Ejecute la tarea Analizar en busca de indicadores de compromiso (IOC). Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta ante amenazas.
Sintaxis del comando
IOCSCAN <ruta completa al archivo de IOC>|/path=<ruta a la carpeta de los archivos de IOC> [/process=on|off] [/hint=<ruta completa al archivo ejecutable de un proceso|ruta completa del archivo>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<fecha de publicación del evento>] [/channels=<lista de canales>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<lista de exclusiones>][/scope=<lista de carpetas para analizar>]
Archivos de IOC |
|
|
Ruta completa al archivo de IOC que desea utilizar para analizar. Puede especificar varios archivos de IOC separados por espacios. La ruta completa al archivo de IOC debe ingresarse sin el argumento / Por ejemplo, |
|
Ruta a la carpeta con archivos de IOC que desea usar para analizar. Los Archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos de IOC deben cumplir con el estándar OpenIOC. Por ejemplo, |
Tipo de datos para análisis de IOC |
|
|
Analice los datos del proceso al realizar el análisis de IOC (término ProcessItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del proceso solo si el documento de IOC de ProcessItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos del archivo al realizar el análisis de IOC (términos ProcessItem y FileItem). Puede seleccionar un archivo de las siguientes maneras:
|
|
Analice los datos del registro de Windows al realizar un análisis de IOC (término RegistryItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de Windows solo si el documento de IOC de RegistryItem se describe en el archivo de IOC que se proporciona para el análisis. Para el tipo de datos RegistryItem, Kaspersky Endpoint Security analiza un conjunto de claves de registro. |
|
Analice los datos sobre los registros en la caché de DNS local al realizar el análisis de IOC (término DnsEntryItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza la caché de DNS local solo si el documento de IOC de DnsEntryItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los registros en la tabla ARP al realizar el análisis de IOC (término ArpEntryItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla ARP solo si el documento de IOC de ArpEntryItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los puertos abiertos para escuchar al realizar el análisis de IOC (término PortItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla de conexiones activas solo si el documento de IOC de PortItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los servicios instalados en el dispositivo al realizar el análisis de IOC (término ServiceItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del servicio solo si el documento de IOC de ServiceItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos del entorno al realizar el análisis de IOC (término SystemInfoItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del entorno solo si el documento de IOC de SystemInfoItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los usuarios al realizar el análisis de IOC (término UserItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos sobre los usuarios creados en el sistema solo si el documento de IOC de UserItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice datos sobre volúmenes al realizar el análisis de IOC (término VolumeItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos sobre los volúmenes solo si el documento de IOC de VolumeItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los registros en el registro de eventos de Windows al realizar el análisis de IOC (término EventLogItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de eventos de Windows si el documento de IOC de EventLogItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Tenga en cuenta la fecha en la que se publicó el evento en el registro de eventos de Windows al determinar el alcance del análisis de IOC para el documento de IOC correspondiente. Al realizar un análisis de IOC, Kaspersky Endpoint Security analiza las entradas del registro de eventos de Windows publicadas durante el período desde la fecha y hora especificadas hasta el momento en que se ejecuta la tarea. Kaspersky Endpoint Security permite especificar la fecha de publicación del evento como valor del argumento. El análisis se realiza solo para los eventos publicados en el registro de eventos de Windows después de la fecha especificada y antes de que se ejecute el análisis. Si no se especifica el argumento, Kaspersky Endpoint Security analiza los eventos con cualquier fecha de publicación. La configuración de TaskSettings::BaseSettings::EventLogItem::datetime no se puede editar. La configuración se utiliza solo si el documento de IOC de EventLogItem se describe en el archivo de IOC proporcionado para el análisis. |
|
Lista de nombres de canales (registros) para los que desea realizar un análisis de IOC. Si se especifica el argumento, Kaspersky Endpoint Security analiza los registros publicados en los registros especificados. El documento de IOC debe tener descrito el término EventLogItem. El nombre del registro se especifica como una cadena de acuerdo con el nombre del registro (canal) especificado en las propiedades del registro (el parámetro Nombre completo) o en las propiedades del evento (el parámetro <Channel></Channel> en el esquema xml del evento). Puede especificar varios canales separados por espacios. Si no se especifica el argumento, Kaspersky Endpoint Security analiza los registros en busca de canales |
|
Analice los datos del archivo al realizar el análisis de IOC (término FileItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del archivo solo si el documento de IOC de FileItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Establezca el alcance del análisis de IOC al analizar los datos para el documento de IOC de FileItem. Puede establecer los siguientes valores para el alcance del análisis:
Si no se especifica el argumento, el análisis se realiza para áreas críticas. |
|
Establezca el alcance de la exclusión al analizar los datos del documento de IOC de FileItem. Puede especificar varias rutas separadas por espacios. |
|
Alcance del análisis de IOC definido por el usuario al analizar datos para el documento de IOC de FileItem ( |
Valores de retorno del comando:
-1
significa que el comando no es compatible con la versión de la aplicación que está instalada en el equipo.0
significa que el comando se ejecutó correctamente.1
significa que no se pasó un argumento obligatorio al comando.2
significa que ocurrió un error general.4
significa que hubo un error de sintaxis.Si el comando se ejecutó con éxito (valor de retorno 0
) y se detectaron indicadores de compromiso en el camino, Kaspersky Endpoint Security envía la siguiente información del resultado de la tarea a la línea de comandos:
|
Id. del archivo de IOC del encabezado de la estructura del archivo de IOC (la etiqueta |
|
Descripción del archivo de IOC del encabezado de la estructura del archivo de IOC (la etiqueta |
|
Lista de Id. de todos los indicadores coincidentes. |
|
Datos para cada documento de IOC para el que hubo una coincidencia. |