IOCSCAN:セキュリティ侵害インジケーター(IOC)のスキャン

IOC スキャンタスクを実行します。セキュリティ侵害インジケーター(IOC)とは、コンピューターへの認証されないアクセス(コンピューターの侵害)の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。

コマンドを実行するには、Kaspersky Endpoint Security の実行ファイルがあるフォルダーに移動します。システム変数 %PATH% に実行ファイルのパスを追加し、アプリケーションフォルダーに移動せずにコマンドを実行することもできます。

コマンド構文

avp.com IOCSCAN <IOC ファイルのフルパス>|/path=<IOC ファイルのあるフォルダーのパス> [/process=on|off] [/hint=<プロセスの実行ファイルの完全パス|ファイルの完全パス>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<イベントの記録日>] [/channels=<チャネルのリスト>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<除外リスト>][/scope=<スキャンするフォルダーのリスト>]

IOC ファイル

 

<full path to the IOC file>

スキャンに使用する IOC ファイルの完全パス。スペースで区切って複数の IOC ファイルを指定することができます。IOC ファイルの完全パスは引数「/path」なしで入力する必要があります。

例:C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

スキャンに使用する IOC ファイルのあるフォルダーのパス。IOC ファイルは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。

例:C:\Users\Admin\Desktop\IOC

IOC スキャンのデータ種別

 

/process=on|off

IOC スキャンの実行中にプロセスデータを分析します(ProcessItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はスキャンの実行時にコンピューター上で実行されているプロセスを分析しません。IOC ファイルに IOC ドキュメント ProcessItem の IOC タームが含まれている場合、無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント ProcessItem が記述されている場合のみプロセスデータを分析します。

/hint=<full path to the executable file of the process|full path to the file>

IOC スキャンの実行時にファイルのデータを分析します(ProcessItem および FileItem)。

次のいずれかの方法でファイルを選択することができます:

  • <full path to the executable file of the process> – ProcessItem
  • <full path to the file> – FileItem

/registry=on|off

IOC スキャンの実行中に Windows のレジストリデータを分析します(RegistryItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は Windows レジストリをスキャンしません。IOC ファイルに IOC ドキュメント RegistryItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント RegistryItem が記述されている場合のみ Windows レジストリを分析します。

Kaspersky Endpoint Security はデータ種別 RegistryItem に対しては、レジストリキー一式をスキャンします。

/dnsentry=on|off

IOC スキャンの実行中、ローカルの DNS キャッシュ内の項目のデータを分析します(DnsEntryItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はローカルの DNS キャッシュをスキャンしません。IOC ファイルに IOC ドキュメント DnsEntryItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント DnsEntryItem が記述されている場合のみローカルの DNS キャッシュを分析します。

/arpentry=on|off

IOC スキャンの実行中、ARP テーブル内の項目のデータを分析します(ArpEntryItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は ARP テーブルをスキャンしません。IOC ファイルに IOC ドキュメント ArpEntryItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント ArpEntryItem が記述されている場合のみローカルの ARP テーブルを分析します。

/ports=on|off

IOC スキャンの実行中、待機しているポートに関するデータを分析します(PortItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は端末上のアクティブな接続のテーブルをスキャンしません。IOC ファイルに IOC ドキュメント PortItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント PortItem が記述されている場合のみアクティブな接続のテーブルを分析します。

/services=on|off

IOC スキャンの実行中、端末にインストールされているサービスに関するデータを分析します(ServiceItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は端末にインストールされているサービスに関するデータをスキャンしません。IOC ファイルに IOC ドキュメント ServiceItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント ServiceItem が記述されている場合のみサービスのデータを分析します。

/system=on|off

IOC スキャンの実行中に環境のデータを分析します(SystemInfoItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は環境データを分析しません。IOC ファイルに IOC ドキュメント SystemInfoItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント SystemInfoItem が記述されている場合のみ環境データを分析します。

/users=on|off

IOC スキャンの実行中にユーザーに関するデータを分析します(UserItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はシステムで作成されたユーザーに関するデータを分析しません。IOC ファイルに IOC ドキュメント UserItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント UserItem が記述されている場合のみシステムで作成されたユーザーに関するデータを分析します。

/volumes=on|off

IOC スキャンの実行中にボリュームに関するデータを分析します(VolumeItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は端末のボリュームに関するデータをスキャンしません。IOC ファイルに IOC ドキュメント VolumeItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント VolumeItem が記述されている場合のみボリュームに関するデータを分析します。

/eventlog=on|off

IOC スキャンの実行中、Windows イベントログの項目のデータを分析します(EventLogItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security は Windows イベントログの項目をスキャンしません。IOC ファイルに IOC ドキュメント EventLogItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント EventLogItem が記述されている場合、Windows イベントログを分析します。

/datetime=<event publication date>

対応する IOC ドキュメントの IOC スキャン範囲を決定する際には、Windows イベントログにイベントが記録された日付を考慮してください。

IOC スキャンの実行時、Kaspersky Endpoint Security は指定された日時からタスクが実行された時刻までの機関に記録された Windows イベントログの項目をスキャンします。

Kaspersky Endpoint Security では、引数の値にイベントの記録日を指定できます。指定した日付からスキャンが実行されるまでの間に Windows イベントログ内で記録されたイベントに対してのみスキャンが実行されます。

引数が指定されていない場合、Kaspersky Endpoint Security は記録されたすべてのくイベントをスキャンします。設定「TaskSettings::BaseSettings::EventLogItem::datetime」は編集できません。

スキャン用に提供された IOC ファイルで IOC ドキュメント EventLogItem が記述されている場合のみこの設定が使用されます。

/channel=<list of channels>

IOC スキャンを実行するチャネル(ログ)名のリスト。

引数が指定されていない場合、Kaspersky Endpoint Security は指定されたログに記録された項目をスキャンします。IOC ドキュメントには EventLogItem が記載されている必要があります。

ログの名前は、ログのプロパティ(Full Name パラメータ)またはイベントのプロパティ(イベントの XML スキーマ内の <チャネル>/<チャネル> パラメータ)で指定されたログ(チャネル)の名前に従って文字列で指定されます。スペースで区切って複数のチャネルを指定することができます。

引数が指定されていない場合、Kaspersky Endpoint Security はチャネル ApplicationSystemSecurity の項目をスキャンします。

/files=on|off

IOC スキャンの実行時にファイルのデータを分析します(FileItem)。

引数の値が「off」の場合、Kaspersky Endpoint Security はファイルのデータを分析しません。IOC ファイルに IOC ドキュメント FileItem が含まれている場合、IOC タームは無視されます(一致なしと判断される)。

引数が指定されていない場合、IOC ファイルで IOC ドキュメント FileItem が記述されている場合のみファイルに関するデータを分析します。

/drives=<all|system|critical|custom>

IOC ドキュメント FileItem のデータを分析する際の IOC スキャン範囲を設定します。

スキャン範囲には次の値を設定できます:

  • <all>:すべての利用可能なファイル範囲
  • <system>:オペレーティングシステムがインストールされているフォルダーにあるファイル
  • <critical>:ユーザーおよびシステムフォルダー内の一時ファイル
  • <custom>:ユーザー定義の範囲のファイル(/scope=<list of folders to scan>

引数が指定されていない場合、スキャンは重要な領域に対して実行されます。

/excludes=<list of exclusions>

IOC ドキュメント FileItem のデータを分析する際に除外する範囲を設定します。スペースで区切って複数のパスを指定することができます。

/scope=<list of folders to scan>

IOC ドキュメント FileItem でデータを分析する際のユーザー定義の IOC スキャン範囲です(/drives=custom)。スペースで区切って複数のパスを指定することができます。

コマンド戻り値:

コマンドが正常に実行され(戻り値が 0)、侵害インジケーターが検出された場合、Kaspersky Endpoint Security は次のタスク結果の情報をコマンドラインに出力します:

Uuid

IOC ファイル構成のヘッダー部分に基づいた IOC ファイルの ID(<ioc id=""> タグ)

Name

IOC ファイル構成のヘッダー部分に基づいた IOC ファイルの説明(<description></description> タグ)

Matched Indicator Items

すべての一致したインジケーターの ID のリスト

Matched objects

一致した各 IOC ドキュメント箇所のデータ

ページのトップに戻る