IOCSCAN. Analizar en busca de indicadores de compromiso (IOC)

Ejecución de la tarea Análisis de IOC. Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o actividad que indica el acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea de Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta a la amenaza.

Para ejecutar el comando, vaya a la carpeta en la que se encuentre el archivo ejecutable de Kaspersky Endpoint Security. También puede añadir la ruta del archivo ejecutable a la variable de sistema % PATH% y ejecutar el comando sin navegar a la carpeta de la aplicación.

Sintaxis del comando

avp.com IOCSCAN <ruta completa al archivo de IOC>|/path=<ruta a la carpeta de archivos de IOC> [/process=on|off] [/hint=<ruta completa al archivo ejecutable de un proceso|ruta completa del archivo>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<fecha de publicación del evento>] [/channels=<lista de canales>] [/files=on|off] [/drives=<todos|sistema|críticos|personalizados>] [/excludes=<lista de exclusiones>][/scope=<lista de carpetas para analizar>]

Archivos IOC

 

<full path to the IOC file>

Ruta completa al archivo de IOC que desea utilizar para el análisis. Puede especificar varios archivos IOC separados por espacios. La ruta completa al archivo de IOC se debe introducir sin el argumento /path.

Por ejemplo, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Ruta a la carpeta con archivos IOC que desea usar para el análisis. Los archivos IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos IOC deben cumplir con el estándar OpenIOC.

Por ejemplo, C:\Users\Admin\Desktop\IOC

Tipo de datos para análisis de IOC

 

/process=on|off

Analice los datos del proceso al realizar el análisis de IOC (término ProcessItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los procesos que se ejecutan en el equipo al realizar el análisis. Si el archivo de IOC contiene términos de IOC del documento de IOC ProcessItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del proceso solo si el documento de IOC ProcessItem se describe en el archivo de IOC que se proporciona para el análisis.

/hint=<full path to the executable file of the process|full path to the file>

Analice los datos del archivo al realizar el análisis de IOC (términos ProcessItem y FileItem).

Puede seleccionar el archivo de una de las siguientes formas:

  • <full path to the executable file of the process> – término ProcessItem;
  • <full path to the file> – término FileItem.

/registry=on|off

Analice los datos del registro de Windows al realizar un análisis de IOC (término RegistryItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza el registro de Windows. Si el archivo de IOC contiene términos del documento de IOC RegistryItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de Windows solo si el documento de IOC de RegistryItem se describe en el archivo de IOC que se proporciona para el análisis.

Para el tipo de datos RegistryItem, Kaspersky Endpoint Security analiza un grupo de claves de registro.

/dnsentry=on|off

Analice los datos sobre los registros en la caché de DNS local al realizar el análisis de IOC (término DnsEntryItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza la caché de DNS local. Si el archivo de IOC contiene términos del documento de IOC DnsEntryItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza la caché de DNS local solo si el documento de IOC DnsEntryItem se describe en el archivo de IOC que se proporciona para el análisis.

/arpentry=on|off

Analice los datos sobre los registros en la tabla ARP al realizar el análisis de IOC (término ArpEntryItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza la tabla ARP. Si el archivo de IOC contiene términos del documento de IOC ArpEntryItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla ARP solo si el documento de IOC de ArpEntryItem se describe en el archivo de IOC que se proporciona para el análisis.

/ports=on|off

Analice los datos sobre los puertos abiertos para escuchar al realizar el análisis de IOC (término PortItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza la tabla de conexiones activas en el dispositivo. Si el archivo de IOC contiene términos del documento de IOC de PortItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza la tabla de conexiones activas solo si el documento de IOC PortItem se describe en el archivo de IOC que se proporciona para el análisis.

/services=on|off

Analice los datos sobre los servicios instalados en el dispositivo al realizar el análisis de IOC (término ServiceItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos sobre los servicios instalados en el dispositivo. Si el archivo de IOC contiene términos del documento de IOC ServiceItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del servicio solo si el documento de IOC de ServiceItem se describe en el archivo de IOC que se proporciona para el análisis.

/system=on|off

Analice los datos del entorno al realizar el análisis de IOC (término SystemInfoItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos del entorno. Si el archivo de IOC contiene términos del documento de IOC SystemInfoItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del entorno solo si el documento de IOC SystemInfoItem se describe en el archivo de IOC que se proporciona para el análisis.

/users=on|off

Analice los datos sobre los usuarios al realizar el análisis de IOC (término UserItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos sobre los usuarios creados en el sistema. Si el archivo de IOC contiene términos del documento de IOC UserItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos sobre los usuarios creados en el sistema solo si el documento de IOC de UserItem se describe en el archivo de IOC que se proporciona para el análisis.

/volumes=on|off

Analice datos sobre volúmenes al realizar el análisis de IOC (término VolumeItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos sobre los volúmenes del dispositivo. Si el archivo de IOC contiene términos del documento de IOC VolumeItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del volumen solo si el documento de IOC de VolumeItem se describe en el archivo de IOC que se proporciona para el análisis.

/eventlog=on|off

Analice los datos sobre los registros en el registro de eventos de Windows al realizar el análisis de IOC (término EventLogItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los registros del registro de eventos de Windows. Si el archivo de IOC contiene términos del documento de IOC EventLogItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza el registro de eventos de Windows si el documento de IOC EventLogItem se describe en el archivo de IOC que se proporciona para el análisis.

/datetime=<event publication date>

Tenga en cuenta la fecha en la que se publicó el evento en el registro de eventos de Windows al determinar la cobertura de análisis de IOC para el documento de IOC correspondiente.

Al realizar un análisis de IOC, Kaspersky Endpoint Security analiza las entradas del registro de eventos de Windows publicadas durante el período desde la fecha y hora especificadas hasta el momento en que se ejecuta la tarea.

Kaspersky Endpoint Security permite especificar la fecha de publicación del evento como valor del argumento. El análisis se realiza solo para los eventos publicados en el registro de eventos de Windows después de la fecha especificada y antes de que se ejecute el análisis.

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los eventos con cualquier fecha de publicación. La configuración TaskSettings::BaseSettings::EventLogItem::datetime no se puede editar.

La configuración se utiliza solo si el documento de IOC EventLogItem se describe en el archivo de IOC proporcionado para el análisis.

/channel=<list of channels>

Lista de nombres de canales (registros) para los que desea realizar un análisis de IOC.

Si se especifica el argumento, Kaspersky Endpoint Security analiza los registros publicados en los registros especificados. El documento de IOC debe tener descrito el término EventLogItem.

El nombre del registro se especifica como una cadena de acuerdo con el nombre del registro (canal) especificado en las propiedades del registro (el parámetro de Nombre completo) o en las propiedades del evento (el parámetro <Canal></Canal> en el esquema xml del evento). Puede especificar varios canales separados por espacios.

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los registros en busca de canales Application, System, Security.

/files=on|off

Analice los datos del archivo al realizar el análisis de IOC (término FileItem).

Si el valor del argumento es off, Kaspersky Endpoint Security no analiza los datos del archivo. Si el archivo de IOC contiene términos del documento de IOC FileItem, estos se ignoran (se detectan como no coincidentes).

Si no se especifica el argumento, Kaspersky Endpoint Security analiza los datos del archivo solo si el documento de IOC de FileItem se describe en el archivo de IOC que se proporciona para el análisis.

/drives=<all|system|critical|custom>

Establezca la cobertura de análisis de IOC al analizar los datos para el documento de IOC de FileItem.

Puede establecer los siguientes valores para la cobertura del análisis:

  • <all> para todas las coberturas de archivo disponibles.
  • <system> para archivos en carpetas donde está instalado el sistema operativo.
  • <critical> para archivos temporales en carpetas de usuario y del sistema.
  • <custom> para archivos en alcances definidos por el usuario (/scope=<list of folders to scan>).

Si no se especifica el argumento, el análisis se realiza para áreas críticas.

/excludes=<list of exclusions>

Establezca la cobertura de la exclusión al analizar los datos del documento de IOC de FileItem. Puede especificar varias rutas separadas por espacios.

/scope=<list of folders to scan>

Alcance del análisis de IOC definido por el usuario al analizar los datos para el documento de IOC de FileItem (/drives=custom). Puede especificar varias rutas separadas por espacios.

Valores de retorno de comando:

Si el comando se ejecutó correctamente (valor devuelto 0) y se detectaron indicadores de compromiso en el camino, Kaspersky Endpoint Security envía la siguiente información del resultado de la tarea a la línea de comandos:

Uuid

Id. del archivo de IOC desde el encabezado de la estructura del archivo de IOC (la etiqueta <ioc id="">)

Name

Descripción del archivo de IOC desde el encabezado de la estructura del archivo de IOC (la etiqueta <description></description>)

Matched Indicator Items

Lista de id. de todos los indicadores coincidentes.

Matched objects

Datos para cada documento de IOC para el que hubo una coincidencia.

Inicio de página