IOCSCAN. Поиск индикаторов компрометации (IOC)

Запуск задачи Поиск IOC. Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для выполнения команды перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security. Также вы можете добавить путь к исполняемому файлу в системную переменную %PATH% и выполнять команду без перехода в папку приложения.

Поиск IOC прерывается при обнаружении 128 совпадений с индикаторами компрометации, описанными в IOC-файлах. Это необходимо для ограничения количества записей в отчете задачи Поиск IOC для удобства его анализа и защиты отчета от переполнения из-за неточно сформулированных индикаторов компрометации, для которых совпадений может быть очень много.

Синтаксис команды

avp.com IOCSCAN <full path to the IOC file>|/path=<path to the IOC files folder> [/process=on|off] [/hint=<full path to executable file of a process|full file path>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<list of exclusions>][/scope=<list of folders to scan>]

IOC-файлы

 

<full path to the IOC file>

Полный путь к IOC-файлу, по которому требуется выполнить поиск. Вы можете указать несколько IOC-файлов через пробел. Полный путь к IOC-файлу следует ввести без аргумента /path.

Например, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Путь к папке с IOC-файлами, по которым требуется выполнять поиск. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Например, C:\Users\Admin\Desktop\IOC

Тип данных для поиска IOC

 

/process=on|off

Анализ данных о процессах при поиске IOC (термин ProcessItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет запущенные на компьютере процессы при выполнении проверки. Если в IOC-файле указаны IOC-термины IOC-документа ProcessItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле.

/hint=<full path to the executable file of the process|full path to the file>

Анализ данных о файле при поиске IOC (термины ProcessItem и FileItem).

Вы можете выбрать файл следующими способами:

  • <full path to the executable file of the process> – термин ProcessItem;
  • <full path to the file> – термин FileItem.

/registry=on|off

Анализ данных о реестре Windows при поиске IOC (термин RegistryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет реестр Windows. Если в IOC-файле указаны термины IOC-документа RegistryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет реестр Windows, только если IOC-документ RegistryItem описан в переданном на проверку IOC-файле.

Для типа данных RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

/dnsentry=on|off

Анализ данных о записях в локальном кеше DNS при поиске IOC (термин DnsEntryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет локальный кеш DNS. Если в IOC-файле указаны термины IOC-документа DnsEntryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле.

/arpentry=on|off

Анализ данных о записях в ARP-таблице при поиске IOC (термин ArpEntryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет таблицу ARP. Если в IOC-файле указаны термины IOC-документа ArpEntryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле.

/ports=on|off

Анализ данных о портах, открытых на прослушивание, при поиске IOC (термин PortItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет таблицу активных соединений на устройстве. Если в IOC-файле указаны термины IOC-документа PortItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле.

/services=on|off

Анализ данных о службах, установленных на устройстве, при поиске IOC (термин ServiceItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет данные о службах, установленных на устройстве. Если в IOC-файле указаны термины IOC-документа ServiceItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле.

/system=on|off

Анализ данных об окружении при поиске IOC (термин SystemInfoItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные об окружении. Если в IOC-файле указаны термины IOC-документа SystemInfoItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле.

/users=on|off

Анализ данных о пользователях при поиске IOC (термин UserItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные о пользователях, созданных в системе. Если в IOC-файле указаны термины IOC-документа UserItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле.

/volumes=on|off

Анализ данных о томах при поиске IOC (термин VolumeItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет данные о томах на устройстве. Если в IOC-файле указаны термины IOC-документа VolumeItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле.

/eventlog=on|off

Анализ данных о записях в журнале событий Windows при поиске IOC (термин EventLogItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет записи в журнале событий Windows. Если в IOC-файле указаны термины IOC-документа EventLogItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.

/datetime=<event publication date>

Учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа.

При поиске IOC Kaspersky Endpoint Security проверяет записи в журнале событий Windows, опубликованные в период с указанного времени и даты и до момента выполнения задачи.

В качестве значения параметра Kaspersky Endpoint Security позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки.

Если параметр не указан, Kaspersky Endpoint Security проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования.

Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.

/channel=<list of channels>

Список имен каналов (журналов), для которых требуется выполнить поиск IOC.

Если параметр указан, Kaspersky Endpoint Security проверяет записи, опубликованные в указанных журналах. При этом в IOC-документе должен быть описан термин EventLogItem.

Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). Вы можете указать несколько каналов через пробел.

Если параметр не указан, Kaspersky Endpoint Security проверяет записи для каналов Application, System, Security.

/files=on|off

Анализ данных о файлах при поиске IOC (термин FileItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные о файлах. Если в IOC-файле указаны термины IOC-документа FileItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле.

/drives=<all|system|critical|custom>

Область поиска IOC при анализе данных для IOC-документа FileItem.

Доступны следующие значения области поиска:

  • <all> – все доступные файловые области.
  • <system> – файлы, расположенные в папках, в которых установлена ОС.
  • <critical> – временные файлы в пользовательских и системных папках.
  • <custom> – файлы в указанных пользователем областях (/scope=<list of folders to scan>).

Если параметр не установлен, проверка выполняется в критических областях.

/excludes=<list of exclusions>

Область исключений при анализе данных для IOC-документа FileItem. Вы можете указать несколько путей через пробел.

/scope=<list of folders to scan>

Пользовательская область поиска IOC при анализе данных для IOC-документа FileItem (/drives=custom). Вы можете указать несколько путей через пробел.

/retro /<number of days>

Ретроспективный поиск IOC – это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Security выполняет поиск индикаторов компрометации по данным, полученным за определенный интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности компьютера.

Вы можете указать интервал времени в диапазоне 1 - 14 дней. По умолчанию приложение выполняет поиск индикаторов компрометации за один день.

/network=on|off

Анализ сетевых данных (термин NetworkItem).

/url=on|off

Анализ данных в журналах браузеров (термин UrlHistoryItem).

Ретроспективный поиск IOC анализирует журналы следующих браузеров: Google Chrome, Mozilla Firefox, Microsoft Edge (версии 79 и выше).

/email

Анализ почтовых объектов (термин EmailItem).

/route

Анализ таблиц маршрутизации (термин RouteEntryItem).

Коды возврата команды:

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:

Uuid

Идентификатор IOC-файла из заголовка структуры IOC-файла (тег <ioc id="">)

Name

Описание IOC-файла из заголовка структуры IOC-файла (тег <description></description>)

Matched Indicator Items

Перечень идентификаторов всех сработавших индикаторов.

Matched objects

Данные по каждому документу IOC, по которому было найдено совпадение.

В начало