IOCSCAN. Поиск индикаторов компрометации (IOC)

Запуск задачи Поиск IOC. Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для выполнения команды перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security. Также вы можете добавить путь к исполняемому файлу в системную переменную %PATH% и выполнять команду без перехода в папку приложения.

Синтаксис команды

avp.com IOCSCAN <full path to the IOC file>|/path=<path to the IOC files folder> [/process=on|off] [/hint=<full path to executable file of a process|full file path>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<list of exclusions>][/scope=<list of folders to scan>]

IOC-файлы

 

<full path to the IOC file>

Полный путь к IOC-файлу, по которому требуется выполнить поиск. Вы можете указать несколько IOC-файлов через пробел. Полный путь к IOC-файлу следует ввести без аргумента /path.

Например, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Путь к папке с IOC-файлами, по которым требуется выполнять поиск. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Например, C:\Users\Admin\Desktop\IOC

Тип данных для поиска IOC

 

/process=on|off

Анализ данных о процессах при поиске IOC (термин ProcessItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет запущенные на компьютере процессы при выполнении проверки. Если в IOC-файле указаны IOC-термины IOC-документа ProcessItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле.

/hint=<full path to the executable file of the process|full path to the file>

Анализ данных о файле при поиске IOC (термины ProcessItem и FileItem).

Вы можете выбрать файл следующими способами:

  • <full path to the executable file of the process> – термин ProcessItem;
  • <full path to the file> – термин FileItem.

/registry=on|off

Анализ данных о реестре Windows при поиске IOC (термин RegistryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет реестр Windows. Если в IOC-файле указаны термины IOC-документа RegistryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет реестр Windows, только если IOC-документ RegistryItem описан в переданном на проверку IOC-файле.

Для типа данных RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

/dnsentry=on|off

Анализ данных о записях в локальном кеше DNS при поиске IOC (термин DnsEntryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет локальный кеш DNS. Если в IOC-файле указаны термины IOC-документа DnsEntryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле.

/arpentry=on|off

Анализ данных о записях в ARP-таблице при поиске IOC (термин ArpEntryItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет таблицу ARP. Если в IOC-файле указаны термины IOC-документа ArpEntryItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле.

/ports=on|off

Анализ данных о портах, открытых на прослушивание, при поиске IOC (термин PortItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет таблицу активных соединений на устройстве. Если в IOC-файле указаны термины IOC-документа PortItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле.

/services=on|off

Анализ данных о службах, установленных на устройстве, при поиске IOC (термин ServiceItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет данные о службах, установленных на устройстве. Если в IOC-файле указаны термины IOC-документа ServiceItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле.

/system=on|off

Анализ данных об окружении при поиске IOC (термин SystemInfoItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные об окружении. Если в IOC-файле указаны термины IOC-документа SystemInfoItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле.

/users=on|off

Анализ данных о пользователях при поиске IOC (термин UserItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные о пользователях, созданных в системе. Если в IOC-файле указаны термины IOC-документа UserItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле.

/volumes=on|off

Анализ данных о томах при поиске IOC (термин VolumeItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет данные о томах на устройстве. Если в IOC-файле указаны термины IOC-документа VolumeItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле.

/eventlog=on|off

Анализ данных о записях в журнале событий Windows при поиске IOC (термин EventLogItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не проверяет записи в журнале событий Windows. Если в IOC-файле указаны термины IOC-документа EventLogItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.

/datetime=<event publication date>

Учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа.

При поиске IOC Kaspersky Endpoint Security проверяет записи в журнале событий Windows, опубликованные в период с указанного времени и даты и до момента выполнения задачи.

В качестве значения параметра Kaspersky Endpoint Security позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки.

Если параметр не указан, Kaspersky Endpoint Security проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования.

Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.

/channel=<list of channels>

Список имен каналов (журналов), для которых требуется выполнить поиск IOC.

Если параметр указан, Kaspersky Endpoint Security проверяет записи, опубликованные в указанных журналах. При этом в IOC-документе должен быть описан термин EventLogItem.

Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). Вы можете указать несколько каналов через пробел.

Если параметр не указан, Kaspersky Endpoint Security проверяет записи для каналов Application, System, Security.

/files=on|off

Анализ данных о файлах при поиске IOC (термин FileItem).

Если параметр установлен со значением off, Kaspersky Endpoint Security не анализирует данные о файлах. Если в IOC-файле указаны термины IOC-документа FileItem, они игнорируются (определяются как отсутствие совпадения).

Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле.

/drives=<all|system|critical|custom>

Область поиска IOC при анализе данных для IOC-документа FileItem.

Доступны следующие значения области поиска:

  • <all> – все доступные файловые области.
  • <system> – файлы, расположенные в папках, в которых установлена ОС.
  • <critical> – временные файлы в пользовательских и системных папках.
  • <custom> – файлы в указанных пользователем областях (/scope=<list of folders to scan>).

Если параметр не установлен, проверка выполняется в критических областях.

/excludes=<list of exclusions>

Область исключений при анализе данных для IOC-документа FileItem. Вы можете указать несколько путей через пробел.

/scope=<list of folders to scan>

Пользовательская область поиска IOC при анализе данных для IOC-документа FileItem (/drives=custom). Вы можете указать несколько путей через пробел.

Коды возврата команды:

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:

Uuid

Идентификатор IOC-файла из заголовка структуры IOC-файла (тег <ioc id="">)

Name

Описание IOC-файла из заголовка структуры IOC-файла (тег <description></description>)

Matched Indicator Items

Перечень идентификаторов всех сработавших индикаторов.

Matched objects

Данные по каждому документу IOC, по которому было найдено совпадение.

В начало