IOCSCAN. Untersuchung auf Kompromittierungsindikatoren (IOC)

Aufgabe IOC-Untersuchung starten Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe der Aufgabe IOC-Untersuchung können Kompromittierungsindikatoren auf dem Computer gefunden und Maßnahmen zur Reaktion auf Bedrohungen ergreifen werden.

Um den Befehl auszuführen, wechseln Sie zu dem Ordner, in dem sich die ausführbare Datei von Kaspersky Endpoint Security befindet. Sie können den Pfad der ausführbaren Datei auch zur Systemvariablen %PATH% hinzufügen und den Befehl ausführen, ohne in den Programmordner zu wechseln.

Befehlssyntax

avp.com IOCSCAN <vollständiger Pfad der IOC-Datei>|/path=<Pfad des Ordners mit den IOC-Dateien> [/process=on|off] [/hint=<vollständiger Pfad der ausführbaren Datei des Prozesses|vollständiger Dateipfad>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<Veröffentlichungsdatum des Ereignisses>] [/channels=<Liste der Kanäle>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<Liste mit Ausnahmen>][/scope=<Liste der zu untersuchenden Ordner>]

IOC-Dateien

 

<full path to the IOC file>

Vollständiger Pfad der IOC-Datei, die Sie zur Untersuchung verwenden möchten. Sie können mehrere durch Leerzeichen getrennte IOC-Dateien angeben. Der vollständige Pfad der IOC-Datei muss ohne das Argument /path angegeben werden.

Beispiel: C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Pfad des Ordners mit den IOC-Dateien, die Sie zur Untersuchung verwenden möchten. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.

Beispiel: C:\Users\Admin\Desktop\IOC

Datentyp für die IOC-Untersuchung

 

/process=on|off

Analysieren der Prozessdaten, während die IOC-Untersuchung ausgeführt wird (ProcessItem-Ausdruck).

Wenn der Wert des Arguments off ist, analysiert Kaspersky Endpoint Security die auf dem Computer ausgeführten Prozesse während der Untersuchung nicht. Falls die IOC-Datei IOC-Bedingungen des ProcessItem-IOC-Dokuments enthält, werden sie ignoriert (als Nicht-Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Prozessdaten nur dann, wenn das ProcessItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/hint=<full path to the executable file of the process|full path to the file>

Analysieren von Dateidaten, während die IOC-Untersuchung ausgeführt wird (ProcessItem- und FileItem-Ausdrücke).

Für die Auswahl einer Datei bestehen folgenden Möglichkeiten:

  • <full path to the executable file of the process> – Ausdruck ProcessItem
  • <full path to the file> – Ausdruck FileItem

/registry=on|off

Analysieren von Windows-Registrierungsdaten, während die IOC-Untersuchung ausgeführt wird (RegistryItem-Ausdruck).

Wenn der Wert des Arguments off ist, durchsucht Kaspersky Endpoint Security die Windows-Registrierung nicht. Wenn die IOC-Datei Ausdrücke des RegistryItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Windows-Registrierung nur dann, wenn das RegistryItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

Beim Datentyp „RegistryItem“ untersucht Kaspersky Endpoint Security eine Reihe von Registrierungsschlüsseln.

/dnsentry=on|off

Analysieren von Daten über Einträge im lokalen DNS-Cache, während die IOC-Untersuchung ausgeführt wird (DnsEntryItem-Ausdruck).

Wenn der Wert des Arguments off ist, untersucht Kaspersky Endpoint Security den lokalen DNS-Cache nicht. Wenn die IOC-Datei Ausdrücke des DnsEntryItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security den lokalen DNS-Cache nur dann, wenn das DnsEntryItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/arpentry=on|off

Analysieren von Daten über Einträge in der ARP-Tabelle, während die IOC-Untersuchung ausgeführt wird (ArpEntryItem-Begriff).

Wenn der Wert des Arguments off ist, untersucht Kaspersky Endpoint Security die ARP-Tabelle nicht. Wenn die IOC-Datei Ausdrücke des ArpEntryItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die ARP-Tabelle nur dann, wenn das ArpEntryItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/ports=on|off

Analysieren von Daten über Ports, die während der IOC-Untersuchung zum Abhören geöffnet sind (PortItem-Ausdruck).

Wenn der Wert des Arguments off ist, untersucht Kaspersky Endpoint Security die Tabelle der auf dem Gerät aktiven Verbindungen nicht. Wenn die IOC-Datei Ausdrücke des PortItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Tabelle der aktiven Verbindungen nur dann, wenn das PortItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/services=on|off

Analysieren von Daten über auf dem Gerät installierte Dienste, während die IOC-Untersuchung ausgeführt wird (ServiceItem-Ausdruck).

Wenn der Wert des Arguments off ist, untersucht Kaspersky Endpoint Security die Daten über auf dem Gerät installierte Dienste nicht. Wenn die IOC-Datei Ausdrücke des ServiceItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Dienstdaten nur dann, wenn das ServiceItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/system=on|off

Analysieren von Umgebungsdaten, während die IOC-Untersuchung ausgeführt wird (SystemInfoItem-Ausdruck).

Wenn der Wert des Arguments off ist, analysiert Kaspersky Endpoint Security die Umgebungsdaten nicht. Wenn die IOC-Datei Ausdrücke des SystemInfoItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Umgebungsdaten nur dann, wenn das SystemInfoItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/users=on|off

Analysieren von Daten über Benutzer, während die IOC-Untersuchung ausgeführt wird (UserItem-Ausdruck).

Wenn der Wert des Arguments off ist, analysiert Kaspersky Endpoint Security die im System über Benutzer erstellten Daten nicht. Wenn die IOC-Datei Ausdrücke des UserItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die im System über Benutzer erstellten Daten nur dann, wenn das UserItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/volumes=on|off

Analysieren von Daten über Volumes, während die IOC-Untersuchung ausgeführt wird (VolumeItem-Ausdruck).

Wenn der Wert des Arguments off ist, untersucht Kaspersky Endpoint Security die Daten über Volumes auf dem Gerät nicht. Wenn die IOC-Datei Ausdrücke des VolumeItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Volume-Daten nur dann, wenn das VolumeItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/eventlog=on|off

Analysieren von Daten über Datensätze im Windows-Ereignisprotokoll, während die IOC-Untersuchung ausgeführt wird (EventLogItem-Ausdruck).

Wenn der Wert des Arguments off ist, durchsucht Kaspersky Endpoint Security die Einträge im Windows-Ereignisprotokoll nicht. Wenn die IOC-Datei Ausdrücke des EventLogItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security das Windows-Ereignisprotokoll nur dann, wenn das EventLogItem -IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/datetime=<event publication date>

Bei der Bestimmung des IOC-Untersuchungsbereichs für das entsprechende IOC-Dokument wird das Datum berücksichtigt, an dem das Ereignis im Windows-Ereignisprotokoll veröffentlicht wurde.

Wenn eine IOC-Untersuchung ausgeführt wird, überprüft Kaspersky Endpoint Security die Einträge des Windows-Ereignisprotokolls, die ab dem angegebenen Zeitpunkt (Uhrzeit und Datum) bis zum Zeitpunkt der Aufgabenausführung veröffentlicht wurden.

In Kaspersky Endpoint Security kann das Veröffentlichungsdatum des Ereignisses als Wert des Arguments angegeben werden. Die Untersuchung wird nur für Ereignisse durchgeführt, die nach dem angegebenen Datum und vor der Ausführung der Untersuchung im Windows-Ereignisprotokoll veröffentlicht wurden.

Ist das Argument nicht angegeben, so untersucht Kaspersky Endpoint Security Ereignisse mit beliebigem Veröffentlichungsdatum. Die Einstellung TaskSettings::BaseSettings::EventLogItem::datetime kann nicht bearbeitet werden.

Diese Einstellung wird nur verwendet, wenn das EventLogItem-IOC-Dokument in der für die Untersuchung bereitgestellten IOC-Datei beschrieben ist.

/channel=<list of channels>

Liste der Kanal-(Protokoll-)Namen, für die Sie eine IOC-Untersuchung durchführen möchten.

Wenn das Argument angegeben ist, untersucht Kaspersky Endpoint Security die in den angegebenen Protokollen veröffentlichten Einträge. Der EventLogItem-Ausdruck muss im IOC-Dokument beschrieben sein.

Der Name des Protokolls wird als String angegeben, der dem Namen des Protokolls (Kanals) entspricht, das in den Protokolleigenschaften (Parameter „Full Name“) oder in den Ereigniseigenschaften (Parameter „<Channel></Channel>“ im XML-Schema des Ereignisses) angegeben ist. Sie können mehrere durch Leerzeichen getrennte Kanäle angeben.

Ist das Argument nicht angegeben, so durchsucht Kaspersky Endpoint Security die Einträge nach den Kanälen Application, System und Security.

/files=on|off

Analysieren von Dateidaten, während die IOC-Untersuchung ausgeführt wird (FileItem-Ausdruck).

Wenn der Wert des Arguments off ist, analysiert Kaspersky Endpoint Security die Dateidaten nicht. Wenn die IOC-Datei Ausdrücke des FileItem-IOC-Dokuments enthält, werden diese ignoriert (nicht als Übereinstimmung erkannt).

Ist das Argument nicht angegeben, so analysiert Kaspersky Endpoint Security die Dateidaten nur dann, wenn das FileItem-IOC-Dokument in der IOC-Datei beschrieben ist, die für die Untersuchung bereitgestellt wird.

/drives=<all|system|critical|custom>

Festlegen des IOC-Untersuchungsbereichs, wenn Daten für das FileItem-IOC-Dokument analysiert werden.

Für den Untersuchungsbereich können Sie die folgenden Werte festlegen:

  • <all> für alle verfügbaren Dateibereiche.
  • <system> für Dateien in Ordnern, in denen das Betriebssystem installiert ist.
  • <critical> für temporäre Dateien in Benutzer- und Systemordnern.
  • <custom> für Dateien in benutzerdefinierten Bereichen (/scope=<list of folders to scan>).

Ist das Argument nicht angegeben, so wird die Untersuchung für kritische Bereiche durchgeführt.

/excludes=<list of exclusions>

Festlegen des IOC-Ausnahmebereichs, wenn Daten für das FileItem-IOC-Dokument analysiert werden. Sie können mehrere durch Leerzeichen getrennte Pfade angeben.

/scope=<list of folders to scan>

Benutzerdefinierter IOC-Untersuchungsbereich, wenn Daten für das FileItem-IOC-Dokument analysiert werden (/drives=custom). Sie können mehrere durch Leerzeichen getrennte Pfade angeben.

Rückgabewerte des Befehls:

Wenn der Befehl erfolgreich ausgeführt wurde (Rückgabewert 0) und dabei Kompromittierungsindikatoren erkannt wurden, gibt Kaspersky Endpoint Security die folgenden Informationen zu den Aufgabenergebnissen an die Befehlszeile aus:

Uuid

ID der IOC-Datei aus der Kopfzeile der IOC-Dateistruktur (Tag <ioc id="">)

Name

Beschreibung der IOC-Datei aus der Kopfzeile der IOC-Dateistruktur (Tag <description></description>)

Matched Indicator Items

Liste der IDs aller übereinstimmenden Indikatoren.

Matched objects

Daten für jedes IOC-Dokument, für das es eine Übereinstimmung gab.

Nach oben