IOCSCAN. Поиск индикаторов компрометации (IOC)

Запустить задачу поиска индикаторов компрометации (IOC). Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Синтаксис команды

IOC-файлы

<full path to the IOC file>

Полный путь к IOC-файлу, по которому требуется выполнить поиск. Вы можете указать несколько IOC-файлов через пробел. Полный путь к IOC-файлу следует ввести без аргумента /path.

Например, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Путь к папке с IOC-файлами, по которым требуется выполнять поиск. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Например, C:\Users\Admin\Desktop\IOC

Тип данных для поиска IOC
`/process=on\|off`	Анализ данных о процессах при поиске IOC (термин ProcessItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет запущенные на компьютере процессы при выполнении проверки. Если в IOC-файле указаны IOC-термины IOC-документа ProcessItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле.
`/hint=<full path to the executable file of the process\|full path to the file>`	Анализ данных о файле при поиске IOC (термины ProcessItem и FileItem). Вы можете выбрать файл следующими способами: `<full path to the executable file of the process>` – термин ProcessItem; `<full path to the file>` – термин FileItem.
`/registry=on\|off`	Анализ данных о реестре Windows при поиске IOC (термин RegistryItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет реестр Windows. Если в IOC-файле указаны термины IOC-документа RegistryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security проверяет реестр Windows, только если IOC-документ RegistryItem описан в переданном на проверку IOC-файле. Для типа данных RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.
`/dnsentry=on\|off`	Анализ данных о записях в локальном кеше DNS при поиске IOC (термин DnsEntryItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет локальный кеш DNS. Если в IOC-файле указаны термины IOC-документа DnsEntryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле.
`/arpentry=on\|off`	Анализ данных о записях в ARP-таблице при поиске IOC (термин ArpEntryItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет таблицу ARP. Если в IOC-файле указаны термины IOC-документа ArpEntryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле.
`/ports=on\|off`	Анализ данных о портах, открытых на прослушивание, при поиске IOC (термин PortItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет таблицу активных соединений на устройстве. Если в IOC-файле указаны термины IOC-документа PortItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле.
`/services=on\|off`	Анализ данных о службах, установленных на устройстве, при поиске IOC (термин ServiceItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет данные о службах, установленных на устройстве. Если в IOC-файле указаны термины IOC-документа ServiceItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле.
`/system=on\|off`	Анализ данных об окружении при поиске IOC (термин SystemInfoItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не анализирует данные об окружении. Если в IOC-файле указаны термины IOC-документа SystemInfoItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле.
`/users=on\|off`	Анализ данных о пользователях при поиске IOC (термин UserItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не анализирует данные о пользователях, созданных в системе. Если в IOC-файле указаны термины IOC-документа UserItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле.
`/volumes=on\|off`	Анализ данных о томах при поиске IOC (термин VolumeItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет данные о томах на устройстве. Если в IOC-файле указаны термины IOC-документа VolumeItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле.
`/eventlog=on\|off`	Анализ данных о записях в журнале событий Windows при поиске IOC (термин EventLogItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не проверяет записи в журнале событий Windows. Если в IOC-файле указаны термины IOC-документа EventLogItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.
`/datetime=<event publication date>`	Учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа. При поиске IOC Kaspersky Endpoint Security проверяет записи в журнале событий Windows, опубликованные в период с указанного времени и даты и до момента выполнения задачи. В качестве значения параметра Kaspersky Endpoint Security позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки. Если параметр не указан, Kaspersky Endpoint Security проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования. Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.
`/channel=<list of channels>`	Список имен каналов (журналов), для которых требуется выполнить поиск IOC. Если параметр указан, Kaspersky Endpoint Security проверяет записи, опубликованные в указанных журналах. При этом в IOC-документе должен быть описан термин EventLogItem. Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). Вы можете указать несколько каналов через пробел. Если параметр не указан, Kaspersky Endpoint Security проверяет записи для каналов `Application`, `System`, `Security`.
`/files=on\|off`	Анализ данных о файлах при поиске IOC (термин FileItem). Если параметр установлен со значением `off`, Kaspersky Endpoint Security не анализирует данные о файлах. Если в IOC-файле указаны термины IOC-документа FileItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле.
`/drives=<all\|system\|critical\|custom>`	Область поиска IOC при анализе данных для IOC-документа FileItem. Доступны следующие значения области поиска: `<all>` – все доступные файловые области. `<system>` – файлы, расположенные в папках, в которых установлена ОС. `<critical>` – временные файлы в пользовательских и системных папках. `<custom>` – файлы в указанных пользователем областях (`/scope=<list of folders to scan>`). Если параметр не установлен, проверка выполняется в критических областях.
`/excludes=<list of exclusions>`	Область исключений при анализе данных для IOC-документа FileItem. Вы можете указать несколько путей через пробел.
`/scope=<list of folder to scan>`	Пользовательская область поиска IOC при анализе данных для IOC-документа FileItem (`/drives=custom`). Вы можете указать несколько путей через пробел.

Коды возврата команды:

-1 – команда не поддерживается версией приложения, которое установлено на компьютере.
0 – команда выполнена успешно.
1 – команде не передан обязательный аргумент.
2 – общая ошибка.
4 – синтаксическая ошибка.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:

`Uuid`	Идентификатор IOC-файла из заголовка структуры IOC-файла (тег `<ioc id="">`)
`Name`	Описание IOC-файла из заголовка структуры IOC-файла (тег `<description></description>`)
`Matched Indicator Items`	Перечень идентификаторов всех сработавших индикаторов.
`Matched objects`	Данные по каждому документу IOC, по которому было найдено совпадение.

В начало