IOCSCAN. Skanowanie pod kątem wskaźników naruszeń bezpieczeństwa (IOC)

Uruchom zadanie Skanowanie pod kątem wskaźników naruszeń bezpieczeństwa (IOC). Wskaźnik naruszeń bezpieczeństwa (IOC) to zestaw danych dotyczących obiektu lub aktywności, która wskazuje nieautoryzowany dostęp do komputera (naruszenie bezpieczeństwa danych). Na przykład, wiele niepomyślnych prób zalogowania do systemu może stanowić wskaźnik naruszeń bezpieczeństwa. Zadanie Skanowanie IOC umożliwia odszukanie wskaźników naruszeń bezpieczeństwa na komputerze i podejmują środki reakcji na zagrożenia.

Składnia polecenia

avp.com IOCSCAN <pełna ścieżka do pliku IOC>|/path=<ścieżka do folderu plików IOC> [/process=on|off] [/hint=<pełna ścieżka do pliku wykonywalnego procesu|pełna ścieżka do pliku>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<data publikacji zdarzenia>] [/channels=<lista kanałów>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<lista wykluczeń>][/scope=<lista folderów do przeskanowania>]

Pliki IOC

 

<pełna ścieżka do pliku IOC>

Pełna ścieżka do pliku IOC, którego chcesz użyć do skanowania. Możesz określić kilka plików IOC oddzielonych spacjami. Pełna ścieżka do pliku IOC musi zostać wprowadzona bez argumentu /path.

Na przykład: C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<ścieżka do folderu z plikami IOC>

Ścieżka do folderu z plikami IOC, których chcesz użyć do skanowania. Pliki IOC to pliki zawierające zestawy wskaźników, które aplikacja próbuje dopasować do licznika wykrywania. Pliki IOC muszą pasować do standardu OpenIOC.

Na przykład: C:\Users\Admin\Desktop\IOC

Typ danych skanowania IOC

 

/process=on|off

Analizuje dane procesu podczas wykonywania skanowania IOC (warunek ProcessItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie analizuje procesów uruchamianych na komputerze podczas wykonywania skanowania. Jeśli plik IOC zawiera warunki IOC dokumentu ProcessItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane procesu tylko wtedy, gdy dokument ProcessItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/hint=<pełna ścieżka dostępu do pliku wykonywalnego procesu|pełna ścieżka do pliku>

Analizuje dane pliku podczas wykonywania skanowania IOC (warunki ProcessItem i FileItem).

Możesz wybrać plik na jeden z następujących sposobów:

  • <pełna ścieżka do pliku wykonywalnego procesu> — warunek ProcessItem;
  • <pełna ścieżka do pliku> — warunek FileItem.

/registry=on|off

Analizuje dane rejestru systemu Windows podczas wykonywania skanowania IOC (warunek RegistryItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie skanuje rejestru systemu Windows. Jeśli plik IOC zawiera warunki dokumentu RegistryItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje rejestr systemu Windows tylko wtedy, gdy dokument RegistryItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

Dla typów danych RegistryItem Kaspersky Endpoint Security skanuje zestaw kluczy rejestru.

/dnsentry=on|off

Analizuje dane dotyczące wpisów w lokalnej pamięci podręcznej DNS podczas wykonywania skanowania IOC (warunek DnsEntryItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie skanuje lokalnej pamięci podręcznej DNS. Jeśli plik IOC zawiera warunki dokumentu DnsEntryItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje lokalną pamięć podręczną DNS tylko wtedy, gdy dokument DnsEntryItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/arpentry=on|off

Analizuje dane dotyczące wpisów w tabeli ARP podczas wykonywania skanowania IOC (warunek ArpEntryItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie skanuje tabeli ARP. Jeśli plik IOC zawiera warunki dokumentu ArpEntryItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje tabelę ARP tylko wtedy, gdy dokument ArpEntryItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/ports=on|off

Analizuje dane dotyczące portów otwartych do nasłuchiwania podczas wykonywania skanowania IOC (warunek PortItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie skanuje tabeli aktywnych połączeń na urządzeniu. Jeśli plik IOC zawiera warunki dokumentu PortItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje tabelę aktywnych połączeń tylko wtedy, gdy dokument PortItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/services=on|off

Analizuje dane dotyczące usług zainstalowanych na urządzeniu podczas wykonywania skanowania IOC (warunek ServiceItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie skanuje danych dotyczących usług zainstalowanych na urządzeniu. Jeśli plik IOC zawiera warunki dokumentu ServiceItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane usługi tylko wtedy, gdy dokument ServiceItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/system=on|off

Analizuje dane środowiskowe podczas wykonywania skanowania IOC (warunek SystemInfoItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie analizuje danych środowiskowych. Jeśli plik IOC zawiera warunki dokumentu SystemInfoItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane środowiskowe tylko wtedy, gdy dokument SystemInfoItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/users=on|off

Analizuje dane dotyczące użytkowników podczas wykonywania skanowania IOC (warunek UserItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie analizuje danych dotyczących użytkowników utworzonych w systemie. Jeśli plik IOC zawiera warunki dokumentu UserItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane dotyczące użytkowników tworzonych w systemie tylko wtedy, gdy dokument UserItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/volumes=on|off

Analizuje dane dotyczące woluminów podczas wykonywania skanowania IOC (warunek VolumeItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie skanuje danych dotyczących woluminów na urządzeniu. Jeśli plik IOC zawiera warunki dokumentu VolumeItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane woluminów tylko wtedy, gdy dokument VolumeItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/eventlog=on|off

Analizuje dane dotyczące wpisów w Dzienniku zdarzeń systemu Windows podczas wykonywania skanowania IOC (warunek EventLogItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie skanuje wpisów w Dzienniku zdarzeń systemu Windows. Jeśli plik IOC zawiera warunki dokumentu EventLogItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje Dziennik zdarzeń systemu Windows tylko wtedy, gdy dokument EventLogItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/datetime=<data publikacji zdarzenia>

Należy wziąć pod uwagę datę opublikowania zdarzenia w Dzienniku zdarzeń systemu Windows podczas określania obszaru skanowania IOC dla odpowiedniego dokumentu IOC.

Podczas wykonywania skanowania IOC, Kaspersky Endpoint Security skanuje wpisy w Dzienniku zdarzeń systemu Windows opublikowane w trakcie czasu od określonej godziny i daty do momentu, gdy zadanie jest uruchomione.

Kaspersky Endpoint Security umożliwia określenie daty publikacji zdarzenia jako wartości argumentu. Skanowanie jest wykonywane tylko dla zdarzeń opublikowanych w Dzienniku zdarzeń systemu Windows po określonej dacie, a przed uruchomieniem skanowania.

Jeśli argument nie jest określony, Kaspersky Endpoint Security skanuje zdarzenia z dowolną datą publikacji. Ustawienia TaskSettings::BaseSettings::EventLogItem::datetime nie można edytować.

Ustawienie jest używane tylko wtedy, gdy dokument EventLogItem IOC został opisany w pliku IOC dostarczonym do przeskanowania.

/channel=<lista kanałów>

Lista nazw kanałów (dziennik), dla których chcesz wykonać skanowanie IOC.

Jeśli argument został określony, Kaspersky Endpoint Security skanuje wpisy opublikowane w określonych dziennikach. Dokument IOC musi zawierać opisany warunek EventLogItem.

Nazwa dziennika jest określona jako ciąg znaków zgodnie z nazwą dziennika (kanału), określonego we właściwościach dziennika (parametr Full Name) lub we właściwościach zdarzenia (parametr <Channel></Channel> w schemacie xml zdarzenia). Możesz określić kilka kanałów oddzielonych spacjami.

Jeśli argument nie został określony, Kaspersky Endpoint Security skanuje wpisy dla kanałów Application, System, Security.

/files=on|off

Analizuje dane plików podczas wykonywania skanowania IOC (warunek FileItem).

Jeśli wartość argumentu to off, Kaspersky Endpoint Security nie analizuje danych plików. Jeśli plik IOC zawiera warunki dokumentu FileItem IOC, są one ignorowane (wykryte jako brak dopasowania).

Jeśli argument nie został określony, Kaspersky Endpoint Security analizuje dane plików tylko wtedy, gdy dokument FileItem IOC został opisany w pliku IOC, dostarczonym do przeskanowania.

/drives=<all|system|critical|custom>

Ustawia obszar skanowania IOC podczas analizowania danych dla dokumentu FileItem IOC.

Możesz ustawić następujące wartości dla obszaru skanowania:

  • <all> dla wszystkich dostępnych obszarów plików.
  • <system> dla plików w folderach, w których zainstalowany jest system operacyjny.
  • <critical> dla plików tymczasowych w folderach użytkownika i systemowych.
  • <custom> dla plików w obszarach zdefiniowanych przez użytkownika (/scope=<lista folderów do przeskanowania>).

Jeśli argument nie został określony, wykonywanie jest skanowanie obszarów krytycznych.

/excludes=<lista wykluczeń>

Ustawia obszar wykluczeń podczas analizowania danych dla dokumentu FileItem IOC. Możesz określić kilka ścieżek oddzielonych spacjami.

/scope=<lista folderów do przeskanowania>

Obszar skanowania IOC zdefiniowany przez użytkownika podczas analizowania danych dla dokumentu FileItem IOC (/drives=custom). Możesz określić kilka ścieżek oddzielonych spacjami.

Wartości zwrotne polecenia:

Jeśli polecenie zostało wykonane pomyślnie (wartość zwrotna 0) i wykryto wskaźniki naruszeń bezpieczeństwa, Kaspersky Endpoint Security zwróci do wiersza poleceń następujące informacje o wyniku wykonania zadania:

Uuid

ID pliku IOC z nagłówka struktury pliku IOC (znacznik <ioc id="">)

Nazwa

Opis pliku IOC z nagłówka struktury pliku IOC (znacznik <description></description>)

Matched Indicator Items

Lista identyfikatorów wszystkich dopasowanych wskaźników.

Matched objects

Dana każdego dokumentu IOC, dla których było dopasowanie.

Przejdź do góry