تشغيل مهمة الفحص للبحث عن مؤشرات الاختراق (IOC). مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهمة فحص IOC العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.
بناء جملة الأمر
avp.com IOCSCAN <المسار الكامل إلى ملف مؤشر الاختراق>|/path=<المسار إلى مجلد ملفات مؤشر الاختراق> [/process=on|off] [/hint=<المسار الكامل إلى الملف القابل للتنفيذ لعملية|مسار الملف الكامل>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<قائمة القنوات>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<list of exclusions>][/scope=<قائمة المجلدات المراد فحصها>]
ملفات IOC |
|
|
المسار الكامل إلى ملف IOC الذي تريد استخدامه للفحص. يمكنك تحديد ملفات IOC متعددة مفصولة بمسافات. يجب إدخال المسار الكامل لملف IOC بدون وسيطة / على سبيل المثال، |
|
المسار إلى المجلد الذي يحتوي على ملفات IOC التي تريد استخدامها للفحص. ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات IOC مع معيار OpenIOC. على سبيل المثال، |
نوع البيانات لفحص IOC |
|
|
تحليل بيانات العملية عند إجراء فحص IOC (شرط ProcessItem). إذا كانت قيمة الوسيط إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات العملية فقط إذا كان مستند ProcessItem IOC موصوفًا في ملف IOC المتاح للفحص. |
|
تحليل بيانات الملف عند إجراء فحص IOC (شروط ProcessItem وFileItem). يمكنك تحديد ملف بإحدى الطرق التالية:
|
|
تحليل بيانات تسجيل Windows عند إجراء فحص IOC (شرط RegistryItem). إذا كانت قيمة الوسيطة إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security تسجيل Windows فقط إذا كان مستند RegistryItem IOC موصوفًا في ملف IOC المتوفر المقدم للفحص. لنوع البيانات RegistryItem، يفحص Kaspersky Endpoint Security مجموعة من مفاتيح التسجيل. |
|
تحليل البيانات حول السجلات في ذاكرة التخزين المؤقت لـ DNS المحلي عند إجراء فحص IOC (شرط DnsEntryItem). إذا كانت قيمة الوسيطة إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security ذاكرة التخزين المؤقت لـ DNS المحلي فقط إذا كان مستند DnsEntryItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
تحليل البيانات حول السجلات في جدول ARP عند إجراء فحص IOC (شرط ArpEntryItem). إذا كانت قيمة الوسيطة إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security جدول ARP فقط إذا كان مستند ArpEntryItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
تحليل البيانات حول المنافذ المفتوحة للاستماع عند إجراء فحص IOC (شرط PortItem). إذا كانت قيمة الوسيطة إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security جدول الاتصالات النشطة فقط إذا كان مستند PortItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
تحليل البيانات حول الخدمات المثبتة على الجهاز عند إجراء فحص IOC (شرط ServiceItem). إذا كانت قيمة الوسيطة إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات الخدمة فقط إذا كان مستند ServiceItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
تحليل بيانات البيئة عند إجراء فحص IOC (شرط SystemInfoItem). إذا كانت قيمة الوسيط إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات البيئة فقط إذا كان مستند SystemInfoItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
تحليل البيانات حول المستخدمين عند إجراء فحص IOC (شرط UserItem). إذا كانت قيمة الوسيط إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security البيانات المتعلقة بالمستخدمين الذين تم إنشاؤهم في النظام فقط إذا كان مستند UserItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
تحليل البيانات حول وحدات التخزين عند إجراء فحص IOC (شرط VolumeItem). إذا كانت قيمة الوسيط إذا لم يتم تحديد الوسيط، يحلل Kaspersky Endpoint Security بيانات وحدات التخزين فقط إذا كان مستند VolumeItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
تحليل البيانات حول السجلات في سجل أحداث Windows عند إجراء فحص IOC (شرط EventLogItem). إذا كانت قيمة الوسيطة إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security سجل أحداث Windows إذا كان مستند EventLogItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
ضع في الاعتبار تاريخ نشر الحدث في سجل أحداث Windows عند تحديد نطاق فحص IOC لمستند IOC المقابل. عند إجراء فحص IOC، يفحص Kaspersky Endpoint Security إدخالات سجل أحداث Windows المنشورة خلال الفترة من الوقت والتاريخ المحددين إلى لحظة تشغيل المهمة. يسمح Kaspersky Endpoint Security بتحديد تاريخ نشر الحدث كقيمة الوسيطة. ويتم إجراء الفحص فقط للأحداث المنشورة في سجل أحداث Windows بعد التاريخ المحدد وقبل تشغيل الفحص. إذا لم يتم تحديد الوسيطة، يفحص Kaspersky Endpoint Security الأحداث بأي تاريخ نشر. لا يمكن تحرير إعداد TaskSettings::BaseSettings::EventLogItem::datetime. يُستخدم الإعداد فقط في حالة وصف مستند EventLogItem IOC في ملف IOC المقدم للفحص. |
|
قائمة بأسماء القنوات (السجل) التي تريد إجراء فحص IOC لها. في حالة تحديد الوسيطة، يفحص Kaspersky Endpoint Security السجلات المنشورة في السجلات المحددة. ويجب أن يحتوي مستند IOC على شرط EventLogItem الموضح. يتم تحديد اسم السجل كسلسلة وفقًا لاسم السجل (القناة) المحدد في خصائص السجل (معلمة الاسم الكامل) أو في خصائص الحدث (المعلمة <Channel></Channel> في مخطط xml للحدث). يمكنك تحديد قنوات متعددة مفصولة بمسافات. إذا لم يتم تحديد الوسيطة، يفحص Kaspersky Endpoint Security السجلات بحثًا عن القنوات |
|
تحليل بيانات الملف عند إجراء فحص IOC (شرط FileItem). إذا كانت قيمة الوسيط إذا لم يتم تحديد الوسيطة، يحلل Kaspersky Endpoint Security بيانات الملف فقط إذا كان مستند FileItem IOC موصوفًا في ملف IOC المقدم للفحص. |
|
ضبط نطاق فحص IOC عند تحليل البيانات لمستند FileItem IOC. يمكنك تعيين القيم التالية لنطاق الفحص:
إذا لم يتم تحديد الوسيطة، يتم إجراء الفحص للمناطق الحرجة. |
|
تعيين نطاق الاستثناء عند تحليل البيانات لمستند FileItem IOC. يمكنك تحديد مسارات متعددة مفصولة بمسافات. |
|
نطاق فحص IOC المحدد بواسطة المستخدم عند تحليل البيانات لمستند FileItem IOC ( |
قيم إرجاع الأمر:
-1
يعني أن الأمر غير مدعوم من إصدار التطبيق المُثبت على الكمبيوتر.0
يعني أن الأمر تم تنفيذه بنجاح.1
يعني أنه لم يتم تمرير وسيطة إلزامية إلى الأمر.2
يعني حدوث خطأ عام.4
يعني أنه كان هناك خطأ في بناء الجملة.في حالة تنفيذ الأمر بنجاح (قيمة الإرجاع 0
) وتم اكشاف مؤشرات اختراق على طول الطريق، يُخرج Kaspersky Endpoint Security معلومات نتائج المهمة التالية إلى سطر الأوامر:
|
معرف ملف IOC من رأس بنية ملف IOC (علامة |
|
وصف ملف IOC من رأس بنية ملف IOC (علامة |
|
قائمة معرفات جميع المؤشرات المطابقة. |
|
البيانات الخاصة بكل مستند IOC التي تم العثور على تطابق لها. |