Uruchamianie zadania Skanowanie IOC. Wskaźnik naruszeń bezpieczeństwa (IOC) to zestaw danych dotyczących obiektu lub aktywności, która wskazuje nieautoryzowany dostęp do komputera (naruszenie bezpieczeństwa danych). Na przykład, wiele niepomyślnych prób zalogowania do systemu może stanowić wskaźnik naruszeń bezpieczeństwa. Zadanie Skanowanie IOC umożliwia odszukanie wskaźników naruszeń bezpieczeństwa na komputerze i podejmują środki reakcji na zagrożenia.
Aby uruchomić polecenie, przejdź do folderu, w którym znajduje się plik wykonywalny Kaspersky Endpoint Security. Możesz także dodać ścieżkę pliku wykonywalnego do zmiennej systemowej %PATH% i uruchomić polecenie bez przechodzenia do folderu aplikacji.
Składnia polecenia
avp.com IOCSCAN <pełna ścieżka do pliku IOC>|/path=<ścieżka do folderu plików IOC> [/process=on|off] [/hint=<pełna ścieżka do pliku wykonywalnego procesu|pełna ścieżka do pliku>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<data publikacji zdarzenia>] [/channels=<lista kanałów>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<lista wykluczeń>][/scope=<lista folderów do przeskanowania>]
Pliki IOC |
|
|
Pełna ścieżka do pliku IOC, którego chcesz użyć do skanowania. Możesz określić kilka plików IOC oddzielonych spacjami. Pełna ścieżka do pliku IOC musi zostać wprowadzona bez argumentu / Na przykład: |
|
Ścieżka do folderu z plikami IOC, których chcesz użyć do skanowania. Pliki IOC to pliki zawierające zestawy wskaźników, które aplikacja próbuje dopasować do licznika wykrywania. Pliki IOC muszą pasować do standardu OpenIOC. Na przykład: |
Typ danych skanowania IOC |
|
|
Analizuje dane procesu podczas wykonywania skanowania IOC (warunek ProcessItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane procesu tylko wtedy, gdy dokument ProcessItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane pliku podczas wykonywania skanowania IOC (warunki ProcessItem i FileItem). Możesz wybrać plik na jeden z następujących sposobów:
|
|
Analizuje dane rejestru systemu Windows podczas wykonywania skanowania IOC (warunek RegistryItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje rejestr systemu Windows tylko wtedy, gdy dokument RegistryItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. Dla typów danych RegistryItem Kaspersky Endpoint Security skanuje zestaw kluczy rejestru. |
|
Analizuje dane dotyczące wpisów w lokalnej pamięci podręcznej DNS podczas wykonywania skanowania IOC (warunek DnsEntryItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje lokalną pamięć podręczną DNS tylko wtedy, gdy dokument DnsEntryItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane dotyczące wpisów w tabeli ARP podczas wykonywania skanowania IOC (warunek ArpEntryItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje tabelę ARP tylko wtedy, gdy dokument ArpEntryItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane dotyczące portów otwartych do nasłuchiwania podczas wykonywania skanowania IOC (warunek PortItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje tabelę aktywnych połączeń tylko wtedy, gdy dokument PortItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane dotyczące usług zainstalowanych na urządzeniu podczas wykonywania skanowania IOC (warunek ServiceItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane usługi tylko wtedy, gdy dokument ServiceItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane środowiskowe podczas wykonywania skanowania IOC (warunek SystemInfoItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane środowiskowe tylko wtedy, gdy dokument SystemInfoItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane dotyczące użytkowników podczas wykonywania skanowania IOC (warunek UserItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane dotyczące użytkowników tworzonych w systemie tylko wtedy, gdy dokument UserItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane dotyczące woluminów podczas wykonywania skanowania IOC (warunek VolumeItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane woluminów tylko wtedy, gdy dokument VolumeItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Analizuje dane dotyczące wpisów w Dzienniku zdarzeń systemu Windows podczas wykonywania skanowania IOC (warunek EventLogItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje Dziennik zdarzeń systemu Windows tylko wtedy, gdy dokument EventLogItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Należy wziąć pod uwagę datę opublikowania zdarzenia w Dzienniku zdarzeń systemu Windows podczas określania obszaru skanowania IOC dla odpowiedniego dokumentu IOC. Podczas wykonywania skanowania IOC, Kaspersky Endpoint Security skanuje wpisy w Dzienniku zdarzeń systemu Windows opublikowane w trakcie czasu od określonej godziny i daty do momentu, gdy zadanie jest uruchomione. Kaspersky Endpoint Security umożliwia określenie daty publikacji zdarzenia jako wartości argumentu. Skanowanie jest wykonywane tylko dla zdarzeń opublikowanych w Dzienniku zdarzeń systemu Windows po określonej dacie, a przed uruchomieniem skanowania. Jeśli argument nie jest określony, Kaspersky Endpoint Security skanuje zdarzenia z dowolną datą publikacji. Ustawienia TaskSettings::BaseSettings::EventLogItem::datetime nie można edytować. Ustawienie jest używane tylko wtedy, gdy dokument EventLogItem IOC został opisany w pliku IOC dostarczonym do przeskanowania. |
|
Lista nazw kanałów (dziennik), dla których chcesz wykonać skanowanie IOC. Jeśli argument został określony, Kaspersky Endpoint Security skanuje wpisy opublikowane w określonych dziennikach. Dokument IOC musi zawierać opisany warunek EventLogItem. Nazwa dziennika jest określona jako ciąg znaków zgodnie z nazwą dziennika (kanału), określonego we właściwościach dziennika (parametr Full Name) lub we właściwościach zdarzenia (parametr <Channel></Channel> w schemacie xml zdarzenia). Możesz określić kilka kanałów oddzielonych spacjami. Jeśli argument nie został określony, Kaspersky Endpoint Security skanuje wpisy dla kanałów |
|
Analizuje dane plików podczas wykonywania skanowania IOC (warunek FileItem). Jeśli wartość argumentu to Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane plików tylko wtedy, gdy dokument FileItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania. |
|
Ustawia obszar skanowania IOC podczas analizowania danych dla dokumentu FileItem IOC. Możesz ustawić następujące wartości dla obszaru skanowania:
Jeśli argument nie został określony, wykonywanie jest skanowanie obszarów krytycznych. |
|
Ustawia obszar wykluczeń podczas analizowania danych dla dokumentu FileItem IOC. Możesz określić kilka ścieżek oddzielonych spacjami. |
|
Obszar skanowania IOC zdefiniowany przez użytkownika podczas analizowania danych dla dokumentu FileItem IOC ( |
Wartości zwrotne polecenia:
-1
oznacza, że polecenie nie jest obsługiwane przez wersję aplikacji, która jest zainstalowana na komputerze.0
oznacza, że polecenie zostało wykonane pomyślnie.1
oznacza, że obowiązkowy argument nie został przekazany do polecenia.2
oznacza, że wystąpił ogólny błąd.4
oznacza, że wystąpił błąd składniowy.Jeśli polecenie zostało wykonane pomyślnie (wartość zwrotna 0
) i wykryto wskaźniki naruszeń bezpieczeństwa, Kaspersky Endpoint Security zwróci do wiersza poleceń następujące informacje o wyniku wykonania zadania:
|
ID pliku IOC z nagłówka struktury pliku IOC (znacznik |
|
Opis pliku IOC z nagłówka struktury pliku IOC (znacznik |
|
Lista identyfikatorów wszystkich dopasowanych wskaźników. |
|
Dana każdego dokumentu IOC, dla których było dopasowanie. |