运行“妥协的指标 (IOC) 扫描”任务。妥协的指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问计算机(数据泄露)。例如,许多登录系统的尝试都不成功,这可能构成妥协的指标。IOC 扫描任务允许在计算机上查找妥协的指标,并采取威胁响应措施。
命令语法
IOCSCAN <IOC 文件完整路径>|/path=<IOC 文件的文件夹路径> [/process=on|off] [/hint=<进程可执行文件的完整路径|完整文件路径>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<事件发布日期>] [/channels=<通道列表>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<排除项列表>][/scope=<扫描的文件夹列表>]
IOC 文件 |
|
|
您要用于扫描的 IOC 文件的完整路径。您可以指定多个由空格分隔的 IOC 文件。IOC 文件的完整路径不可以使用 / 例如, |
|
您要用于扫描的 IOC 文件的文件夹路径。IOC 文件是包含应用程序尝试匹配以计数检测的指标集的文件。IOC 文件必须符合 OpenIOC 标准。 例如, |
用于 IOC 扫描的数据类型 |
|
|
执行 IOC 扫描时分析进程数据(ProcessItem 术语)。 如果参数的值为“ 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 ProcessItem IOC 文档时,Kaspersky Endpoint Security 才会分析进程数据。 |
|
执行 IOC 扫描时分析文件数据(ProcessItem 和 FileItem 术语)。 您可以采用以下方式之一选择文件:
|
|
执行 IOC 扫描时分析 Windows 注册表数据(RegistryItem 术语)。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 RegistryItem IOC 文档时,Kaspersky Endpoint Security 才会分析 Windows 注册表。 对于数据类型 RegistryItem,Kaspersky Endpoint Security 扫描一组注册表键集合。 |
|
执行 IOC扫描(DnsEntryItem 术语)时,分析有关本地 DNS 缓存中记录的数据。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 DnsEntryItem IOC 文档时,Kaspersky Endpoint Security 才会分析本地 DNS 缓存。 |
|
执行 IOC扫描(ArpEntryItem术语)时,分析有关 ARP 表中记录的数据。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 ArpEntryItem IOC 文档时,Kaspersky Endpoint Security 才会分析 ARP 表。 |
|
分析有关在执行 IOC 扫描时打开以进行侦听的端口的数据(PortItem 术语)。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 PortItem IOC 文档时,Kaspersky Endpoint Security 才会分析设备上的活动连接表。 |
|
执行 IOC 扫描(ServiceItem 术语)时,分析有关设备上安装的服务的数据。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 ServiceItem IOC 文档时,Kaspersky Endpoint Security 才会分析服务数据。 |
|
执行 IOC 扫描时分析环境数据(SystemInfoItem 术语)。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 SystemInfoItem IOC 文档时,Kaspersky Endpoint Security 才会分析环境数据。 |
|
执行 IOC 扫描时分析用户数据(UserItem 术语)。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 UserItem IOC 文档时,Kaspersky Endpoint Security 才会分析系统中创建的用户的数据。 |
|
执行 IOC 扫描时分析卷数据(VolumeItem 术语)。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 VolumeItem IOC 文档时,Kaspersky Endpoint Security 才会分析卷数据。 |
|
执行 IOC扫描(EventLogItem 术语)时,分析有关 Windows 事件日志中的记录的数据。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时,Kaspersky Endpoint Security 才会分析 Windows 事件日志。 |
|
在确定相应 IOC 文档的 IOC 扫描范围时,请考虑事件在 Windows 事件日志中发布的日期。 在执行 IOC 扫描时,Kaspersky Endpoint Security 会扫描从指定时间和日期到任务运行期间发布的 Windows 事件日志条目。 Kaspersky Endpoint Security 允许将事件发布日期指定为参数值。仅对在指定日期之后和运行扫描之前在 Windows 事件日志中发布的事件执行扫描。 如果未指定参数,Kaspersky Endpoint Security 将扫描具有任何发布日期的事件。无法编辑 TaskSettings::BaseSettings::EventLogItem::datetime 设置。 仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时,才使用该设置。 |
|
要对其执行 IOC 扫描的通道(日志)名称列表。 如果指定了参数,Kaspersky Endpoint Security 将扫描在指定日志中发布的记录。IOC 文件必须描述 EventLogItem 术语。 根据日志属性(全名参数)或事件属性(事件 xml 架构中的 <Channel></Channel> 参数)中指定的日志(通道)名称,将日志名称指定为字符串。您可以指定多个由空格分隔的通道。 如果未指定参数,Kaspersky Endpoint Security 将扫描记录中的 |
|
执行 IOC 扫描时分析文件数据(FileItem 术语)。 如果参数的值为 如果未指定参数,则仅当为扫描提供的 IOC 文件中描述了 FileItem IOC 文档时,Kaspersky Endpoint Security 才会分析文件数据。 |
|
在分析 FileItem IOC 文档的数据时设置 IOC 扫描范围。 您可以为扫描范围设置以下值:
如果未指定参数,则对关键区域执行扫描。 |
|
在分析 FileItem IOC 文档的数据时设置排除范围。您可以指定多个由空格分隔的路径。 |
|
在分析 FileItem IOC 文档的数据时设置的用户定义的 IOC 扫描范围 ( |
命令返回值:
-1
表示设备上安装的 Kaspersky Endpoint Agent 版本不支持该命令。0
表示命令已成功执行。1
表示未将强制参数传递给命令。2
表示发生一般性错误。4
表示存在语法错误。如果命令成功执行(返回值 0
),并且在执行过程中检测到妥协的指标,Kaspersky Endpoint Security 将向命令行输出以下任务结果信息:
|
IOC 文件结构头中的 IOC 文件 ID( |
|
IOC 文件结构头中的 IOC 文件描述( |
|
所有匹配的指示器 ID 列表。 |
|
与之匹配的每个 IOC 文件的数据。 |