IOCSCAN。妥协的指标 (IOC) 扫描

运行“IOC 扫描”任务。妥协的指标 (IOC) 是一组关于对象或活动的数据，表示未经授权访问计算机（数据泄露）。例如，许多登录系统的尝试都不成功，这可能构成妥协的指标。IOC 扫描任务允许在计算机上查找妥协的指标，并采取威胁响应措施。

要运行命令，请转到 Kaspersky Endpoint Security 可执行文件所在文件夹。您还可以将可执行文件路径添加到 %PATH% 系统变量并运行该命令，而无需导航到应用程序文件夹。

在与 IOC 文件中描述的入侵指标进行 128 次匹配后，IOC 扫描将中止。有必要限制 IOC 扫描任务报告中的条目数量，以便于分析，并防止由于不精确制定的入侵指标而产生大量匹配而导致报告溢出。

命令语法

IOC 文件

<full path to the IOC file>

您要用于扫描的 IOC 文件的完整路径。您可以指定多个由空格分隔的 IOC 文件。IOC 文件的完整路径不可以使用 /path 参数输入。

例如，C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

您要用于扫描的 IOC 文件的文件夹路径。IOC 文件是包含应用程序尝试匹配以计数检测的指标集的文件。IOC 文件必须符合 OpenIOC 标准。

例如，C:\Users\Admin\Desktop\IOC

用于 IOC 扫描的数据类型
`/process=on\|off`	执行 IOC 扫描时分析进程数据（ProcessItem 术语）。如果参数的值为“`off`”，则在执行扫描时，Kaspersky Endpoint Security 不会分析计算机上运行的进程。如果 IOC 文件包含 ProcessItem IOC 文档的 IOC 术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 ProcessItem IOC 文档时，Kaspersky Endpoint Security 才会分析进程数据。
`/hint=<full path to the executable file of the process\|full path to the file>`	执行 IOC 扫描时分析文件数据（ProcessItem 和 FileItem 术语）。您可以采用以下方式之一选择文件： `<full path to the executable file of the process>` – ProcessItem 术语； `<full path to the file>` – FileItem 术语。
`/registry=on\|off`	执行 IOC 扫描时分析 Windows 注册表数据（RegistryItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描 Windows 注册表。如果 IOC 文件包含 RegistryItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 RegistryItem IOC 文档时，Kaspersky Endpoint Security 才会分析 Windows 注册表。对于数据类型 RegistryItem，Kaspersky Endpoint Security 扫描一组注册表键集合。
`/dnsentry=on\|off`	执行 IOC扫描（DnsEntryItem 术语）时，分析有关本地 DNS 缓存中记录的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描本地 DNS 缓存。如果 IOC 文件包含 DnsEntryItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 DnsEntryItem IOC 文档时，Kaspersky Endpoint Security 才会分析本地 DNS 缓存。
`/arpentry=on\|off`	执行 IOC扫描（ArpEntryItem术语）时，分析有关 ARP 表中记录的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描 ARP 表。如果 IOC 文件包含 ArpEntryItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 ArpEntryItem IOC 文档时，Kaspersky Endpoint Security 才会分析 ARP 表。
`/ports=on\|off`	分析有关在执行 IOC 扫描时打开以进行侦听的端口的数据（PortItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描设备上的活动连接表。如果 IOC 文件包含 PortItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 PortItem IOC 文档时，Kaspersky Endpoint Security 才会分析设备上的活动连接表。
`/services=on\|off`	执行 IOC 扫描（ServiceItem 术语）时，分析有关设备上安装的服务的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描设备上安装的服务的数据。如果 IOC 文件包含 ServiceItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 ServiceItem IOC 文档时，Kaspersky Endpoint Security 才会分析服务数据。
`/system=on\|off`	执行 IOC 扫描时分析环境数据（SystemInfoItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会分析环境数据。如果 IOC 文件包含 SystemInfoItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 SystemInfoItem IOC 文档时，Kaspersky Endpoint Security 才会分析环境数据。
`/users=on\|off`	执行 IOC 扫描时分析用户数据（UserItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会分析系统中创建的用户的数据。如果 IOC 文件包含 UserItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 UserItem IOC 文档时，Kaspersky Endpoint Security 才会分析系统中创建的用户的数据。
`/volumes=on\|off`	执行 IOC 扫描时分析卷数据（VolumeItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描设备上的卷的数据。如果 IOC 文件包含 VolumeItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 VolumeItem IOC 文档时，Kaspersky Endpoint Security 才会分析卷数据。
`/eventlog=on\|off`	执行 IOC扫描（EventLogItem 术语）时，分析有关 Windows 事件日志中的记录的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描 Windows 事件日志中的记录。如果 IOC 文件包含 EventLogItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时，Kaspersky Endpoint Security 才会分析 Windows 事件日志。
`/datetime=<event publication date>`	在确定相应 IOC 文档的 IOC 扫描范围时，请考虑事件在 Windows 事件日志中发布的日期。在执行 IOC 扫描时，Kaspersky Endpoint Security 会扫描从指定时间和日期到任务运行期间发布的 Windows 事件日志条目。 Kaspersky Endpoint Security 允许将事件发布日期指定为参数值。仅对在指定日期之后和运行扫描之前在 Windows 事件日志中发布的事件执行扫描。如果未指定参数，Kaspersky Endpoint Security 将扫描具有任何发布日期的事件。“`TaskSettings::BaseSettings::EventLogItem::datetime`”设置无法编辑。仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时，才使用该设置。
`/channel=<list of channels>`	要对其执行 IOC 扫描的通道（日志）名称列表。如果指定了参数，Kaspersky Endpoint Security 将扫描在指定日志中发布的记录。IOC 文件必须描述 EventLogItem 术语。根据日志属性（“Full Name”参数）或事件属性（事件 xml 架构中的“`<Channel></Channel>`”参数）中指定的日志（通道）名称，将日志名称指定为字符串。您可以指定多个由空格分隔的通道。如果未指定参数，Kaspersky Endpoint Security 将扫描记录中的 `Application`, `System`, `Security` 通道。
`/files=on\|off`	执行 IOC 扫描时分析文件数据（FileItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会分析文件数据。如果 IOC 文件包含 FileItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 FileItem IOC 文档时，Kaspersky Endpoint Security 才会分析文件数据。
`/drives=<all\|system\|critical\|custom>`	在分析 FileItem IOC 文档的数据时设置 IOC 扫描范围。您可以为扫描范围设置以下值： `<all>` 用于所有可用的文件范围。 `<system>` 用于安装操作系统的文件夹中的文件。 `<critical>` 用于用户和系统文件夹中的临时文件。 `<custom>` 用于用户定义的范围 (`/scope=<list of folders to scan>`)。如果未指定参数，则对关键区域执行扫描。
`/excludes=<list of exclusions>`	在分析 FileItem IOC 文档的数据时设置排除范围。您可以指定多个由空格分隔的路径。
`/scope=<list of folders to scan>`	在分析 FileItem IOC 文档的数据时设置的用户定义的 IOC 扫描范围 (`/drives=custom`)。您可以指定多个由空格分隔的路径。

命令返回值：

-1 表示计算机上安装的应用程序版本不支持该命令。
0 表示命令已成功执行。
1 表示未将强制参数传递给命令。
2 表示发生一般性错误。
4 表示存在语法错误。

如果命令成功执行（返回值 0），并且在执行过程中检测到妥协的指标，Kaspersky Endpoint Security 将向命令行输出以下任务结果信息：

`Uuid`	IOC 文件结构头中的 IOC 文件 ID（`<ioc id="">` 标记）
`Name`	IOC 文件结构头中的 IOC 文件描述（`<description></description>` 标记）
`Matched Indicator Items`	所有匹配的指示器 ID 列表。
`Matched objects`	与之匹配的每个 IOC 文件的数据。

页面顶部

用于 IOC 扫描的数据类型
`/process=on\|off`	执行 IOC 扫描时分析进程数据（ProcessItem 术语）。如果参数的值为“`off`”，则在执行扫描时，Kaspersky Endpoint Security 不会分析计算机上运行的进程。如果 IOC 文件包含 ProcessItem IOC 文档的 IOC 术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 ProcessItem IOC 文档时，Kaspersky Endpoint Security 才会分析进程数据。
`/hint=<full path to the executable file of the process\|full path to the file>`	执行 IOC 扫描时分析文件数据（ProcessItem 和 FileItem 术语）。您可以采用以下方式之一选择文件： `<full path to the executable file of the process>` – ProcessItem 术语； `<full path to the file>` – FileItem 术语。
`/registry=on\|off`	执行 IOC 扫描时分析 Windows 注册表数据（RegistryItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描 Windows 注册表。如果 IOC 文件包含 RegistryItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 RegistryItem IOC 文档时，Kaspersky Endpoint Security 才会分析 Windows 注册表。对于数据类型 RegistryItem，Kaspersky Endpoint Security 扫描一组注册表键集合。
`/dnsentry=on\|off`	执行 IOC扫描（DnsEntryItem 术语）时，分析有关本地 DNS 缓存中记录的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描本地 DNS 缓存。如果 IOC 文件包含 DnsEntryItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 DnsEntryItem IOC 文档时，Kaspersky Endpoint Security 才会分析本地 DNS 缓存。
`/arpentry=on\|off`	执行 IOC扫描（ArpEntryItem术语）时，分析有关 ARP 表中记录的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描 ARP 表。如果 IOC 文件包含 ArpEntryItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 ArpEntryItem IOC 文档时，Kaspersky Endpoint Security 才会分析 ARP 表。
`/ports=on\|off`	分析有关在执行 IOC 扫描时打开以进行侦听的端口的数据（PortItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描设备上的活动连接表。如果 IOC 文件包含 PortItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 PortItem IOC 文档时，Kaspersky Endpoint Security 才会分析设备上的活动连接表。
`/services=on\|off`	执行 IOC 扫描（ServiceItem 术语）时，分析有关设备上安装的服务的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描设备上安装的服务的数据。如果 IOC 文件包含 ServiceItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 ServiceItem IOC 文档时，Kaspersky Endpoint Security 才会分析服务数据。
`/system=on\|off`	执行 IOC 扫描时分析环境数据（SystemInfoItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会分析环境数据。如果 IOC 文件包含 SystemInfoItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 SystemInfoItem IOC 文档时，Kaspersky Endpoint Security 才会分析环境数据。
`/users=on\|off`	执行 IOC 扫描时分析用户数据（UserItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会分析系统中创建的用户的数据。如果 IOC 文件包含 UserItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 UserItem IOC 文档时，Kaspersky Endpoint Security 才会分析系统中创建的用户的数据。
`/volumes=on\|off`	执行 IOC 扫描时分析卷数据（VolumeItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描设备上的卷的数据。如果 IOC 文件包含 VolumeItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 VolumeItem IOC 文档时，Kaspersky Endpoint Security 才会分析卷数据。
`/eventlog=on\|off`	执行 IOC扫描（EventLogItem 术语）时，分析有关 Windows 事件日志中的记录的数据。如果参数的值为`off`，Kaspersky Endpoint Security 不会扫描 Windows 事件日志中的记录。如果 IOC 文件包含 EventLogItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时，Kaspersky Endpoint Security 才会分析 Windows 事件日志。
`/datetime=<event publication date>`	在确定相应 IOC 文档的 IOC 扫描范围时，请考虑事件在 Windows 事件日志中发布的日期。在执行 IOC 扫描时，Kaspersky Endpoint Security 会扫描从指定时间和日期到任务运行期间发布的 Windows 事件日志条目。 Kaspersky Endpoint Security 允许将事件发布日期指定为参数值。仅对在指定日期之后和运行扫描之前在 Windows 事件日志中发布的事件执行扫描。如果未指定参数，Kaspersky Endpoint Security 将扫描具有任何发布日期的事件。“`TaskSettings::BaseSettings::EventLogItem::datetime`”设置无法编辑。仅当为扫描提供的 IOC 文件中描述了 EventLogItem IOC 文档时，才使用该设置。
`/channel=<list of channels>`	要对其执行 IOC 扫描的通道（日志）名称列表。如果指定了参数，Kaspersky Endpoint Security 将扫描在指定日志中发布的记录。IOC 文件必须描述 EventLogItem 术语。根据日志属性（“Full Name”参数）或事件属性（事件 xml 架构中的“`<Channel></Channel>`”参数）中指定的日志（通道）名称，将日志名称指定为字符串。您可以指定多个由空格分隔的通道。如果未指定参数，Kaspersky Endpoint Security 将扫描记录中的 `Application`, `System`, `Security` 通道。
`/files=on\|off`	执行 IOC 扫描时分析文件数据（FileItem 术语）。如果参数的值为`off`，Kaspersky Endpoint Security 不会分析文件数据。如果 IOC 文件包含 FileItem IOC 文档术语，则忽略这些术语（检测为不匹配）。如果未指定参数，则仅当为扫描提供的 IOC 文件中描述了 FileItem IOC 文档时，Kaspersky Endpoint Security 才会分析文件数据。
`/drives=<all\|system\|critical\|custom>`	在分析 FileItem IOC 文档的数据时设置 IOC 扫描范围。您可以为扫描范围设置以下值： `<all>` 用于所有可用的文件范围。 `<system>` 用于安装操作系统的文件夹中的文件。 `<critical>` 用于用户和系统文件夹中的临时文件。 `<custom>` 用于用户定义的范围 (`/scope=<list of folders to scan>`)。如果未指定参数，则对关键区域执行扫描。
`/excludes=<list of exclusions>`	在分析 FileItem IOC 文档的数据时设置排除范围。您可以指定多个由空格分隔的路径。
`/scope=<list of folders to scan>`	在分析 FileItem IOC 文档的数据时设置的用户定义的 IOC 扫描范围 (`/drives=custom`)。您可以指定多个由空格分隔的路径。