IOCSCAN. 침해지표(IOC) 검사

침해지표(IOC) 검사 작업을 실행합니다. 침해지표(IOC)는 컴퓨터에 대한 무단 접근(데이터 침해)을 나타내는 개체 또는 활동에 대한 데이터 집합입니다. 예를 들어, 시스템 로그인 시도가 여러 번 실패하면 침해지표가 될 수 있습니다. IOC 검사 작업을 통해 컴퓨터에서 침해지표를 찾고 보안 위협에 대응할 수 있습니다.

명령 구문

avp.com IOCSCAN <IOC 파일 전체 경로>|/path=<IOC 파일 폴더 경로> [/process=on|off] [/hint=<프로세스 실행 파일 전체 경로|파일 전체 경로>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<이벤트 게시 날짜>] [/channels=<채널 목록>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<예외 목록>][/scope=<검사할 폴더 목록>]

IOC 파일

 

<IOC 파일 전체 경로>

검사에 사용할 IOC 파일의 전체 경로입니다. 공백으로 구분된 여러 IOC 파일을 지정할 수 있습니다. IOC 파일의 전체 경로는 /path 인수 없이 입력해야 합니다.

예: C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<IOC 파일이 있는 폴더 경로>

검사에 사용할 IOC 파일이 있는 폴더의 경로입니다. IOC 파일은 애플리케이션이 탐지 횟수 계산을 위해 매치하는 지표 세트를 포함하는 파일입니다. IOC 파일은 OpenIOC 표준을 준수해야 합니다.

예: C:\Users\Admin\Desktop\IOC

IOC 스캐닝을 위한 데이터 유형

 

/process=on|off

IOC 검사 수행 시 프로세스 데이터를 분석합니다(ProcessItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security는 검사를 수행할 때 컴퓨터에서 실행 중인 프로세스를 분석하지 않습니다. IOC 파일에 ProcessItem IOC 문서의 IOC 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 ProcessItem IOC 문서가 설명된 경우에만 프로세스 데이터를 분석합니다.

/hint=<프로세스 실행 파일 전체 경로|파일 전체 경로>

IOC 검사 수행 시 파일 데이터를 분석합니다(ProcessItem 및 FileItem 용어).

다음과 같은 방법으로 파일을 선택할 수 있습니다:

  • <프로세스 실행 파일 전체 경로> – ProcessItem 용어
  • <파일 전체 경로> – FileItem 용어

/registry=on|off

IOC 검사 수행 시 Windows 레지스트리 데이터를 분석합니다(RegistryItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security가 Windows 레지스트리를 검사하지 않습니다. IOC 파일에 RegistryItem IOC 문서 용어가 포함되어 있으면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 RegistryItem IOC 문서가 설명된 경우에만 Windows 레지스트리를 분석합니다.

RegistryItem 데이터 유형에 대해 Kaspersky Endpoint Security는 레지스트리 키 세트를 검사합니다.

/dnsentry=on|off

IOC 검사 수행 시 로컬 DNS 캐시의 레코드에 대한 데이터를 분석합니다(DnsEntryItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security가 로컬 DNS 캐시를 검사하지 않습니다. IOC 파일에 DnsEntryItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 DnsEntryItem IOC 문서가 설명된 경우에만 로컬 DNS 캐시를 분석합니다.

/arpentry=on|off

IOC 검사수행 시 ARP 테이블의 레코드에 대한 데이터를 분석합니다.(ArpEntryItem 용어)

인수의 값이 off라면 Kaspersky Endpoint Security가 ARP 테이블을 검사하지 않습니다. IOC 파일에 ArpEntryItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 ArpEntryItem IOC 문서가 설명된 경우에만 ARP 테이블을 분석합니다.

/ports=on|off

IOC 검사 수행 시 수신 대기를 위해 열려 있는 포트에 대한 데이터를 분석합니다(PortItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security가 장치의 활성 연결 테이블을 검사하지 않습니다. IOC 파일에 PortItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 PortItem IOC 문서가 설명된 경우에만 활성 연결 테이블을 분석합니다.

/services=on|off

IOC 검사 수행 시 장치에 설치된 서비스에 대한 데이터를 분석합니다(ServiceItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security가 장치에 설치된 서비스에 대한 데이터를 검사하지 않습니다. IOC 파일에 ServiceItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 ServiceItem IOC 문서가 설명된 경우에만 서비스 데이터를 분석합니다.

/system=on|off

IOC 검사 수행 시 환경 데이터를 분석합니다(SystemInfoItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security가 환경 데이터를 분석하지 않습니다. IOC 파일에 SystemInfoItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 SystemInfoItem IOC 문서가 설명된 경우에만 환경 데이터를 분석합니다.

/users=on|off

IOC 검사 수행 시 사용자에 대한 데이터를 분석합니다(UserItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security는 시스템에서 생성된 사용자에 대한 데이터를 분석하지 않습니다. IOC 파일에 UserItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 UserItem IOC 문서가 설명된 경우에만 시스템에서 생성된 사용자에 대한 데이터를 분석합니다.

/volumes=on|off

IOC 검사 수행 시 볼륨에 대한 데이터를 분석합니다(VolumeItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security가 장치의 볼륨에 대한 데이터를 검사하지 않습니다. IOC 파일에 VolumeItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 VolumeItem IOC 문서가 설명된 경우에만 볼륨 데이터를 분석합니다.

/eventlog=on|off

IOC 검사 수행 시 Windows 이벤트 로그의 레코드에 대한 데이터를 분석합니다(EventLogItem 용어).

인수의 값이 off라면 Kaspersky Endpoint Security는 Windows 이벤트 로그의 기록을 검사하지 않습니다. IOC 파일에 EventLogItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 EventLogItem IOC 문서가 설명된 경우에 Windows 이벤트 로그를 분석합니다.

/Datetime=<이벤트 게시 날짜>

해당 IOC 문서에 대한 IOC 검사 범위를 결정할 때 이벤트가 Windows 이벤트 로그에 게시된 날짜를 고려합니다.

IOC 검사 수행 시 Kaspersky Endpoint Security는 지정된 시간과 날짜부터 작업이 실행되는 순간까지의 기간에 게시된 Windows 이벤트 로그 항목을 검사합니다.

Kaspersky Endpoint Security에서는 이벤트 게시 날짜를 인수 값으로 지정할 수 있습니다. 지정된 날짜 이후와 검색 실행 전 Windows 이벤트 로그에 게시된 이벤트에 대해서만 검색을 수행합니다.

인수를 지정하지 않으면 Kaspersky Endpoint Security는 모든 게시 날짜의 이벤트를 검색합니다. TaskSettings::BaseSettings::EventLogItem::datetime 설정은 편집할 수 없습니다

이 설정은 검사를 위해 제공된 IOC 파일에 EventLogItem IOC 문서가 설명된 경우에만 사용됩니다.

/channel=<채널 목록>

IOC 검사를 수행하려는 채널(로그) 이름 목록입니다.

인수를 지정하면 Kaspersky Endpoint Security는 지정한 로그에 게시된 레코드를 검색합니다. IOC 문서에는 EventLogItem 용어가 설명되어 있어야 합니다.

로그 이름은 로그 속성(전체 이름 파라미터) 또는 이벤트 속성(이벤트의 xml 스키마에 있는 <채널></채널> 파라미터)에 지정된 로그(채널) 이름에 따라 스트링으로 지정됩니다. 공백으로 구분된 여러 채널을 지정할 수 있습니다.

인수를 지정하지 않으면 Kaspersky Endpoint Security는 Application, System, Security 채널에 대한 레코드를 검색합니다.

/files=on|off

IOC 검사 수행 시 파일 데이터를 분석합니다(FileItem 용어).

인수의 값이 no라면 Kaspersky Endpoint Security는 파일 데이터를 분석하지 않습니다. IOC 파일에 FileItem IOC 문서 용어가 포함되어 있다면 이 용어를 무시합니다(불일치로 탐지).

인수를 지정하지 않으면 Kaspersky Endpoint Security는 검사를 위해 제공된 IOC 파일에 FileItem IOC 문서가 설명된 경우에만 파일 데이터를 분석합니다.

/drives=<all|system|critical|custom>

FileItem IOC 문서에 대한 데이터를 분석할 때의 IOC 검사 범위를 설정합니다.

검사 범위에 대해 다음 값을 설정할 수 있습니다:

  • <all>: 사용 가능한 모든 파일 범위.
  • <system>: 운영 체제가 설치된 폴더의 파일.
  • <critical>: 사용자 및 시스템 폴더의 임시 파일.
  • <custom>: 사용자 지정 범위의 파일(/scope=<검사할 폴더 목록>).

인수를 지정하지 않으면 중요한 영역에 대해 검사가 수행됩니다.

/excludes=<예외 목록>

FileItem IOC 문서에 대한 데이터를 분석할 때 예외 범위를 설정합니다. 공백으로 구분된 여러 경로를 지정할 수 있습니다.

/Scope=<검사할 폴더 목록>

FileItem IOC 문서에 대한 데이터 분석 시 사용자 정의 IOC 검사 범위(/drives=custom). 공백으로 구분된 여러 경로를 지정할 수 있습니다.

명령 반환 값:

명령이 성공적으로 실행되고(반환 값 0) 도중에 침해지표가 감지되면, Kaspersky Endpoint Security가 다음 작업 결과 정보를 명령줄에 출력합니다.

Uuid

IOC 파일 구조의 헤더에서 IOC 파일의 ID(<ioc id=""> 태그)

Name

IOC 파일 구조의 헤더에서 IOC 파일에 대한 설명(<description></description> 태그)

Matched Indicator Items

일치하는 모든 지표의 ID 목록입니다.

Matched objects

일치 항목이 있는 각 IOC 문서에 대한 데이터입니다.

맨 위로