IOCSCAN. Analizar en busca de indicadores de compromiso (IOC)

Ejecute la tarea Analizar en busca de indicadores de compromiso (IOC). Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta ante amenazas.

Sintaxis del comando

IOCSCAN <ruta completa al archivo de IOC>|/path=<ruta a la carpeta de los archivos de IOC> [/process=on|off] [/hint=<ruta completa al archivo ejecutable de un proceso|ruta completa del archivo>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<fecha de publicación del evento>] [/channels=<lista de canales>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<lista de exclusiones>][/scope=<lista de carpetas para analizar>]

Archivos de IOC

 

<ruta completa al archivo de IOC>

Ruta completa al archivo de IOC que desea utilizar para analizar. Puede especificar varios archivos de IOC separados por espacios. La ruta completa al archivo de IOC debe ingresarse sin el argumento /path.

Por ejemplo, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<ruta a la carpeta con archivos de IOC>

Ruta a la carpeta con archivos de IOC que desea usar para analizar. Los Archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos de IOC deben cumplir con el estándar OpenIOC.

Por ejemplo, C:\Users\Admin\Desktop\IOC

Tipo de datos para análisis de IOC

 

/process=on|off

Analice los datos del proceso al realizar el análisis de IOC (término ProcessItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los procesos que se ejecutan en el equipo al realizar el análisis. Si el archivo de IOC contiene términos de IOC del documento de IOC ProcessItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del proceso solo si el documento de IOC de ProcessItem se describe en el archivo de IOC que se proporciona para el análisis.

/hint=<ruta completa al archivo ejecutable del proceso|ruta completa al archivo>

Analice los datos del archivo al realizar el análisis de IOC (términos ProcessItem y FileItem).

Puede seleccionar un archivo de las siguientes maneras:

  • <ruta completa al archivo ejecutable del proceso> - ProcessItem;
  • <ruta completa al archivo> - FileItem.

/registry=on|off

Analice los datos del registro de Windows al realizar un análisis de IOC (término RegistryItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza el registro de Windows. Si el archivo de IOC contiene términos del documento de IOC de RegistryItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de Windows solo si el documento de IOC de RegistryItem se describe en el archivo de IOC que se proporciona para el análisis.

Para el tipo de datos RegistryItem, Kaspersky Endpoint Security analiza un conjunto de claves de registro.

/dnsentry=on|off

Analice los datos sobre los registros en la caché de DNS local al realizar el análisis de IOC (término DnsEntryItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza la caché de DNS local. Si el archivo de IOC contiene términos del documento de IOC de DnsEntryItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza la caché de DNS local solo si el documento de IOC de DnsEntryItem se describe en el archivo de IOC que se proporciona para el análisis.

/arpentry=on|off

Analice los datos sobre los registros en la tabla ARP al realizar el análisis de IOC (término ArpEntryItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza la tabla ARP. Si el archivo de IOC contiene términos del documento de IOC de ArpEntryItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla ARP solo si el documento de IOC de ArpEntryItem se describe en el archivo de IOC que se proporciona para el análisis.

/ports=on|off

Analice los datos sobre los puertos abiertos para escuchar al realizar el análisis de IOC (término PortItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza la tabla de conexiones activas en el dispositivo. Si el archivo de IOC contiene términos del documento de IOC de PortItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla de conexiones activas solo si el documento de IOC de PortItem se describe en el archivo de IOC que se proporciona para el análisis.

/services=on|off

Analice los datos sobre los servicios instalados en el dispositivo al realizar el análisis de IOC (término ServiceItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos sobre los servicios instalados en el dispositivo. Si el archivo de IOC contiene términos del documento de IOC de ServiceItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del servicio solo si el documento de IOC de ServiceItem se describe en el archivo de IOC que se proporciona para el análisis.

/system=on|off

Analice los datos del entorno al realizar el análisis de IOC (término SystemInfoItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos del entorno. Si el archivo de IOC contiene términos del documento de IOC de SystemInfoItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del entorno solo si el documento de IOC de SystemInfoItem se describe en el archivo de IOC que se proporciona para el análisis.

/users=on|off

Analice los datos sobre los usuarios al realizar el análisis de IOC (término UserItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos sobre los usuarios creados en el sistema. Si el archivo de IOC contiene términos del documento de IOC de UserItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos sobre los usuarios creados en el sistema solo si el documento de IOC de UserItem se describe en el archivo de IOC que se proporciona para el análisis.

/volumes=on|off

Analice datos sobre volúmenes al realizar el análisis de IOC (término VolumeItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos sobre los volúmenes del dispositivo. Si el archivo de IOC contiene términos del documento de IOC de VolumeItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos sobre los volúmenes solo si el documento de IOC de VolumeItem se describe en el archivo de IOC que se proporciona para el análisis.

/eventlog=on|off

Analice los datos sobre los registros en el registro de eventos de Windows al realizar el análisis de IOC (término EventLogItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los registros del registro de eventos de Windows. Si el archivo de IOC contiene términos del documento de IOC de EventLogItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de eventos de Windows si el documento de IOC de EventLogItem se describe en el archivo de IOC que se proporciona para el análisis.

/datetime=<fecha de publicación del evento>

Tenga en cuenta la fecha en la que se publicó el evento en el registro de eventos de Windows al determinar el alcance del análisis de IOC para el documento de IOC correspondiente.

Al realizar un análisis de IOC, Kaspersky Endpoint Security analiza las entradas del registro de eventos de Windows publicadas durante el período desde la fecha y hora especificadas hasta el momento en que se ejecuta la tarea.

Kaspersky Endpoint Security permite especificar la fecha de publicación del evento como valor del argumento. El análisis se realiza solo para los eventos publicados en el registro de eventos de Windows después de la fecha especificada y antes de que se ejecute el análisis.

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los eventos con cualquier fecha de publicación. La configuración de TaskSettings::BaseSettings::EventLogItem::datetime no se puede editar.

La configuración se utiliza solo si el documento de IOC de EventLogItem se describe en el archivo de IOC proporcionado para el análisis.

/channel=<lista de canales>

Lista de nombres de canales (registros) para los que desea realizar un análisis de IOC.

Si se especifica el argumento, Kaspersky Endpoint Security analiza los registros publicados en los registros especificados. El documento de IOC debe tener descrito el término EventLogItem.

El nombre del registro se especifica como una cadena de acuerdo con el nombre del registro (canal) especificado en las propiedades del registro (el parámetro Nombre completo) o en las propiedades del evento (el parámetro <Channel></Channel> en el esquema xml del evento). Puede especificar varios canales separados por espacios.

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los registros en busca de canales Aplicación, Sistema, Seguridad.

/files=on|off

Analice los datos del archivo al realizar el análisis de IOC (término FileItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos de los archivos. Si el archivo de IOC contiene términos del documento de IOC de FileItem, se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del archivo solo si el documento de IOC de FileItem se describe en el archivo de IOC que se proporciona para el análisis.

/drives=<all|system|critical|custom>

Establezca el alcance del análisis de IOC al analizar los datos para el documento de IOC de FileItem.

Puede establecer los siguientes valores para el alcance del análisis:

  • <all> para todos los alcances de archivo disponibles.
  • <system> para archivos en carpetas donde está instalado el sistema operativo.
  • <critical> para archivos temporales en carpetas de usuario y del sistema.
  • <custom> para archivos en alcances definidos por el usuario (/scope =<lista de carpetas para analizar>).

Si no se especifica el argumento, el análisis se realiza para áreas críticas.

/excludes=<lista de exclusiones>

Establezca el alcance de la exclusión al analizar los datos del documento de IOC de FileItem. Puede especificar varias rutas separadas por espacios.

/scope=<lista de carpetas para analizar>

Alcance del análisis de IOC definido por el usuario al analizar datos para el documento de IOC de FileItem (/drives=custom). Puede especificar varias rutas separadas por espacios.

Valores de retorno del comando:

Si el comando se ejecutó con éxito (valor de retorno 0) y se detectaron indicadores de compromiso en el camino, Kaspersky Endpoint Security envía la siguiente información del resultado de la tarea a la línea de comandos:

Uuid

Id. del archivo de IOC del encabezado de la estructura del archivo de IOC (la etiqueta <ioc id="">)

Nombre

Descripción del archivo de IOC del encabezado de la estructura del archivo de IOC (la etiqueta <description></description>)

Elementos de indicador coincidentes

Lista de Id. de todos los indicadores coincidentes.

Objetos coincidentes

Datos para cada documento de IOC para el que hubo una coincidencia.

Inicio de página