IOCSCAN. Rechercher d'indicateurs de compromission (IOC)
Exécutez la tâche Recherche d'indicateurs de compromission (IOC). Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l'ordinateur (compromission des données). Par exemple, de nombreuses tentatives infructueuses de se connecter au système peuvent constituer un indicateur de compromission. Les tâches Analyse IOC permettent de trouver des indicateurs de compromission sur l'ordinateur et de prendre des mesures de réponse aux menaces.
Syntaxe de la commande
IOCSCAN <chemin d'accès complet au fichier IOC>|/path=<chemin d'accès au dossier des fichiers IOC> [/process=on|off] [/hint=<chemin d'accès complet au fichier exécutable d'un processus|chemin d'accès complet au fichier>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<date de publication de l'événement>] [/channels=<liste des canaux>] [/files=on|off] [/drives=<tout|système|critique|personnalisé>] [/excludes=<liste des exclusions>][/scope=<liste des fichiers à analyser>]
Fichiers IOC |
|
| Chemin d'accès complet au fichier IOC que vous souhaitez utiliser pour effectuer l'analyse. Vous pouvez indiquer plusieurs fichiers IOC séparés par des espaces. Le chemin d'accès complet au fichier IOC doit être saisi sans l'argument / Par exemple, |
| Chemin d'accès au dossier contenant les fichiers IOC que vous souhaitez utiliser pour effectuer l'analyse. Les fichiers IOC sont des fichiers contenant les ensembles d'indicateurs que l'application tente de faire correspondre pour compter une détection. Les fichiers IOC doivent être conformes standard OpenIOC. Par exemple, |
Type de données pour l'analyse des IOC |
|
| Analyser les données du processus lors de l'analyse IOC (terme ProcessItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données de processus uniquement si le document IOC ProcessItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données des fichiers lors de l'analyse IOC (termes ProcessItem et FileItem). Vous pouvez sélectionner un fichier d'une des manières suivantes :
|
| Analyser les données du registre Windows lors de l'exécution d'une analyse IOC (terme RegistryItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le registre Windows uniquement si le document IOC RegistryItem est décrit dans le fichier IOC fourni pour l'analyse. Pour le type de données RegistryItem, Kaspersky Endpoint Security analyse un ensemble de clés de registre. |
| Analyser les données relatives aux enregistrements dans le cache DNS local lors de l'analyse IOC (terme DnsEntryItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le cache DNS local uniquement si le document IOC DnsEntryItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données relatives aux enregistrements de la table ARP lors de l'exécution de l'analyse IOC (terme ArpEntryItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le tableau ARP uniquement si le document IOC ArpEntryItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données relatives aux ports ouverts à l'écoute lors de l'analyse IOC (terme PortItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le tableau des connexions actives uniquement si le document IOC PortItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données relatives aux services installés sur l'appareil lors de l'analyse IOC (terme ServiceItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données de service uniquement si le document IOC ServiceItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données de l'environnement lors de l'analyse IOC (terme SystemInfoItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données de l'environnement uniquement si le document IOC SystemInfoItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données relatives aux utilisateurs lors de l'analyse IOC (terme UserItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données relatives aux utilisateurs créées dans le système uniquement si le document IOC UserItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données relatives aux volumes lors de l'analyse IOC (terme VolumeItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données relatives aux volumes uniquement si le document IOC VolumeItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Analyser les données relatives aux enregistrements dans le journal des événements Windows lors de l'analyse IOC (terme EventLogItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse le journal des événements Windows si le document IOC EventLogItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Prenez en considération la date à laquelle l'événement a été publié dans le journal des événements Windows pour déterminer la zone d'analyse IOC pour le document IOC correspondant. Lors de l'exécution d'une analyse IOC, Kaspersky Endpoint Security analyse les entrées du journal d'événements Windows publiées pendant la période allant de l'heure et de la date indiquées jusqu'au moment de l'exécution de la tâche. Kaspersky Endpoint Security permet d'indiquer la date de publication de l'événement comme valeur de l'argument. L'analyse est effectuée uniquement pour les événements publiés dans le journal des événements Windows après la date indiquée et avant l'exécution de l'analyse. Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les événements avec n'importe quelle date de publication. Le paramètre TaskSettings::BaseSettings::EventLogItem::datetime ne peut pas être modifié. Ce paramètre est utilisé uniquement si le document IOC EventLogItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Liste des noms de canaux (journaux) pour lesquels vous souhaitez effectuer une analyse IOC. Si l'argument est indiqué, Kaspersky Endpoint Security analyse les enregistrements publiés dans les journaux indiqués. Le terme EventLogItem doit être décrit dans le document IOC. Le nom du journal est indiqué sous forme de chaîne conformément au nom du journal (canal) indiqué dans les propriétés du journal (le paramètre Full Name) ou dans les propriétés de l'événement (le paramètre <Channel></Channel> dans le schéma xml de l'événement). Vous pouvez indiquer plusieurs canaux séparés par des espaces. Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les enregistrements pour les canaux |
| Analyser les données des fichiers lors de l'analyse IOC (terme FileItem). Si la valeur de l'argument est Si l'argument n'est pas indiqué, Kaspersky Endpoint Security analyse les données relatives aux fichiers uniquement si le document IOC FileItem est décrit dans le fichier IOC fourni pour l'analyse. |
| Définir la zone d'analyse IOC lors de l'analyse des données pour le document IOC FileItem. Vous pouvez définir les valeurs suivantes pour la zone d'analyse :
Si l'argument n'est pas indiqué, l'analyse est effectuée pour les zones critiques. |
| Définir la zone d'exclusion lors de l'analyse des données pour le document IOC FileItem. Vous pouvez indiquer plusieurs chemins séparés par des espaces. |
| Zone d'analyse IOC définie par l'utilisateur lors de l'analyse des données pour le document IOC FileItem ( |
Valeurs de retour de la commande :
-1signifie que la commande n'est pas prise en charge par la version de l'application installée sur l'ordinateur.0signifie que la commande a été correctement exécutée.1signifie qu'un argument obligatoire n'a pas été transmis à la commande.2signifie qu'une erreur générale s'est produite.4signifie qu'il y a eu une erreur de syntaxe.
Si la commande a été correctement exécutée (valeur de retour 0) et que des indicateurs de compromission ont été détectés en cours de route, Kaspersky Endpoint Security envoie les informations suivantes sur le résultat de la tâche dans la ligne de commande :
| Identifiant du fichier IOC à partir de l'en-tête de la structure du fichier IOC (le tag |
| Description du fichier IOC à partir de l'en-tête de la structure du fichier IOC (le tag |
| Liste des identifiants de tous les indicateurs correspondants. |
| Données pour chaque document IOC pour lequel il y avait une correspondance. |