IOCSCAN. Scansione degli indicatori di compromissione (IOC)

Esecuzione dell'attività Scansione IOC. Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività Scansione IOC consente di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.

Per eseguire il comando, passare alla cartella in cui si trova il file eseguibile di Kaspersky Endpoint Security. È inoltre possibile aggiungere il percorso del file eseguibile alla variabile di sistema %PATH% ed eseguire il comando senza passare alla cartella dell'applicazione.

Sintassi del comando

avp.com IOCSCAN <percorso completo del file IOC>|/path=<percorso della cartella dei file IOC> [/process=on|off] [/hint=<percorso completo del file eseguibiledi un processo|percorso completo del file>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<data di pubblicazione dell'evento>] [/channels=<elenco dei canali>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<elenco delle esclusioni>][/scope=<elenco delle cartelle da sottoporre a scansione>]

File IOC

 

<full path to the IOC file>

Percorso completo del file IOC che si desidera utilizzare per la scansione. È possibile specificare più file IOC separati da spazi. Il percorso completo del file IOC deve essere inserito senza l'argomento /path.

Ad esempio, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Percorso della cartella con i file IOC che si desidera utilizzare per la scansione. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC.

Ad esempio, C:\Users\Admin\Desktop\IOC

Tipo di dati per la scansione IOC

 

/process=on|off

Analizza i dati dei processi durante l'esecuzione della scansione IOC (termine ProcessItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non analizza i processi in esecuzione sul computer durante l'esecuzione della scansione. Se il file IOC contiene i termini IOC del documento IOC ProcessItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dei processi solo se il documento IOC ProcessItem è descritto nel file IOC specificato per la scansione.

/hint=<full path to the executable file of the process|full path to the file>

Analizza i dati dei file durante l'esecuzione della scansione IOC (termini ProcessItem e FileItem).

È possibile selezionare un file in uno dei seguenti modi:

  • <full path to the executable file of the process> - termine ProcessItem;
  • <full path to the file> - termine FileItem.

/registry=on|off

Analizza i dati del registro di sistema di Windows durante l'esecuzione di una scansione IOC (termine RegistryItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione del registro di sistema di Windows. Se il file IOC contiene i termini del documento IOC RegistryItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza il registro di sistema di Windows solo se il documento IOC RegistryItem è descritto nel file IOC specificato per la scansione.

Per il tipo di dati RegistryItem, Kaspersky Endpoint Security esamina una serie di chiavi del Registro di sistema.

/dnsentry=on|off

Analizza i dati sui record nella cache DNS locale durante l'esecuzione della scansione IOC (termine DnsEntryItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione della cache DNS locale. Se il file IOC contiene i termini del documento IOC DnsEntryItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la cache DNS locale solo se il documento IOC DnsEntryItem è descritto nel file IOC specificato per la scansione.

/arpentry=on|off

Analizza i dati sui record nella tabella ARP durante l'esecuzione della scansione IOC (termine ArpEntryItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione della tabella ARP. Se il file IOC contiene i termini del documento IOC ArpEntryItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la tabella ARP solo se il documento IOC ArpEntryItem è descritto nel file IOC specificato per la scansione.

/ports=on|off

Analizza i dati sulle porte aperte per l'ascolto durante l'esecuzione della scansione IOC (termine PortItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione della tabella delle connessioni attive sul dispositivo. Se il file IOC contiene i termini del documento IOC PortItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza la tabella delle connessioni attive solo se il documento IOC PortItem è descritto nel file IOC specificato per la scansione.

/services=on|off

Analizza i dati sui servizi installati nel dispositivo durante l'esecuzione della scansione IOC (termine ServiceItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione dei dati sui servizi installati nel dispositivo. Se il file IOC contiene i termini del documento IOC ServiceItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati del servizio solo se il documento ServiceItem IOC è descritto nel file IOC specificato per la scansione.

/system=on|off

Analizza i dati dell'ambiente durante l'esecuzione della scansione IOC (termine SystemInfoItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non analizza i dati dell'ambiente. Se il file IOC contiene i termini del documento IOC SystemInfoItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dell'ambiente solo se il documento IOC SystemInfoItem è descritto nel file IOC specificato per la scansione.

/users=on|off

Analizza i dati sugli utenti durante l'esecuzione della scansione IOC (termine UserItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non analizza i dati sugli utenti creati nel sistema. Se il file IOC contiene i termini del documento IOC UserItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati sugli utenti creati nel sistema solo se il documento IOC UserItem è descritto nel file IOC specificato per la scansione.

/volumes=on|off

Analizza i dati sui volumi durante l'esecuzione della scansione IOC (termine VolumeItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione dei dati sui volumi nel dispositivo. Se il file IOC contiene i termini del documento IOC VolumeItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati del volume solo se il documento IOC VolumeItem è descritto nel file IOC specificato per la scansione.

/eventlog=on|off

Analizza i dati sui record nel registro eventi di Windows durante l'esecuzione della scansione IOC (termine EventLogItem).

Se il valore dell'argomento è off, Kaspersky Endpoint Security non esegue la scansione dei record nel registro eventi di Windows. Se il file IOC contiene i termini del documento IOC EventLogItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza il registro eventi di Windows se il documento IOC EventLogItem è descritto nel file IOC specificato per la scansione.

/datetime=<event publication date>

Prendere in considerazione la data in cui l'evento è stato pubblicato nel registro eventi di Windows quando si determina l'ambito di scansione IOC per il documento IOC corrispondente.

Quando si esegue una scansione IOC, Kaspersky Endpoint Security esegue la scansione delle voci del registro eventi di Windows pubblicate durante il periodo dall'ora e dalla data specificate al momento in cui viene eseguita l'attività.

Kaspersky Endpoint Security consente di specificare la data di pubblicazione dell'evento come valore dell'argomento. La scansione viene eseguita solo per gli eventi pubblicati nel registro eventi di Windows dopo la data specificata e prima dell'esecuzione della scansione.

Se l'argomento non è specificato, Kaspersky Endpoint Security esegue la scansione degli eventi con qualsiasi data di pubblicazione. L'impostazione TaskSettings::BaseSettings::EventLogItem::datetime non può essere modificata.

L'impostazione viene utilizzata solo se il documento IOC EventLogItem è descritto nel file IOC specificato per la scansione.

/channel=<list of channels>

Elenco dei nomi dei canali (registro) per i quali si desidera eseguire una scansione IOC.

Se l'argomento è specificato, Kaspersky Endpoint Security esegue la scansione dei record pubblicati nei registri specificati. Il documento IOC deve avere il termine EventLogItem descritto.

Il nome del registro viene specificato come stringa in conformità con il nome del registro (canale) specificato nelle proprietà del registro (il parametro Full Name) o nelle proprietà dell'evento (il parametro <Channel></Channel> nello schema XML dell'evento). È possibile specificare più canali separati da spazi.

Se l'argomento non è specificato, Kaspersky Endpoint Security esegue la scansione dei record per i canali Application, System, Security.

/files=on|off

Analizza i dati del file durante l'esecuzione della scansione IOC (termine FileItem).

Se il valore dell'argomento è off Kaspersky Endpoint Security non analizza i dati dei file. Se il file IOC contiene i termini del documento IOC FileItem, vengono ignorati (rilevati come nessuna corrispondenza).

Se l'argomento non è specificato, Kaspersky Endpoint Security analizza i dati dei file solo se il documento IOC FileItem è descritto nel file IOC specificato per la scansione.

/drives=<all|system|critical|custom>

Imposta l'ambito della scansione IOC durante l'analisi dei dati per il documento IOC FileItem.

È possibile impostare i seguenti valori per l'ambito della scansione:

  • <all> per tutti gli ambiti di file disponibili.
  • <system> per i file nelle cartelle in cui è installato il sistema operativo.
  • <critical> per i file temporanei nelle cartelle utente e di sistema.
  • <custom> per i file in ambiti definiti dall'utente (/scope=<list of folders to scan>).

Se l'argomento non è specificato, la scansione viene eseguita per le aree critiche.

/excludes=<list of exclusions>

Imposta l'ambito di esclusione durante l'analisi dei dati per il documento IOC FileItem. È possibile specificare più percorsi separati da spazi.

/scope=<list of folders to scan>

Ambito della scansione IOC definito dall'utente durante l'analisi dei dati per il documento IOC FileItem (/drives=custom). È possibile specificare più percorsi separati da spazi.

Valori restituiti dal comando:

Se il comando è stato eseguito correttamente (valore restituito 0) e sono stati rilevati indicatori di compromissione sul percorso, Kaspersky Endpoint Security restituisce le seguenti informazioni sui risultati dell'attività alla riga di comando:

Uuid

ID del file IOC dall'intestazione della struttura del file IOC (il tag<ioc id="">)

Name

Descrizione del file IOC dall'intestazione della struttura del file IOC (il tag <description></description>)

Matched Indicator Items

Elenco degli ID di tutti gli indicatori abbinati.

Matched objects

Dati per ogni documento IOC per cui è stata rilevata una corrispondenza.

Inizio pagina