執行掃描查找洩露指示器 (IOC) 工作。洩露指示器 (IOC)是一個物件或者活動的資料集合,表明對電腦的未經授權存取(資料洩露)。例如,許多登入系統的不成功嘗試可以構成一個洩露指示器。“IOC 掃描”工作可發現電腦上的洩露指示器並採取威脅回應措施。
指令語法
IOCSCAN <IOC 檔案的完整路徑>|/path=<IOC 檔案資料夾的路徑> [/process=on|off] [/hint=<處理程序的可執行檔的完整路徑|完整檔案路徑>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<事件發佈日期>] [/channels=<list of channels>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<排除項目清單>][/scope=<要掃描的資料夾清單>>]
IOC 檔案 |
|
|
您想要用於掃描的 IOC 檔案的完整路徑。您可以指定多個 IOC 檔案,之間由空格分開。輸入 IOC 檔案的完整路徑時不得有 / 例如, |
|
您想要用於掃描的包含 IOC 檔案的資料夾路徑。IOC 檔案是包含應用程式試圖匹配以計數偵測的指示器集合的檔案。IOC 檔案必須符合 OpenIOC 標準。 例如, |
用於 IOC 掃描的資料類型 |
|
|
執行 IOC 掃描時分析處理程序資料(ProcessItem 字詞)。 如果引數值為 如果未指定引數,則僅當 ProcessItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析處理程序資料。 |
|
執行 IOC 掃描時分析檔案資料(ProcessItem 和 FileItem 字詞)。 您可以採用以下方式之一選擇檔案:
|
|
執行 IOC 掃描時分析 Windows 登錄檔資料(RegistryItem 字詞)。 如果引數值為 如果未指定引數,則僅當 RegistryItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析 Windows 登錄檔資料。 對於 RegistryItem 資料類型,Kaspersky Endpoint Security 會掃描一個登錄機碼集合。 |
|
執行 IOC 掃描時分析本機 DNS 快取中的記錄相關資料(DnsEntryItem 字詞)。 如果引數值為 如果未指定引數,則僅當 DnsEntryItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析本機 DNS 快取。 |
|
執行 IOC 掃描時分析本機 ARP 表格中的記錄相關資料(ArpEntryItem 字詞)。 如果引數值為 如果未指定引數,則僅當 ArpEntryItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析 ARP 表格。 |
|
執行 IOC 掃描時分析開啟用來監聽的連接埠相關資料(PortItem 字詞)。 如果引數值為 如果未指定引數,則僅當 PortItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析活動連線表格。 |
|
執行 IOC 掃描時分析安裝在裝置上的服務相關資料(ServiceItem 字詞)。 如果引數值為 如果未指定引數,則僅當 ServiceItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析服務資料。 |
|
執行 IOC 掃描時分析環境資料(SystemInfoItem 字詞)。 如果引數值為 如果未指定引數,則僅當 SystemInfoItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析環境資料。 |
|
執行 IOC 掃描時分析使用者相關資料(UserItem 字詞)。 如果引數值為 如果未指定引數,則僅當 UserItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析在系統中建立的使用者相關資料。 |
|
執行 IOC 掃描時分析磁碟區相關資料(VolumeItem 字詞)。 如果引數值為 如果未指定引數,則僅當 VolumeItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析磁碟區資料。 |
|
執行 IOC 掃描時分析 Windows 事件日誌中的記錄相關資料(EventLogItem 字詞)。 如果引數值為 如果未指定引數,則僅當 EventLogItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析 Windows 事件日誌。 |
|
當確定相應 IOC 文件的 IOC 掃描範圍時,請考慮事件在 Windows 事件日誌中發佈的日期。 當執行 IOC 掃描時,Kaspersky Endpoint Security 會掃描從指定時間和日期到執行工作時這段期間內發佈的 Windows 事件日誌。 Kaspersky Endpoint Security 允許將事件發佈日期指定為引數值。僅對指定日期後和執行掃描前在 Windows 事件日誌中發佈的事件進行掃描。 如果未指定引數,Kaspersky Endpoint Security 會掃描具有任何發佈日期的事件。TaskSettings::BaseSettings::EventLogItem::datetime 設定不可編輯。 設定只有當 EventLogItem IOC 文件在供掃描的 IOC 檔案中得到說明時才使用。 |
|
您想要為其進行 IOC 掃描的通道清單 (log) 名稱。 如果指定了引數,Kaspersky Endpoint Security 會掃描發佈在指定日誌中的記錄。IOC 文件必須說明 EventLogItem 字詞。 日誌名稱被根據日誌內容(完整名稱參數)或者事件內容(事件的 xml 架構中的 <Channel></Channel> 參數)中指定的日誌名稱(通道)指定為字串。您可以指定多個通道,之間由空格分開。 如果未指定引數,則 Kaspersky Endpoint Security 會掃描通道 |
|
執行 IOC 掃描時分析檔案資料(FileItem 字詞)。 如果引數值為 如果未指定引數,則僅當 FileItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析檔案資料。 |
|
設定分析 FileItem IOC 文件的資料時的 IOC 掃描範圍。 您可以為掃描範圍設定以下值:
如果未指定引數,則為關鍵領域進行掃描。 |
|
設定分析 FileItem IOC 文件的資料時的排除範圍。您可以指定多個路徑,之間由空格分開。 |
|
分析 FileItem IOC 文件的資料時的使用者定義 IOC 掃描範圍 ( |
指令返回值:
-1
意味著指令不受安裝在裝置上的 Kaspersky Endpoint Agent 版本支援。0
意味著指令已成功執行。1
意味著強制引數沒有傳遞給指令。2
意味著發生了一般錯誤。4
意味著有語法錯誤。如果指令得到成功執行(返回值0
)且順便偵測到了洩露指示器,Kaspersky Endpoint Security 會將以下工作結果資訊輸出到指令行:
|
來自 IOC 檔案結構標頭的 IOC 檔案 ID( |
|
來自 IOC 檔案結構標頭的 IOC 檔案說明( |
|
所有匹配指示器的 ID 清單。 |
|
對其具有匹配的每個 IOC 文件的資料。 |