参数的值为off,Kaspersky Endpoint Security 不会扫描 Windows 注册表。如果 IOC 文件包含 RegistryItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 RegistryItem IOC 文档时,Kaspersky Endpoint Security 才会分析 Windows 注册表。

对于数据类型 RegistryItem,Kaspersky Endpoint Security 扫描一组注册表键集合

/dnsentry=on|off

执行 IOC扫描(DnsEntryItem 术语)时,分析有关本地 DNS 缓存中记录的数据。

如果参数的值为off,Kaspersky Endpoint Security 不会扫描本地 DNS 缓存。如果 IOC 文件包含 DnsEntryItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 DnsEntryItem IOC 文档时,Kaspersky Endpoint Security 才会分析本地 DNS 缓存。

/arpentry=on|off

执行 IOC扫描(ArpEntryItem术语)时,分析有关 ARP 表中记录的数据。

如果参数的值为off,Kaspersky Endpoint Security 不会扫描 ARP 表。如果 IOC 文件包含 ArpEntryItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 ArpEntryItem IOC 文档时,Kaspersky Endpoint Security 才会分析 ARP 表。

/ports=on|off

分析有关在执行 IOC 扫描时打开以进行侦听的端口的数据(PortItem 术语)。

如果参数的值为off,Kaspersky Endpoint Security 不会扫描设备上的活动连接表。如果 IOC 文件包含 PortItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 PortItem IOC 文档时,Kaspersky Endpoint Security 才会分析设备上的活动连接表。

/services=on|off

执行 IOC 扫描(ServiceItem 术语)时,分析有关设备上安装的服务的数据。

如果参数的值为off,Kaspersky Endpoint Security 不会扫描设备上安装的服务的数据。如果 IOC 文件包含 ServiceItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 ServiceItem IOC 文档时,Kaspersky Endpoint Security 才会分析服务数据。

/system=on|off

执行 IOC 扫描时分析环境数据(SystemInfoItem 术语)。

如果参数的值为off,Kaspersky Endpoint Security 不会分析环境数据。如果 IOC 文件包含 SystemInfoItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 SystemInfoItem IOC 文档时,Kaspersky Endpoint Security 才会分析环境数据。

/users=on|off

执行 IOC 扫描时分析用户数据(UserItem 术语)。

如果参数的值为off,Kaspersky Endpoint Security 不会分析系统中创建的用户的数据。如果 IOC 文件包含 UserItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 UserItem IOC 文档时,Kaspersky Endpoint Security 才会分析系统中创建的用户的数据。

/volumes=on|off

执行 IOC 扫描时分析卷数据(VolumeItem 术语)。

如果参数的值为off,Kaspersky Endpoint Security 不会扫描设备上的卷的数据。如果 IOC 文件包含 VolumeItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 VolumeItem IOC 文档时,Kaspersky Endpoint Security 才会分析卷数据。

/eventlog=on|off

执行 IOC扫描(EventLogItem 术语)时,分析有关 Windows 事件日志中的记录的数据。

如果参数的值为off,Kaspersky Endpoint Security 不会扫描 Windows 事件日志中的记录。如果 IOC 文件包含 EventLogItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时,Kaspersky Endpoint Security 才会分析 Windows 事件日志。

/datetime=< 事件发布日期>

在确定相应 IOC 文档的 IOC 扫描范围时,请考虑事件在 Windows 事件日志中发布的日期。

在执行 IOC 扫描时,Kaspersky Endpoint Security 会扫描从指定时间和日期到任务运行期间发布的 Windows 事件日志条目。

Kaspersky Endpoint Security 允许将事件发布日期指定为参数值。仅对在指定日期之后和运行扫描之前在 Windows 事件日志中发布的事件执行扫描。

如果未指定参数,Kaspersky Endpoint Security 将扫描具有任何发布日期的事件。无法编辑 TaskSettings::BaseSettings::EventLogItem::datetime 设置。

仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时,才使用该设置。

/channel=< 通道列表>

要对其执行 IOC 扫描的通道(日志)名称列表。

如果指定了参数,Kaspersky Endpoint Security 将扫描在指定日志中发布的记录。IOC 文件必须描述 EventLogItem 术语。

根据日志属性(全名参数)或事件属性(事件 xml 架构中的 <Channel></Channel> 参数)中指定的日志(通道)名称,将日志名称指定为字符串。您可以指定多个由空格分隔的通道。

如果未指定参数,Kaspersky Endpoint Security 将扫描记录中的应用程序系统安全通道。

/files=on|off

执行 IOC 扫描时分析文件数据(FileItem 术语)。

如果参数的值为off,Kaspersky Endpoint Security 不会分析文件数据。如果 IOC 文件包含 FileItem IOC 文档术语,则忽略这些术语(检测为不匹配)。

如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 FileItem IOC 文档时,Kaspersky Endpoint Security 才会分析文件数据。

/drives=<all|system|critical|custom>

在分析 FileItem IOC 文档的数据时设置 IOC 扫描范围。

您可以为扫描范围设置以下值:

  • <all> 用于所有可用的文件范围。
  • <system> 用于安装操作系统的文件夹中的文件。
  • <critical> 用于用户和系统文件夹中的临时文件。
  • <custom> 用于用户定义的范围 (/scope=<要扫描的文件夹列表>)。

如果未指定参数,则对关键区域执行扫描。

/excludes=< 排除项列表>

在分析 FileItem IOC 文档的数据时设置排除范围。您可以指定多个由空格分隔的路径。

/scope=< 要扫描的文件夹列表>

在分析 FileItem IOC 文档的数据时设置的用户定义的 IOC 扫描范围 (/drives=custom)。您可以指定多个由空格分隔的路径。

命令返回值:

如果命令成功执行(返回值 0),并且在执行过程中检测到妥协的指标,Kaspersky Endpoint Security 将向命令行输出以下任务结果信息:

Uuid

IOC 文件结构头中的 IOC 文件 ID(<ioc id=""> 标记)

名称

IOC 文件结构头中的 IOC 文件描述(<description></description> 标记)

匹配的指示器条目

所有匹配的指示器 ID 列表。

匹配的对象

与之匹配的每个 IOC 文件的数据。

页面顶部