在指令列中搜尋入侵指標

只有在與 Kaspersky Endpoint Detection and Response Optimum 整合時，您才可以使用命令列中的 IOC 掃描工作掃描入侵指標。與 Kaspersky Endpoint Detection and Response (KATA) 整合後，系統會在 Kaspersky Endpoint Detection and Response (KATA) 解決方案中執行 IOC 掃描。

若要從指令列建立、設定和執行IOC 掃描工作，請執行以下指令：

kesl-control [-T] --scan-ioc --path <path to directory or file> [--process on|off] [--hint <正規表達式>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <排除項目清單>] [--scope <目錄清單>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

其中：

• --path <目錄或檔案的路徑> — IOC 檔案的路徑或者包含帶有 .IOC 或 .XML 副檔名的 IOC 檔案的目錄的路徑，應該被用於執行掃描。

  您可以指定多個路徑，以空格分隔。您也可以指定兩種類型的路徑（檔案路徑和目錄路徑）。

• --process — 啟用對裝置上執行的處理程序的分析。

  可能的參數：

  • on — 啟用對裝置上執行的處理程序的分析（預設值）。
  • off — 停用對裝置上執行的處理程序的分析。

  如果不指定--process選項，則僅當使用的 IOC 檔案指定了這些處理程序的詳細資訊（ProcessItem）時，應用程式才會分析處理程序。

• --hint <正規表示式> — 與要分析的處理程序 (ProcessItem) 的檔案 (FileItem) 或可執行檔案 (ProcessItem) 的完整路徑相符的正規表示式。

  您可以使用以下正規表達式元素：

  • 元字元：. ^ $ |
  • 字元類別：數字、字母、小寫、大寫、cntrl
  • 量詞：* + ? {n} {n,} {n, m}
  • 否定：[^a-c]
  • 逸出字元：\a \e \f，\n \r \t \v \b
• --arpentry — 啟用分析 ARP 表 (ArpEntryItem) 中的條目。

  可能的參數：

  • on — 啟用分析 ARP 表中的條目（預設值）。
  • off — 停用分析 ARP 表中的條目。

  如果不指定--arpentry選項，則僅當使用的 IOC 檔案指定了 ARP 表 (ArpEntryItem) 的詳細資訊時，應用程式才會分析 ARP 表。

  --ports — 啟用分析用於連線的開放連接埠。

  可能的參數：

  • on — 啟用分析用於連線的開放連接埠並掃描裝置上的活動連線（預設值）。
  • off — 停用分析用於連線的開放連接埠並且不掃描裝置上的活動連線。

  如果不指定--ports選項，則僅當使用的 IOC 檔案指定了這些連接埠的詳細資訊（PortItem）時，應用程式才會分析連接埠。

• --system — 啟用系統環境分析。

  可能的參數：

  • on — 啟用系統環境分析（預設值）。
  • off — 停用系統環境分析。

  如果不指定--system選項，則僅當使用的 IOC 檔案指定了系統環境 (SystemInfoItem) 的詳細資訊時，應用程式才會分析系統環境。

• --files — 啟用檔案分析。

  可能的參數：

  • on — 啟用檔案分析（預設值）。
  • off — 停用檔案分析。

  如果沒有指定--files選項，則僅當使用的 IOC 檔案指定了這些檔案的詳細資訊 (FileItem) 時，應用程式才會分析檔案。

• --drives — 要掃描的區域。

  可能的參數：

  • all— 檢查所有可用的檔案區域。
  • system — 僅掃描安裝了作業系統的目錄中的檔案。
  • critical — 掃描使用者和系統目錄中的檔案（預設值）。
  • custom — 僅掃描您指定區域中的檔案。

  如果您未指定--drives選項，應用程式將分析使用者和系統目錄中的檔案。

• --excludes <排除項目清單> — 從掃描中排除的路徑清單。

  此選項指定的排除項目是全域的，並且無論範圍類型或目錄清單如何均有效。這些排除項目優先於其他指令列選項，包括--hint和--scope。

  排除項目被指定為路徑，但不能包含遞歸元素或通配符（例如*）。

  如果不指定--excludes選項，則掃描執行時將不進行排除。

  您可以指定多個排除項目，以空格分隔。

• --scope <目錄清單> — 要掃描的附加目錄清單。

  如果您為--drives選項指定了自訂參數，則需要此選項。

• --action — 當偵測到入侵指標時執行的操作。

  可能的參數：

  • Skip — 應用程式不會對偵測到的物件執行任何操作，但關於它的資訊將保存在工作執行結果中（預設值）。
  • QuarantineFile — 應用程式將隔離偵測到的物件。
  • IsolateHost — 應用程式對偵測到物件的裝置實施網路隔離。
  • ScanCriticalAreas — 應用程式將執行掃描關鍵區域。
    • /lib/systemd
    • /lib/udev
    • /lib/dbus-1.0
    • /usr/local/lib/systemd/user
    • /usr/share/dbus-1
    • /usr/share/gdm/autostart
    • /usr/share/gnome/autostart
    • /var/spool/at
    • /var/spool/在/spool
    • /var/spool/anacron
    • /var/spool/cron
    • /boot
    • /bin
    • /sbin
    • /lib
    • /lib32
    • /lib64
    • /libx32
    • /usr/lib
    • /usr/lib32
    • /usr/lib64
    • /usr/libx32
    • ~/.config/autostart
    • ~/.config/autostart-scripts
    • ~/.config/plasma-workspace/env
    • ~/.config/plasma-workspace/shutdown
    • ~/.config/lxsession
    • ~/.fluxbox/startup
    • ~/.kde/Autostart
    • /etc

  您可以用逗號分隔來指定多個操作。

  如果指定Skip參數，請不要新增任何其他參數。Skip參數只能單獨使用。

頁頂