Ejecución de la tarea Análisis de IOC. Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o actividad que indica el acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea de Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta a la amenaza.
Para ejecutar el comando, vaya a la carpeta en la que se encuentre el archivo ejecutable de Kaspersky Endpoint Security. También puede añadir la ruta del archivo ejecutable a la variable de sistema % PATH% y ejecutar el comando sin navegar a la carpeta de la aplicación.
Sintaxis del comando
avp.com IOCSCAN <ruta completa al archivo de IOC>|/path=<ruta a la carpeta de archivos de IOC> [/process=on|off] [/hint=<ruta completa al archivo ejecutable de un proceso|ruta completa del archivo>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<fecha de publicación del evento>] [/channels=<lista de canales>] [/files=on|off] [/drives=<todos|sistema|críticos|personalizados>] [/excludes=<lista de exclusiones>][/scope=<lista de carpetas para analizar>]
Archivos IOC |
|
|
Ruta completa al archivo de IOC que desea utilizar para el análisis. Puede especificar varios archivos IOC separados por espacios. La ruta completa al archivo de IOC se debe introducir sin el argumento / Por ejemplo, |
|
Ruta a la carpeta con archivos IOC que desea usar para el análisis. Los archivos IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos IOC deben cumplir con el estándar OpenIOC. Por ejemplo, |
Tipo de datos para análisis de IOC |
|
|
Analice los datos del proceso al realizar el análisis de IOC (término ProcessItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del proceso solo si el documento de IOC ProcessItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos del archivo al realizar el análisis de IOC (términos ProcessItem y FileItem). Puede seleccionar el archivo de una de las siguientes formas:
|
|
Analice los datos del registro de Windows al realizar un análisis de IOC (término RegistryItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de Windows solo si el documento de IOC de RegistryItem se describe en el archivo de IOC que se proporciona para el análisis. Para el tipo de datos RegistryItem, Kaspersky Endpoint Security analiza un grupo de claves de registro. |
|
Analice los datos sobre los registros en la caché de DNS local al realizar el análisis de IOC (término DnsEntryItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza la caché de DNS local solo si el documento de IOC DnsEntryItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los registros en la tabla ARP al realizar el análisis de IOC (término ArpEntryItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla ARP solo si el documento de IOC de ArpEntryItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los puertos abiertos para escuchar al realizar el análisis de IOC (término PortItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla de conexiones activas solo si el documento de IOC PortItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los servicios instalados en el dispositivo al realizar el análisis de IOC (término ServiceItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del servicio solo si el documento de IOC de ServiceItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos del entorno al realizar el análisis de IOC (término SystemInfoItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del entorno solo si el documento de IOC SystemInfoItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los usuarios al realizar el análisis de IOC (término UserItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos sobre los usuarios creados en el sistema solo si el documento de IOC de UserItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice datos sobre volúmenes al realizar el análisis de IOC (término VolumeItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del volumen solo si el documento de IOC de VolumeItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Analice los datos sobre los registros en el registro de eventos de Windows al realizar el análisis de IOC (término EventLogItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de eventos de Windows si el documento de IOC EventLogItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Tenga en cuenta la fecha en la que se publicó el evento en el registro de eventos de Windows al determinar la cobertura de análisis de IOC para el documento de IOC correspondiente. Al realizar un análisis de IOC, Kaspersky Endpoint Security analiza las entradas del registro de eventos de Windows publicadas durante el período desde la fecha y hora especificadas hasta el momento en que se ejecuta la tarea. Kaspersky Endpoint Security permite especificar la fecha de publicación del evento como valor del argumento. El análisis se realiza solo para los eventos publicados en el registro de eventos de Windows después de la fecha especificada y antes de que se ejecute el análisis. Si no se especifica el argumento, Kaspersky Endpoint Security analiza los eventos con cualquier fecha de publicación. La configuración TaskSettings::BaseSettings::EventLogItem::datetime no se puede editar. La configuración se utiliza solo si el documento de IOC EventLogItem se describe en el archivo de IOC proporcionado para el análisis. |
|
Lista de nombres de canales (registros) para los que desea realizar un análisis de IOC. Si se especifica el argumento, Kaspersky Endpoint Security analiza los registros publicados en los registros especificados. El documento de IOC debe tener descrito el término EventLogItem. El nombre del registro se especifica como una cadena de acuerdo con el nombre del registro (canal) especificado en las propiedades del registro (el parámetro de Nombre completo) o en las propiedades del evento (el parámetro <Canal></Canal> en el esquema xml del evento). Puede especificar varios canales separados por espacios. Si no se especifica el argumento, Kaspersky Endpoint Security analiza los registros en busca de canales |
|
Analice los datos del archivo al realizar el análisis de IOC (término FileItem). Si el valor del argumento es Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del archivo solo si el documento de IOC de FileItem se describe en el archivo de IOC que se proporciona para el análisis. |
|
Establezca la cobertura de análisis de IOC al analizar los datos para el documento de IOC de FileItem. Puede establecer los siguientes valores para la cobertura del análisis:
Si no se especifica el argumento, el análisis se realiza para áreas críticas. |
|
Establezca la cobertura de la exclusión al analizar los datos del documento de IOC de FileItem. Puede especificar varias rutas separadas por espacios. |
|
Alcance del análisis de IOC definido por el usuario al analizar los datos para el documento de IOC de FileItem ( |
Valores de retorno de comando:
-1
significa que el comando no es compatible con la versión de la aplicación que está instalada en el equipo.0
significa que el comando se ejecutó correctamente.1
significa que no se pasó un argumento obligatorio al comando.2
significa que ocurrió un error general.4
significa que hubo un error de sintaxis.Si el comando se ejecutó correctamente (valor devuelto 0
) y se detectaron indicadores de compromiso en el camino, Kaspersky Endpoint Security envía la siguiente información del resultado de la tarea a la línea de comandos:
|
Id. del archivo de IOC desde el encabezado de la estructura del archivo de IOC (la etiqueta |
|
Descripción del archivo de IOC desde el encabezado de la estructura del archivo de IOC (la etiqueta |
|
Lista de id. de todos los indicadores coincidentes. |
|
Datos para cada documento de IOC para el que hubo una coincidencia. |