IOCSCAN:セキュリティ侵害インジケーター(IOC)のスキャン

セキュリティ侵害インジケーター(IOC)のスキャンタスクを実行します。セキュリティ侵害インジケーター(IOC)とは、コンピューターへの認証されないアクセス(コンピューターの侵害)の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。

コマンド構文

avp.com IOCSCAN <IOC ファイルのフルパス>|/path=<IOC ファイルのあるフォルダーのパス> [/process=on|off] [/hint=<プロセスの実行ファイルの完全パス|ファイルの完全パス>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<イベントの記録日>] [/channels=<チャネルのリスト>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<除外リスト>][/scope=<スキャンするフォルダーのリスト>]

IOC ファイル

 

<IOC ファイルの完全パス>

スキャンに使用する IOC ファイルの完全パス。スペースで区切って複数の IOC ファイルを指定することができます。IOC ファイルの完全パスは引数「/path」なしで入力する必要があります。

例:C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<IOC ファイルのあるフォルダーのパス>

スキャンに使用する IOC ファイルのあるフォルダーのパス。IOC ファイルは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。

例:C:\Users\Admin\Desktop\IOC

IOC スキャンのデータ種別

 

/process=on|off

IOC スキャンの実行中にプロセスデータを分析します(ProcessItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はスキャンの実行時にコンピューター上で実行されているプロセスを分析しません。IOC ファイルに IOC ドキュメント ProcessItem の IOC タームが含まれている場合、無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント ProcessItem が記述されている場合のみプロセスデータを分析します。

/hint=<プロセスの実行ファイルの完全パス|ファイルの完全パス>

IOC スキャンの実行時にファイルのデータを分析します(ProcessItem および FileItem)。

次のいずれかの方法でファイルを選択することができます:

  • <プロセスの実行ファイルの完全パス> – ProcessItem
  • <ファイルの完全パス> – FileItem

/registry=on|off

IOC スキャンの実行中に Windows のレジストリデータを分析します(RegistryItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は Windows レジストリをスキャンしません。IOC ファイルに IOC ドキュメント RegistryItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント RegistryItem が記述されている場合のみ Windows レジストリを分析します。

Kaspersky Endpoint Security はデータ種別 RegistryItem に対しては、レジストリキー一式をスキャンします。

/dnsentry=on|off

IOC スキャンの実行中、ローカルの DNS キャッシュ内の項目のデータを分析します(DnsEntryItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はローカルの DNS キャッシュをスキャンしません。IOC ファイルに IOC ドキュメント EndEntryItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント DnsEntryItem が記述されている場合のみローカルの DNS キャッシュを分析します。

/arpentry=on|off

IOC スキャンの実行中、ARP テーブル内の項目のデータを分析します(ArpEntryItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は ARP テーブルをスキャンしません。IOC ファイルに IOC ドキュメント ArpEntryItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント ArpEntryItem が記述されている場合のみローカルの ARP テーブルを分析します。

/ports=on|off

IOC スキャンの実行中、待機しているポートに関するデータを分析します(PortItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は端末上のアクティブな接続のテーブルをスキャンしません。IOC ファイルに IOC ドキュメント PortItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント PortItem が記述されている場合のみアクティブな接続のテーブルを分析します。

/services=on|off

IOC スキャンの実行中、端末にインストールされているサービスに関するデータを分析します(ServiceItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は端末にインストールされているサービスに関するデータをスキャンしません。IOC ファイルに IOC ドキュメント ServiceItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント ServiceItem が記述されている場合のみサービスのデータを分析します。

/system=on|off

IOC スキャンの実行中に環境のデータを分析します(SystemInfoItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は環境データを分析しません。IOC ファイルに IOC ドキュメント SystemInfoItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント SystemInfoItem が記述されている場合のみ環境データを分析します。

/users=on|off

IOC スキャンの実行中にユーザーに関するデータを分析します(UserItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はシステムで作成されたユーザーに関するデータを分析しません。IOC ファイルに IOC ドキュメント UserItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント UserItem が記述されている場合のみシステムで作成されたユーザーに関するデータを分析します。

/volumes=on|off

IOC スキャンの実行中にボリュームに関するデータを分析します(VolumeItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は端末のボリュームに関するデータをスキャンしません。IOC ファイルに IOC ドキュメント VolumeItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント VolumeItem が記述されている場合のみボリュームに関するデータを分析します。

/eventlog=on|off

IOC スキャンの実行中、Windows イベントログの項目のデータを分析します(EventLogItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は Windows イベントログの項目をスキャンしません。IOC ファイルに IOC ドキュメント EventLogItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント EventLogItem が記述されている場合、Windows イベントログを分析します。

/datetime=<イベントの記録日>

対応する IOC ドキュメントの IOC スキャン範囲を決定する際には、Windows イベントログにイベントが記録された日付を考慮してください。

IOC スキャンの実行時、Kaspersky Endpoint Security は指定された日時からタスクが実行された時刻までの機関に記録された Windows イベントログの項目をスキャンします。

Kaspersky Endpoint Security では、引数の値にイベントの記録日を指定できます。指定した日付からスキャンが実行されるまでの間に Windows イベントログ内で記録されたイベントに対してのみスキャンが実行されます。

引数が指定されていない場合、Kaspersky Endpoint Security は記録されたすべてのくイベントをスキャンします。設定「TaskSettings::BaseSettings::EventLogItem::datetime」は編集できません。

スキャン用に提供された IOC ファイルで IOC ドキュメント EventLogItem が記述されている場合のみこの設定が使用されます。

/channel=<チャネルのリスト>

IOC スキャンを実行するチャネル(ログ)名のリスト。

引数が指定されていない場合、Kaspersky Endpoint Security は指定されたログに記録された項目をスキャンします。IOC ドキュメントには EventLogItem が記載されている必要があります。

ログの名前は、ログのプロパティ(Full Name パラメータ)またはイベントのプロパティ(イベントの XML スキーマ内の <チャネル>/<チャネル> パラメータ)で指定されたログ(チャネル)の名前に従って文字列で指定されます。スペースで区切って複数のチャネルを指定することができます。

引数が指定されていない場合、Kaspersky Endpoint Security はチャネル ApplicationSystemSecurity の項目をスキャンします。

/files=on|off

IOC スキャンの実行時にファイルのデータを分析します(FileItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はファイルのデータを分析しません。IOC ファイルに IOC ドキュメント FileItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント FileItem が記述されている場合のみファイルに関するデータを分析します。

/drives=<all|system|critical|custom>

IOC ドキュメント FileItem のデータを分析する際の IOC スキャン範囲を設定します。

スキャン範囲には次の値を設定できます:

  • <all>:すべての利用可能なファイル範囲
  • <system>:オペレーティングシステムがインストールされているフォルダーにあるファイル
  • <critical>:ユーザーおよびシステムフォルダー内の一時ファイル
  • <custom>:ユーザー定義の範囲のファイル(/scope=<スキャンするフォルダーのリスト>

引数が指定されていない場合、スキャンは重要な領域に対して実行されます。

/excludes=<除外リスト>

IOC ドキュメント FileItem のデータを分析する際に除外する範囲を設定します。スペースで区切って複数のパスを指定することができます。

/scope=<スキャン対象のフォルダーのリスト>

IOC ドキュメント FileItem でデータを分析する際のユーザー定義の IOC スキャン範囲です(/drives=custom)。スペースで区切って複数のパスを指定することができます。

コマンド戻り値:

コマンドが正常に実行され(戻り値が 0)、侵害インジケーターが検出された場合、Kaspersky Endpoint Security は次のタスク結果の情報をコマンドラインに出力します:

Uuid

IOC ファイル構成のヘッダー部分に基づいた IOC ファイルの ID(<ioc id=""> タグ)

名前

IOC ファイル構成のヘッダー部分に基づいた IOC ファイルの説明(<description></description> タグ)

Matched Indicator Items

すべての一致したインジケーターの ID のリスト

Matched objects

一致した各 IOC ドキュメント箇所のデータ

ページのトップに戻る