IOCSCAN. Verificar indicadores de comprometimento (IOC)

Execute a tarefa Verificar indicadores de comprometimento (IOC). Um Indicador de comprometimento (IOC) é um conjunto de dados relativos a um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas falhadas de iniciar sessão no sistema podem constituir um Indicador de Comprometimento. A tarefa Verificação IOC permite localizar indicadores de comprometimento no computador e adotar medidas de resposta a ameaças.

Sintaxe de comando

avp.com IOCSCAN <full path to the IOC file>|/path=<path to the IOC files folder> [/process=on|off] [/hint=<full path to executable file of a process|full file path>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<list of exclusions>][/scope=<list of folders to scan>]

IOC files

 

<full path to the IOC file>

Caminho completo para o ficheiro IOC que deseja usar para a verificação. Pode especificar vários ficheiros IOC separados por espaços. O caminho completo para o ficheiro IOC deve ser introduzido sem o argumento /path.

Por exemplo, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Caminho para a pasta com os IOC files que deseja utilizar para a verificação. Os IOC files são ficheiros que contêm os conjuntos de indicadores que a aplicação tenta corresponder para contar uma deteção. Os IOC files devem estar em conformidade com o padrão OpenIOC.

Por exemplo, C:\Users\Admin\Desktop\IOC

Tipo de dados para a verificação IOC

 

/process=on|off

Analise os dados do processo ao executar a verificação IOC (termo ProcessItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não analisa os processos em execução no computador durante a verificação. Se o ficheiro IOC contiver termos IOC do documento ProcessItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados do processo se o documento ProcessItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/hint=<full path to the executable file of the process|full path to the file>

Analise os dados do ficheiro ao executar a verificação IOC (termos ProcessItem e FileItem).

Pode selecionar um ficheiro através de uma das seguintes formas:

  • <full path to the executable file of the process> – termo ProcessItem;
  • <full path to the file> – termo FileItem.

/registry=on|off

Analise os dados de registo do Windows ao executar uma verificação IOC (termo RegistryItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não verifica o registo do Windows. Se o ficheiro IOC contiver termos do documento RegistryItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa o registo do Windows se o documento RegistryItem IOC for descrito no ficheiro IOC fornecido para a verificação.

Para o tipo de dados RegistryItem, o Kaspersky Endpoint Security verifica um conjunto de chaves de registo.

/dnsentry=on|off

Analise os dados sobre os registos na cache DNS local ao executar a verificação IOC (termo DnsEntryItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não verifica a cache DNS local. Se o ficheiro IOC contiver termos do documento DnsEntryItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa a cache DNS local se o documento DnsEntryItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/arpentry=on|off

Analise os dados sobre os registos na tabela ARP ao realizar a verificação IOC (termo ArpEntryItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não verifica a tabela ARP. Se o ficheiro IOC contiver termos do documento ArpEntryItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa a tabela ARP se o documento ArpEntryItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/ports=on|off

Analise os dados sobre as portas de escuta abertas ao executar a verificação IOC (termo PortItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não verifica a tabela de ligações ativas no dispositivo. Se o ficheiro IOC contiver termos do documento PortItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa a tabela de ligações ativas se o documento PortItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/services=on|off

Analise os dados sobre os serviços instalados no dispositivo ao executar a verificação IOC (termo ServiceItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não verifica os dados sobre os serviços instalados no dispositivo. Se o ficheiro IOC contiver termos do documento ServiceItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados sobre o serviço se o documento ServiceItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/system=on|off

Analise os dados de ambiente ao executar a verificação IOC (termo SystemInfoItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não analisa os dados de ambiente. Se o ficheiro IOC contiver termos do documento SystemInfoItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados de ambiente se o documento SystemInfoItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/users=on|off

Analise os dados sobre os utilizadores ao executar a verificação IOC (termo UserItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não analisa os dados sobre os utilizadores criados no sistema. Se o ficheiro IOC contiver termos do documento UserItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados sobre os utilizadores criados no sistema se o documento UserItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/volumes=on|off

Analise os dados do volume ao executar a verificação IOC (termo VolumeItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não verifica os dados do volume no dispositivo. Se o ficheiro IOC contiver termos do documento VolumeItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados do volume se o documento VolumeItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/eventlog=on|off

Analise os dados sobre os registos no registo de eventos do Windows ao executar a verificação IOC (termo EventLogItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não verifica os registos no registo de eventos do Windows. Se o ficheiro IOC contiver termos do documento EventLogItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa o registo de eventos do Windows se o documento EventLogItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/datetime=<data de publicação do evento>

Tenha em consideração a data em que o evento foi publicado no registo de eventos do Windows ao determinar o âmbito de verificação IOC para o documento IOC correspondente.

Ao executar uma verificação IOC, o Kaspersky Endpoint Security verifica as entradas do registo de eventos do Windows publicadas durante desde o dia e hora especificados ao momento em que a tarefa é executada.

O Kaspersky Endpoint Security permite especificar a data de publicação do evento como o valor do argumento. A verificação só é executada para eventos publicados no registo de eventos do Windows após a data especificada e antes de a verificação ser executada.

Se o argumento não for especificado, o Kaspersky Endpoint Security verifica os eventos independentemente da data de publicação. Não é possível editar a definição TaskSettings::BaseSettings::EventLogItem::datetime.

A definição só é utilizada se o documento EventLogItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/Channel=<lista de canais>

Lista de nomes de canais (registo) nos quais deseja executar uma verificação IOC.

Se o argumento for especificado, o Kaspersky Endpoint Security verifica os registos publicados nos registos especificados. O documento IOC deve ter o termo EventLogItem descrito.

O nome do registo é especificado como uma cadeia de acordo com o nome do registo (canal) especificado nas propriedades do registo (no parâmetro Full Name) ou nas propriedades do evento (no parâmetro <Channel></Channel>, no esquema XML do evento). Pode especificar vários canais separados por espaços.

Se o argumento não for especificado, o Kaspersky Endpoint Security verifica os registos dos canais Application, System, Security.

/files=on|off

Analise os dados do ficheiro ao executar a verificação IOC (termo FileItem).

Se o valor do argumento for off (não), o Kaspersky Endpoint Security não analisa os dados do ficheiro. Se o ficheiro IOC contiver termos do documento FileItem IOC, estes serão ignorados (detetados como sem correspondência).

Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados do ficheiro se o documento FileItem IOC for descrito no ficheiro IOC fornecido para a verificação.

/drives=<all|system|critical|custom>

Defina o âmbito de verificação IOC ao analisar dados para o documento FileItem IOC.

Pode definir os seguintes valores para o âmbito de verificação:

  • <all> para todos os âmbitos de ficheiro disponíveis.
  • <system> para ficheiros em pastas nas quais o sistema operativo está instalado.
  • <critical> para ficheiros temporários nas pastas do utilizador e do sistema.
  • <custom> para ficheiros em âmbitos definidos pelo utilizador (--scope=<list of folders to scan>).

Se o argumento não for especificado, a verificação será executada em áreas críticas.

/excludes=<lista de exclusões>

Defina o âmbito de exclusão ao analisar dados para o documento FileItem IOC. Pode especificar vários caminhos separados por espaços.

/scope=<lista de pastas a verificar>

Âmbito de verificação IOC definido pelo utilizador ao analisar dados para o documento FileItem IOC (/drives=custom). Pode especificar vários caminhos separados por espaços.

Valores de retorno do comando:

Se o comando for executado com êxito (valor de retorno 0) e tiverem sido detetados indicadores de comprometimento ao longo do caminho, o Kaspersky Endpoint Security envia as seguintes informações sobre os resultados da tarefa para a command line:

Uuid

ID do ficheiro IOC do cabeçalho da estrutura do ficheiro IOC (a etiqueta <ioc id="">)

Name

Descrição do ficheiro IOC do cabeçalho da estrutura do ficheiro IOC (a etiqueta <description></description>)

Matched Indicator Items

Lista de ID de todos os indicadores correspondentes.

Matched objects

Dados de cada documento IOC para o qual houve uma correspondência.

Topo da página