IOCSCAN. Rechercher d'indicateurs de compromission (IOC)

Exécutez la tâche Recherche d'indicateurs de compromission (IOC). Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l'ordinateur (compromission des données). Par exemple, de nombreuses tentatives infructueuses de se connecter au système peuvent constituer un indicateur de compromission. Les tâches Analyse IOC permettent de trouver des indicateurs de compromission sur l'ordinateur et de prendre des mesures de réponse aux menaces.

Syntaxe de la commande

IOCSCAN <chemin d'accès complet au fichier IOC>|/path=<chemin d'accès au dossier des fichiers IOC> [/process=on|off] [/hint=<chemin d'accès complet au fichier exécutable d'un processus|chemin d'accès complet au fichier>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<date de publication de l'événement>] [/channels=<liste des canaux>] [/files=on|off] [/drives=<tout|système|critique|personnalisé>] [/excludes=<liste des exclusions>][/scope=<liste des fichiers à analyser>]

Fichiers IOC

 

<chemin d'accès complet au fichier IOC>

Chemin d'accès complet au fichier IOC que vous souhaitez utiliser pour effectuer l'analyse. Vous pouvez indiquer plusieurs fichiers IOC séparés par des espaces. Le chemin d'accès complet au fichier IOC doit être saisi sans l'argument /path.

Par exemple, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<chemin d'accès au dossier contenant les fichiers IOC>

Chemin d'accès au dossier contenant les fichiers IOC que vous souhaitez utiliser pour effectuer l'analyse. Les fichiers IOC sont des fichiers contenant les ensembles d'indicateurs que l'application tente de faire correspondre pour compter une détection. Les fichiers IOC doivent être conformes standard OpenIOC.

Par exemple, C:\Users\Admin\Desktop\IOC

Type de données pour l'analyse des IOC

 

/process=on|off

Analyser les données du processus lors de l'analyse IOC (terme ProcessItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas les processus en cours d'exécution sur l'ordinateur lors de l'analyse. Si le fichier IOC contient des termes IOC du document IOC ProcessItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données de processus uniquement si le document IOC ProcessItem est décrit dans le fichier IOC fourni pour l'analyse.

/hint=<chemin d'accès complet au fichier exécutable du processus|chemin d'accès complet au fichier>

Analyser les données des fichiers lors de l'analyse IOC (termes ProcessItem et FileItem).

Vous pouvez sélectionner un fichier d'une des manières suivantes :

  • <chemin d'accès complet au fichier exécutable du processus> : ProcessItem ;
  • <chemin d'accès complet au fichier> : FileItem.

/registry=on|off

Analyser les données du registre Windows lors de l'exécution d'une analyse IOC (terme RegistryItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas le registre Windows. Si le fichier IOC contient des termes du document IOC RegistryItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le registre Windows uniquement si le document IOC RegistryItem est décrit dans le fichier IOC fourni pour l'analyse.

Pour le type de données RegistryItem, Kaspersky Endpoint Security analyse un ensemble de clés de registre.

/dnsentry=on|off

Analyser les données relatives aux enregistrements dans le cache DNS local lors de l'analyse IOC (terme DnsEntryItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas le cache DNS local. Si le fichier IOC contient des termes du document IOC DnsEntryItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le cache DNS local uniquement si le document IOC DnsEntryItem est décrit dans le fichier IOC fourni pour l'analyse.

/arpentry=on|off

Analyser les données relatives aux enregistrements de la table ARP lors de l'exécution de l'analyse IOC (terme ArpEntryItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas le tableau ARP. Si le fichier IOC contient des termes du document IOC ArpEntryItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le tableau ARP uniquement si le document IOC ArpEntryItem est décrit dans le fichier IOC fourni pour l'analyse.

/ports=on|off

Analyser les données relatives aux ports ouverts à l'écoute lors de l'analyse IOC (terme PortItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas le tableau des connexions actives sur l'appareil. Si le fichier IOC contient des termes du document IOC PortItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le tableau des connexions actives uniquement si le document IOC PortItem est décrit dans le fichier IOC fourni pour l'analyse.

/services=on|off

Analyser les données relatives aux services installés sur l'appareil lors de l'analyse IOC (terme ServiceItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas les données relatives aux services installés sur l'appareil. Si le fichier IOC contient des termes du document IOC ServiceItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données de service uniquement si le document IOC ServiceItem est décrit dans le fichier IOC fourni pour l'analyse.

/system=on|off

Analyser les données de l'environnement lors de l'analyse IOC (terme SystemInfoItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas les données de l'environnement. Si le fichier IOC contient des termes du document IOC SystemInfoItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données de l'environnement uniquement si le document IOC SystemInfoItem est décrit dans le fichier IOC fourni pour l'analyse.

/users=on|off

Analyser les données relatives aux utilisateurs lors de l'analyse IOC (terme UserItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas les données relatives aux utilisateurs créées dans le système. Si le fichier IOC contient des termes du document IOC UserItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données relatives aux utilisateurs créées dans le système uniquement si le document IOC UserItem est décrit dans le fichier IOC fourni pour l'analyse.

/volumes=on|off

Analyser les données relatives aux volumes lors de l'analyse IOC (terme VolumeItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas les données relatives aux volumes sur l'appareil. Si le fichier IOC contient des termes du document IOC VolumeItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données relatives aux volumes uniquement si le document IOC VolumeItem est décrit dans le fichier IOC fourni pour l'analyse.

/eventlog=on|off

Analyser les données relatives aux enregistrements dans le journal des événements Windows lors de l'analyse IOC (terme EventLogItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas les enregistrements du journal des événements Windows. Si le fichier IOC contient des termes du document IOC EventLogItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le journal des événements Windows si le document IOC EventLogItem est décrit dans le fichier IOC fourni pour l'analyse.

/datetime=<date de publication de l'événement>

Prenez en considération la date à laquelle l'événement a été publié dans le journal des événements Windows pour déterminer la zone d'analyse IOC pour le document IOC correspondant.

Lors de l'exécution d'une analyse IOC, Kaspersky Endpoint Security analyse les entrées du journal d'événements Windows publiées pendant la période allant de l'heure et de la date indiquées jusqu'au moment de l'exécution de la tâche.

Kaspersky Endpoint Security permet d'indiquer la date de publication de l'événement comme valeur de l'argument. L'analyse est effectuée uniquement pour les événements publiés dans le journal des événements Windows après la date indiquée et avant l'exécution de l'analyse.

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les événements avec n'importe quelle date de publication. Le paramètre TaskSettings::BaseSettings::EventLogItem::datetime ne peut pas être modifié.

Ce paramètre est utilisé uniquement si le document IOC EventLogItem est décrit dans le fichier IOC fourni pour l'analyse.

/channel=<liste des canaux>

Liste des noms de canaux (journaux) pour lesquels vous souhaitez effectuer une analyse IOC.

Si l'argument est indiqué, Kaspersky Endpoint Security analyse les enregistrements publiés dans les journaux indiqués. Le terme EventLogItem doit être décrit dans le document IOC.

Le nom du journal est indiqué sous forme de chaîne conformément au nom du journal (canal) indiqué dans les propriétés du journal (le paramètre Full Name) ou dans les propriétés de l'événement (le paramètre <Channel></Channel> dans le schéma xml de l'événement). Vous pouvez indiquer plusieurs canaux séparés par des espaces.

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les enregistrements pour les canaux Application, Système, Sécurité.

/files=on|off

Analyser les données des fichiers lors de l'analyse IOC (terme FileItem).

Si la valeur de l'argument est off, Kaspersky Endpoint Security n'analyse pas les données des fichiers. Si le fichier IOC contient des termes du document IOC FileItem, ceux-ci sont ignorés (détectés comme ne présentant aucune correspondance).

Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données relatives aux fichiers uniquement si le document IOC FileItem est décrit dans le fichier IOC fourni pour l'analyse.

/drives=<tout|système|critique|personnalisé>

Définir la zone d'analyse IOC lors de l'analyse des données pour le document IOC FileItem.

Vous pouvez définir les valeurs suivantes pour la zone d'analyse :

  • <tout> pour toutes les zones d'actions de fichiers disponibles.
  • <système> pour les fichiers dans les dossiers où le système d'exploitation est installé.
  • <critique> pour les fichiers temporaires dans les dossiers de l'utilisateur et du système.
  • <personnalisé> pour les fichiers dans les champs d'application définis par l'utilisateur (/scope=<liste des dossiers à analyser>).

Si l'argument n'est pas indiqué, l'analyse est effectuée pour les zones critiques.

/excludes=<liste des exclusions>

Définir la zone d'exclusion lors de l'analyse des données pour le document IOC FileItem. Vous pouvez indiquer plusieurs chemins séparés par des espaces.

/scope=<liste des dossiers à analyser>

Zone d'analyse IOC définie par l'utilisateur lors de l'analyse des données pour le document IOC FileItem (/drives=custom). Vous pouvez indiquer plusieurs chemins séparés par des espaces.

Valeurs de retour de la commande :

Si la commande a été correctement exécutée (valeur de retour 0) et que des indicateurs de compromission ont été détectés en cours de route, Kaspersky Endpoint Security envoie les informations suivantes sur le résultat de la tâche dans la ligne de commande :

Uuid

Identifiant du fichier IOC à partir de l'en-tête de la structure du fichier IOC (le tag <ioc id="">)

Nom

Description du fichier IOC à partir de l'en-tête de la structure du fichier IOC (le tag <description></description>)

Éléments d'indicateurs correspondants

Liste des identifiants de tous les indicateurs correspondants.

Objets correspondants

Données pour chaque document IOC pour lequel il y avait une correspondance.

Haut de page