IOCSCAN. Vyhledávání indikátorů narušení (IOC)

Spusťte úlohu Vyhledávat indikátory narušení (IOC). Indikátor narušení (IOC) je sada dat o objektu nebo činnosti, která indikuje neoprávněný přístup k počítači (narušení dat). Indikátor narušení může například představovat mnoho neúspěšných pokusů o přihlášení do systému. Úloha Kontrola IOC umožňuje v počítači najít tyto indikátory narušení a přijmout opatření jako reakci na hrozby.

Syntaxe příkazu

Soubory IOC

<úplná cesta k souboru IOC>

Úplná cesta k souboru IOC, který chcete použít pro kontrolu. Můžete zadat více souborů IOC oddělených mezerami. Úplnou cestu k souboru IOC je nutné zadat bez argumentu /path.

Například C:\Users\Admin\Desktop\IOC\soubor1.ioc

/path =<cesta ke složce se soubory IOC>

Cesta ke složce se soubory IOC, které chcete použít pro kontrolu. Soubory IOC jsou soubory obsahující sady indikátorů, které se aplikace pokusí porovnat, aby započítala detekci. Soubory IOC musí odpovídat standardu OpenIOC.

Například C:\Users\Admin\Desktop\IOC

Datový typ pro kontrolu IOC
`/process=on\|off`	Při provádění kontroly IOC (výraz ProcessItem) analyzujte data procesů. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security při provádění kontroly neanalyzuje procesy spuštěné v počítači. Pokud soubor IOC obsahuje výrazy IOC dokumentu ProcessItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje data procesů, pouze pokud je dokument ProcessItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/hint =<úplná cesta ke spustitelnému souboru procesu\|úplná cesta k souboru>`	Při provádění kontroly IOC (výrazy ProcessItem a FileItem) analyzujte data souboru. Soubor lze vybrat jedním z následujících způsobů: `<úplná cesta ke spustitelnému souboru procesu>` – ProcessItem; `<úplná cesta k souboru>` – FileItem.
`/registry=on\|off`	Při kontrole IOC (výraz RegistryItem) analyzujte data registru Windows. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje registr Windows. Pokud soubor IOC obsahuje výrazy dokumentu RegistryItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje registr Windows, pouze pokud je dokument RegistryItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu. U datového typu RegistryItem aplikace Kaspersky Endpoint Security kontroluje sadu klíčů registru.
`/dnsentry=on\|off`	Při kontrole IOC (výraz DnsEntryItem) analyzujte data o záznamech v místní mezipaměti DNS. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje místní mezipaměť DNS. Pokud soubor IOC obsahuje termíny dokumentu DnsEntryItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje místní mezipaměť DNS, pouze pokud je dokument DnsEntryItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/arpentry=on\|off`	Při provádění kontroly IOC (výraz ArpEntryItem) analyzujte data o záznamech v tabulce ARP. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje tabulku ARP. Pokud soubor IOC obsahuje termíny dokumentu ArpEntryItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje tabulku ARP, pouze pokud je dokument ArpEntryItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/ports=on\|off`	Analyzujte data o portech otevřených k příjmu dat při provádění kontroly IOC (výraz PortItem). Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje tabulku aktivních připojení a zařízení. Pokud soubor IOC obsahuje termíny dokumentu PortItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje tabulku aktivních připojení, pouze pokud je dokument PortItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/services=on\|off`	Analyzujte data o službách nainstalovaných na zařízení při provádění kontroly IOC (výraz ServiceItem). Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje data o službách nainstalovaných na zařízení. Pokud soubor IOC obsahuje termíny dokumentu ServiceItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje data služeb, pouze pokud je dokument ServiceItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/system=on\|off`	Při provádění kontroly IOC (výraz ServiceItem) analyzujte data prostředí. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje data prostředí. Pokud soubor IOC obsahuje termíny dokumentu SystemInfoItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje data prostředí, pouze pokud je dokument SystemInfoItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/users=on\|off`	Při provádění kontroly IOC (výraz UserItem) analyzujte data o uživatelích. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje data o uživatelích vytvořených v systému. Pokud soubor IOC obsahuje termíny dokumentu UserItem IOC, jsou ignorovány (je zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje data o uživatelích vytvořených v systému, pouze pokud je dokument UserItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/volumes=on\|off`	Při provádění kontroly IOC (výraz VolumeItem) analyzujte data o svazcích. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje data o svazcích na zařízení. Pokud soubor IOC obsahuje výrazy dokumentu VolumeItem IOC, jsou ignorovány (zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje data o svazcích, pouze pokud je dokument VolumeItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/eventlog=on\|off`	Při kontrole IOC (výraz EventLogItem) analyzujte data o záznamech v protokolu událostí systému Windows. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje záznamy v protokolu událostí systému Windows. Pokud soubor IOC obsahuje výrazy dokumentu EventLogItem IOC, jsou ignorovány (zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje protokol událostí systému Windows, pouze pokud je dokument EventLogItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/datetime=<datum publikace události>`	Při určování rozsahu kontroly IOC pro příslušný dokument IOC vezměte v úvahu datum, kdy byla událost publikována v protokolu událostí systému Windows. Při provádění kontroly aplikace Kaspersky Endpoint Security kontroluje položky protokolu událostí systému Windows publikované v období od zadaného času a data do okamžiku spuštění úlohy. Kaspersky Endpoint Security umožňuje zadat jako hodnotu argumentu datum publikace události. Kontrola se provádí pouze u událostí publikovaných v protokolu událostí systému Windows po zadaném datu a před spuštěním kontroly. Není-li argument zadán, Kaspersky Endpoint Security kontroluje události s libovolným datem zveřejnění. Nastavení TaskSettings::BaseSettings::EventLogItem::datetime nelze upravit. Toto nastavení se použije pouze v případě, že je dokument EventLogItem IOC popsán v souboru IOC poskytnutém pro kontrolu.
`/channel=<seznam kanálů>`	Seznam názvů kanálů (protokolů), pro které chcete provést kontrolu IOC. Pokud je zadán argument, aplikace Kaspersky Endpoint Security kontroluje záznamy publikované v zadaných protokolech. Dokument IOC musí mít popsaný výraz EventLogItem. Název protokolu je uveden jako řetězec v souladu s názvem protokolu (kanálu) uvedeným ve vlastnostech protokolu (parametr Full Name) nebo ve vlastnostech události (parametr <Channel></Channel> ve schématu xml události). Můžete zadat více kanálů oddělených mezerami. Není-li argument zadán, aplikace Kaspersky Endpoint Security kontroluje záznamy pro kanály `Application`, `System`, `Security`.
`/files=on\|off`	Při provádění kontroly IOC (výraz FileItem) analyzujte data souboru. Pokud je hodnota argumentu `off`, Kaspersky Endpoint Security nekontroluje data souborů. Pokud soubor IOC obsahuje výrazy dokumentu FileItem IOC, jsou ignorovány (zjištěno, že se neshodují). Není-li argument zadán, aplikace Kaspersky Endpoint Security analyzuje data souborů, pouze pokud je dokument FileItem IOC popsán v souboru IOC, který je poskytnut pro kontrolu.
`/drives=<all\|system\|critical\|custom>`	Nastavte rozsah kontroly IOC při analýze dat pro dokument FileItem IOC. Pro rozsah kontroly můžete nastavit následující hodnoty: `<all>` pro všechny dostupné rozsahy souborů. `<system>` pro soubory ve složkách, kde je nainstalován operační systém. `<critical>` pro dočasné soubory v uživatelských a systémových složkách. `<custom>` pro soubory v uživatelsky definovaných oborech (`/scope=<seznam složek ke kontrole>`). Pokud argument není zadán, kontrola se provede pro kritické oblasti.
`/excludes=<seznam výjimek>`	Nastavte rozsah výjimek při analýze dat pro dokument FileItem IOC. Můžete zadat více cest oddělených mezerami.
`/scope=<seznam složek ke kontrole>`	Uživatelem definovaný rozsah kontroly IOC při analýze dat pro dokument FileItem IOC (`/drives=custom`). Můžete zadat více cest oddělených mezerami.

Návratové hodnoty příkazů:

-1 znamená, že příkaz není podporován verzí aplikace, která je v počítači nainstalována.
0 znamená, že příkaz byl úspěšně proveden.
1 znamená, že příkazu nebyl předán povinný argument.
2 znamená, že došlo k obecné chybě.
4 znamená, že došlo k chybě syntaxe.

Pokud byl příkaz úspěšně proveden (návratová hodnota 0) a přitom byly detekovány indikátory narušení, aplikace Kaspersky Endpoint Security odesílá na příkazový řádek následující informace o výsledku úlohy:

`Uuid`	ID souboru IOC ze záhlaví struktury souboru IOC (značka `<ioc id="">`)
`Name`	Popis souboru IOC ze záhlaví struktury souboru IOC (značka `<description></description>`)
`Matched Indicator Items`	Seznam ID všech odpovídajících indikátorů.
`Matched objects`	Data pro každý dokument IOC, pro který byla shoda.

Začátek stránky