IOCSCAN. Scanare pentru descoperirea indicatorilor de compromitere (IOC)

Executați activitatea Scanare pentru descoperirea indicatorilor de compromitere (IOC). Un Indicator de compromitere (IOC) este un set de date despre un obiect sau o activitate care indică accesul neautorizat la computer (compromiterea datelor). De exemplu, multe încercări nereușite de conectare la sistem pot constitui un Indicator de compromitere. Activitățile Scanare IOC permit găsirea Indicatorilor de compromitere pe computer și luarea măsurilor de răspuns la amenințări.

Sintaxa de comandă

IOC files

<full path to the IOC file>

Calea completă către fișierul IOC pe care doriți să îl utilizați pentru scanare. Puteți specifica mai multe fișiere IOC separate prin spații. Calea completă către fișierul IOC trebuie introdusă fără argumentul /path.

De exemplu, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Calea către directorul cu fișiere IOC pe care doriți să le utilizați pentru scanare. Fișierele IOC sunt fișiere care conțin seturile de indicatori pe care aplicația încearcă să le potrivească pentru a contoriza o detectare. Fișierele IOC trebuie să fie conforme cu standardul OpenIOC.

De exemplu, C:\Users\Admin\Desktop\IOC

Tipul de date pentru scanarea IOC
`/process=on\|off`	Analizați datele procesului atunci când efectuați scanarea IOC (termen ProcessItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează procesele care se execută pe computer la efectuarea scanării. În cazul în care fișierul IOC conține termenii IOC ai documentului IOC ProcessItem, aceștia sunt ignorați (detectați ca nicio potrivire). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele procesului numai dacă documentul IOC ProcessItem este descris în fișierul IOC care este furnizat pentru scanare.
`/hint=<full path to the executable file of the process\|full path to the file>`	Analizați datele fișierului atunci când efectuați scanarea IOC (termenii ProcessItem și FileItem). Poți selecta un fișier într-unul din următoarele moduri: `<full path to the executable file of the process>` – ProcessItem; `<full path to the file>` – FileItem.
`/registry=on\|off`	Analizați datele registry-ului Windows atunci când efectuați o scanare IOC (termen RegistryItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează registry-ul Windows. Dacă fișierul IOC conține termeni ai documentului IOC RegistryItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează registy-ul Windows numai dacă documentul IOC RegistryItem este descris în fișierul IOC care este furnizat pentru scanare. Pentru tipul de date RegistryItem, Kaspersky Endpoint Security scanează un set de chei de registry.
`/dnsentry=on\|off`	Analizați datele despre înregistrările din memoria cache DNS locală atunci când efectuați scanarea IOC (termen DnsEntryItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează memoria cache DNS locală. Dacă fișierul IOC conține termenii documentului IOC DnsEntryItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează memoria cache DNS locală numai dacă documentul IOC DnsEntryItem este descris în fișierul IOC care este furnizat pentru scanare.
`/arpentry=on\|off`	Analizați datele despre înregistrările din tabelul ARP atunci când efectuați scanarea IOC (termen ArpEntryItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează tabelul ARP. Dacă fișierul IOC conține termenii documentului IOC ArpEntryItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează tabelul ARP numai dacă documentul IOC ArpEntryItem este descris în fișierul IOC care este furnizat pentru scanare.
`/ports=on\|off`	Analizați datele despre porturile deschise pentru ascultare atunci când efectuați scanarea IOC (termen PortItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează tabelul conexiunilor active pe dispozitiv. Dacă fișierul IOC conține termenii documentului IOC PortItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează tabelul conexiunilor active numai dacă documentul IOC PortItem este descris în fișierul IOC care este furnizat pentru scanare.
`/services=on\|off`	Analizați datele despre serviciile instalate pe dispozitiv atunci când efectuați scanarea IOC (termen ServiceItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează datele despre serviciile instalate pe dispozitiv. Dacă fișierul IOC conține termenii documentului IOC ServiceItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre servicii numai dacă documentul IOC ServiceItem este descris în fișierul IOC care este furnizat pentru scanare.
`/system=on\|off`	Analizați datele despre mediu atunci când efectuați scanarea IOC (termen SystemInfoItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează datele despre mediu. Dacă fișierul IOC conține termenii documentului IOC SystemInfoItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre mediu numai dacă documentul IOC SystemInfoItem este descris în fișierul IOC care este furnizat pentru scanare.
`/users=on\|off`	Analizați datele despre utilizatori atunci când efectuați scanarea IOC (termen UserItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează datele despre utilizatorii creați în sistem. Dacă fișierul IOC conține termenii documentului IOC UserItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre utilizatorii creați în sistem numai dacă documentul IOC UserItem este descris în fișierul IOC care este furnizat pentru scanare.
`/volumes=on\|off`	Analizați datele despre volume atunci când efectuați scanarea IOC (termen VolumeItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează datele despre volumele de pe dispozitiv. Dacă fișierul IOC conține termenii documentului IOC VolumeItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele despre volume numai dacă documentul IOC VolumeItem este descris în fișierul IOC care este furnizat pentru scanare.
`/eventlog=on\|off`	Analizați datele despre înregistrările din jurnalul de evenimente Windows atunci când efectuați scanarea IOC (termen EventLogItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu scanează înregistrările din jurnalul de evenimente Windows. Dacă fișierul IOC conține termenii documentului IOC EventLogItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează jurnalul de evenimente Windows numai dacă documentul IOC EventLogItem este descris în fișierul IOC care este furnizat pentru scanare.
`/datetime=<event publication date>`	Luați în considerare data la care evenimentul a fost publicat în jurnalul de evenimente Windows atunci când determinați domeniul de scanare IOC pentru documentul IOC corespunzător. Când efectuați o scanare IOC, IOC Kaspersky Endpoint Security scanează intrările din jurnalul de evenimente Windows publicate în perioada cuprinsă între data și ora specificate și momentul la care se execută activitatea. Kaspersky Endpoint Security permite specificarea datei publicării evenimentului ca valoare a argumentului. Scanarea se efectuează numai pentru evenimentele publicate în jurnalul de evenimente Windows după data specificată și înainte de executarea scanării. Dacă argumentul nu este specificat, Kaspersky Endpoint Security scanează evenimentele cu orice dată de publicare. Setarea TaskSettings::BaseSettings::EventLogItem::datetime nu poate fi editată. Setarea este utilizată numai dacă documentul IOC EventLogItem este descris în fișierul IOC furnizat pentru scanare.
`/channel=<list of channels>`	Lista numelor canalelor (înregistrate în jurnal) pentru care doriți să efectuați o scanare IOC. Dacă argumentul este specificat, Kaspersky Endpoint Security scanează înregistrările publicate în jurnalele specificate. Documentul IOC trebuie să aibă termenul EventLogItem descris. Numele jurnalului este specificat ca un șir în conformitate cu numele (canalului) jurnalului specificat în proprietățile jurnalului (parametrul Nume complet) sau în proprietățile evenimentului (parametrul <Channel></Channel> din schema xml a evenimentului). Puteți specifica mai multe canale separate prin spații. Dacă argumentul nu este specificat, Kaspersky Endpoint Security scanează înregistrările pentru canalele `Aplicație`, `Sistem`, `Securitate`.
`/files=on\|off`	Analizați datele fișierului atunci când efectuați scanarea IOC (termen FileItem). Dacă valoarea argumentului este `off`, Kaspersky Endpoint Security nu analizează datele despre fișier. Dacă fișierul IOC conține termenii documentului IOC FileItem, aceștia sunt ignorați (detectați ca nepotriviți). Dacă argumentul nu este specificat, Kaspersky Endpoint Security analizează datele fișierului numai dacă documentul IOC FileItem este descris în fișierul IOC care este furnizat pentru scanare.
`/drives=<all\|system\|critical\|custom>`	Setați domeniul de scanare IOC atunci când analizați datele pentru documentul IOC FileItem. Puteți seta următoarele valori pentru domeniul de scanare: `<all>` pentru toate domeniile de fișiere disponibile, `<system>` pentru fișierele din directoarele în care este instalat sistemul de operare, `<critical>` pentru fișierele temporare din directoarele utilizator și sistem, `<custom>` pentru fișierele din domenii definite de utilizator (`/scope=<list of folders to scan>`). Dacă argumentul nu este specificat, scanarea se efectuează pentru zonele critice.
`/excludes=<list of exclusions>`	Setați domeniul de excludere atunci când analizați datele pentru documentul IOC FileItem. Puteți specifica mai multe căi separate prin spații.
`/scope=<list of folders to scan>`	Domeniul de scanare IOC definit de utilizator atunci când se analizează datele pentru documentul IOC FileItem (`/drives=custom`). Puteți specifica mai multe căi separate prin spații.

Valori returnate de comandă:

-1 înseamnă că comanda nu este acceptată de versiunea aplicației instalată pe computer;
0 înseamnă că comanda a fost executată cu succes;
1 înseamnă că un argument obligatoriu nu a fost transmis comenzii;
2 înseamnă că a apărut o eroare generală;
4 înseamnă că a apărut o eroare de sintaxă.

Dacă comanda a fost executată cu succes (valoare returnată 0) și indicatori de compromitere au fost detectați pe parcurs, Kaspersky Endpoint Security exportă următoarele informații despre rezultatul activității în linia de comandă:

`Uuid`	ID-ul fișierului IOC din antetul structurii fișierului IOC (eticheta `<ioc id="">`)
`Nume`	ID-ul fișierului IOC din antetul structurii fișierului IOC (eticheta `<description></description>`)
`Elemente indicatori potriviți`	Lista ID-urilor tuturor indicatorilor care se potrivesc.
`Obiecte potrivite`	Date pentru fiecare document IOC pentru care a existat o potrivire.

Începutul paginii