Esecuzione dell'attività Scansione IOC. Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività Scansione IOC consente di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.
Per eseguire il comando, passare alla cartella in cui si trova il file eseguibile di Kaspersky Endpoint Security. È inoltre possibile aggiungere il percorso del file eseguibile alla variabile di sistema %PATH% ed eseguire il comando senza passare alla cartella dell'applicazione.
Sintassi del comando
avp.com IOCSCAN <percorso completo del file IOC>|/path=<percorso della cartella dei file IOC> [/process=on|off] [/hint=<percorso completo del file eseguibiledi un processo|percorso completo del file>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<data di pubblicazione dell'evento>] [/channels=<elenco dei canali>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<elenco delle esclusioni>][/scope=<elenco delle cartelle da sottoporre a scansione>]
File IOC |
|
|
Percorso completo del file IOC che si desidera utilizzare per la scansione. È possibile specificare più file IOC separati da spazi. Il percorso completo del file IOC deve essere inserito senza l'argomento / Ad esempio, |
|
Percorso della cartella con i file IOC che si desidera utilizzare per la scansione. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC. Ad esempio, |
Tipo di dati per la scansione IOC |
|
|
Analizza i dati dei processi durante l'esecuzione della scansione IOC (termine ProcessItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dei processi solo se il documento IOC ProcessItem è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati dei file durante l'esecuzione della scansione IOC (termini ProcessItem e FileItem). È possibile selezionare un file in uno dei seguenti modi:
|
|
Analizza i dati del registro di sistema di Windows durante l'esecuzione di una scansione IOC (termine RegistryItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza il registro di sistema di Windows solo se il documento IOC RegistryItem è descritto nel file IOC specificato per la scansione. Per il tipo di dati RegistryItem, Kaspersky Endpoint Security esamina una serie di chiavi del Registro di sistema. |
|
Analizza i dati sui record nella cache DNS locale durante l'esecuzione della scansione IOC (termine DnsEntryItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la cache DNS locale solo se il documento IOC DnsEntryItem è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati sui record nella tabella ARP durante l'esecuzione della scansione IOC (termine ArpEntryItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la tabella ARP solo se il documento IOC ArpEntryItem è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati sulle porte aperte per l'ascolto durante l'esecuzione della scansione IOC (termine PortItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la tabella delle connessioni attive solo se il documento IOC PortItem è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati sui servizi installati nel dispositivo durante l'esecuzione della scansione IOC (termine ServiceItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati del servizio solo se il documento ServiceItem IOC è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati dell'ambiente durante l'esecuzione della scansione IOC (termine SystemInfoItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dell'ambiente solo se il documento IOC SystemInfoItem è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati sugli utenti durante l'esecuzione della scansione IOC (termine UserItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati sugli utenti creati nel sistema solo se il documento IOC UserItem è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati sui volumi durante l'esecuzione della scansione IOC (termine VolumeItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati del volume solo se il documento IOC VolumeItem è descritto nel file IOC specificato per la scansione. |
|
Analizza i dati sui record nel registro eventi di Windows durante l'esecuzione della scansione IOC (termine EventLogItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza il registro eventi di Windows se il documento IOC EventLogItem è descritto nel file IOC specificato per la scansione. |
|
Prendere in considerazione la data in cui l'evento è stato pubblicato nel registro eventi di Windows quando si determina l'ambito di scansione IOC per il documento IOC corrispondente. Quando si esegue una scansione IOC, Kaspersky Endpoint Security esegue la scansione delle voci del registro eventi di Windows pubblicate durante il periodo dall'ora e dalla data specificate al momento in cui viene eseguita l'attività. Kaspersky Endpoint Security consente di specificare la data di pubblicazione dell'evento come valore dell'argomento. La scansione viene eseguita solo per gli eventi pubblicati nel registro eventi di Windows dopo la data specificata e prima dell'esecuzione della scansione. Se l'argomento non è specificato, Kaspersky Endpoint Security esegue la scansione degli eventi con qualsiasi data di pubblicazione. L'impostazione TaskSettings::BaseSettings::EventLogItem::datetime non può essere modificata. L'impostazione viene utilizzata solo se il documento IOC EventLogItem è descritto nel file IOC specificato per la scansione. |
|
Elenco dei nomi dei canali (registro) per i quali si desidera eseguire una scansione IOC. Se l'argomento è specificato, Kaspersky Endpoint Security esegue la scansione dei record pubblicati nei registri specificati. Il documento IOC deve avere il termine EventLogItem descritto. Il nome del registro viene specificato come stringa in conformità con il nome del registro (canale) specificato nelle proprietà del registro (il parametro Full Name) o nelle proprietà dell'evento (il parametro <Channel></Channel> nello schema XML dell'evento). È possibile specificare più canali separati da spazi. Se l'argomento non è specificato, Kaspersky Endpoint Security esegue la scansione dei record per i canali |
|
Analizza i dati del file durante l'esecuzione della scansione IOC (termine FileItem). Se il valore dell'argomento è Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dei file solo se il documento IOC FileItem è descritto nel file IOC specificato per la scansione. |
|
Imposta l'ambito della scansione IOC durante l'analisi dei dati per il documento IOC FileItem. È possibile impostare i seguenti valori per l'ambito della scansione:
Se l'argomento non è specificato, la scansione viene eseguita per le aree critiche. |
|
Imposta l'ambito di esclusione durante l'analisi dei dati per il documento IOC FileItem. È possibile specificare più percorsi separati da spazi. |
|
Ambito della scansione IOC definito dall'utente durante l'analisi dei dati per il documento IOC FileItem ( |
Valori restituiti dal comando:
-1
indica che il comando non è supportato dalla versione dell'applicazione installata nel computer.0
indica che il comando è stato eseguito correttamente.1
indica che un argomento obbligatorio non è stato passato al comando.2
indica che si è verificato un errore generale.4
indica la presenza di un errore di sintassi.Se il comando è stato eseguito correttamente (valore restituito 0
) e sono stati rilevati indicatori di compromissione sul percorso, Kaspersky Endpoint Security restituisce le seguenti informazioni sui risultati dell'attività alla riga di comando:
|
ID del file IOC dall'intestazione della struttura del file IOC (il tag |
|
Descrizione del file IOC dall'intestazione della struttura del file IOC (il tag |
|
Elenco degli ID di tutti gli indicatori abbinati. |
|
Dati per ogni documento IOC per cui è stata rilevata una corrispondenza. |