IOCSCAN. Güvenlik ihlali göstergeleri (IOC) için tara

IOC Taraması görevini çalıştırma. Güvenlik İhlali Göstergesi (IOC) bilgisayara yetkisiz erişimi (verilerin ele geçirilmesi) gösteren bir nesne veya etkinlik hakkında bir dizi veridir. Örneğin, sistemde oturum açmaya yönelik birçok başarısız girişim, bir Güvenlik İhlali Göstergesi oluşturabilir. IOC Taraması görevi, bilgisayarda güvenlik ihlali göstergelerini bulmaya ve tehdit yanıtı önlemleri almaya olanak verir.

Komutu çalıştırmak için Kaspersky Endpoint Security yürütülebilir dosyasının bulunduğu klasöre gidin. Ayrıca yürütülebilir dosya yolunu %PATH% sistem değişkenine ekleyebilir ve uygulama klasörüne gitmeden komutu çalıştırabilirsiniz.

IOC Taraması, IOC dosyalarında açıklanan risk göstergeleri ile 128 eşleşmeden sonra iptal edilir. Bu, IOC Taraması görev raporundaki giriş sayısını sınırlandırarak analiz edilmesini kolaylaştırmak ve çok sayıda eşleşme oluşturabilecek kesin olmayan bir şekilde formüle edilmiş risk göstergeleri nedeniyle raporda aşırı doluluk oluşmasını önlemek için gereklidir.

Komut söz dizimi

avp.com IOCSCAN <IOC dosyasının tam yolu>|/path=<IOC dosyaları klasörünün yolu> [/process=on|off] [/hint=<bir işlemin yürütülebilir dosyasının tam yolu|tam dosya yolu>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<olay yayınlanma tarihi>] [/channels=<kanalların listesi>] [/files=on|off] [/drives=< tümü|sistem|kritik|özel>] [/excludes= <istisnalar listesi>][/scope=<taranacak klasörler listesi>]

IOC dosyaları

 

<full path to the IOC file>

Tarama için kullanmak istediğiniz IOC dosyasının tam yolu. Boşluklarla ayrılmış birden IOC dosyası belirtebilirsiniz. IOC dosyasının tam yolu, /path argümanı olmadan girilmelidir.

Örneğin, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

Tarama için kullanmak istediğiniz IOC dosyalarının bulunduğu klasörün yolu. IOC dosyaları, uygulamanın bir algılamayı saymak için eşleştirmeye çalıştığı gösterge gruplarını içeren dosyalardır. IOC dosyaları OpenIOC standardına uygun olmalıdır.

Örneğin, C:\Users\Admin\Desktop\IOC

IOC taraması için veri türü

 

/process=on|off

IOC taramasını gerçekleştirirken işlem verilerini analiz et (ProcessItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security taramayı gerçekleştirirken bilgisayarda çalışan işlemleri analiz etmez. IOC dosyası, ProcessItem IOC belgesinin IOC terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security işlem verilerini ancak, ProcessItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/hint=<full path to the executable file of the process|full path to the file>

IOC taraması gerçekleştirirken dosya verilerini analiz et (ProcessItem ve FileItem terimleri).

Aşağıdaki yöntemlerden biriyle bir dosya seçebilirsiniz:

  • <full path to the executable file of the process>ProcessItem terimi;
  • <full path to the file>FileItem terimi.

/registry=on|off

Bir IOC taraması gerçekleştirirken Windows kayıt defteri verilerini analiz et (RegistryItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, Windows kayıt defterini taramaz. IOC dosyası, RegistryItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security Windows kayıt defterini ancak, RegistryItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

RegistryItem veri türü için Kaspersky Endpoint Security bir kayıt defteri anahtarları grubunu tarar.

/dnsentry=on|off

IOC taraması gerçekleştirirken yerel DNS önbelleğindeki kayıtlarla ilgili verileri analiz et (DnsEntryItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, yerel DNS önbelleğini taramaz. IOC dosyası, DnsEntryItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security DNS önbelleğini ancak, DnsEntryItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/arpentry=on|off

IOC taraması gerçekleştirirken ARP tablosundaki kayıtlarla ilgili verileri analiz et (ArpEntryItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, ARP tablosunu taramaz. IOC dosyası, ArpEntryItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security ARP tablosunu ancak, ArpEntryItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/ports=on|off

IOC taraması gerçekleştirilirken dinleme için açık olan portlar hakkındaki verileri analiz et (PortItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, cihazdaki etkin bağlantılar tablosunu taramaz. IOC dosyası, PortItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security etkin bağlantılar tablosunu ancak, PortItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/services=on|off

IOC taraması gerçekleştirilirken cihaza yüklenen hizmetlerle ilgili verileri analiz et (ServiceItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, cihaza yüklenen hizmetlerle ilgili verileri taramaz. IOC dosyası, ServiceItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security hizmet verilerini ancak, ServiceItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/system=on|off

IOC taramasını gerçekleştirirken ortam verilerini analiz et (SystemInfoItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, ortam verilerini analiz etmez. IOC dosyası, SystemInfoItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security ortam verilerini ancak, SystemInfoItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/users=on|off

IOC taramasını gerçekleştirirken kullanıcılar hakkındaki verileri analiz et (UserItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, sistemde oluşturulan kullanıcılar hakkındaki verileri analiz etmez. IOC dosyası, UserItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security sistemde oluşturulan kullanıcılar hakkındaki verileri ancak UserItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/volumes=on|off

IOC taramasını gerçekleştirirken birimlerle ilgili verileri analiz et (VolumeItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, cihaza yüklenen birimlerle ilgili verileri taramaz. IOC dosyası, VolumeItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security birim verilerini ancak, VolumeItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/eventlog=on|off

IOC taraması gerçekleştirirken Windows olay günlüğündeki kayıtlarla ilgili verileri analiz et (EventLogItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, Windows olay günlüğündeki kayıtları taramaz. IOC dosyası, EventLogItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security Windows olay günlüğünü ancak, EventLogItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/datetime=<event publication date>

İlgili IOC belgesi için IOC tarama kapsamını belirlerken, olayın Windows olay günlüğünde yayınlandığı tarihi dikkate alın.

Bir IOC taraması gerçekleştirirken, Kaspersky Endpoint Security, belirtilen saat ve tarihten görevin çalıştırıldığı zamana kadar geçen süre boyunca yayınlanan Windows olay günlüğü girişlerini tarar.

Kaspersky Endpoint Security, bağımsız argümanın değeri olarak olay yayın tarihinin belirtilmesine izin verir. Tarama, yalnızca belirtilen tarihten sonra ve tarama çalıştırılmadan önce Windows olay günlüğünde yayınlanan olaylar için gerçekleştirilir.

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security olayları yayın tarihinden bağımsız olarak tarar. TaskSettings::BaseSettings::EventLogItem::datetime ayarı düzenlenemez.

Bu ayar, yalnızca EventLogItem IOC belgesi, tarama için sağlanan IOC dosyasında açıklandığında kullanılır.

/channel=<list of channels>

IOC taraması yapmak istediğiniz kanal adlarının listesi (günlük).

Argümen belirtildiği takdirde, Kaspersky Endpoint Security belirtilen günlüklerde yayınlanan kayıtları tarar. IOC belgesi, açıklanan EventLogItem terimine sahip olmalıdır.

Günlüğün adı, günlüğün özelliklerinde (Full Name parametresi) veya olay özelliklerinde (olayın xml şemasındaki (<Channel></Channel> parametresi) belirtilen günlüğün (kanalın) adına göre bir dize olarak belirtilir. Boşluklarla ayrılmış birden çok kanal belirtebilirsiniz.

Kaspersky Endpoint Security, argüman belirtilmediği takdirde, Application, System, Security kanalları için kayıtları tarar.

/files=on|off

IOC taraması gerçekleştirirken dosya verilerini analiz et (FileItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security verileri analiz etmez. IOC dosyası, FileItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security dosya verilerini ancak, FileItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/drives=<all|system|critical|custom>

FileItem IOC belgesi için verileri analiz ederken IOC tarama kapsamını ayarlayın.

Tarama kapsamı için aşağıdaki değerleri ayarlayabilirsiniz:

  • Mevcut tüm dosya kapsamları için <all>.
  • İşletim sisteminin kurulu olduğu klasörlerdeki dosyalar için <system>.
  • Kullanıcı ve sistem klasörlerindeki geçici dosyalar için <critical>.
  • Kullanıcı tanımlı kapsamlardaki dosyalar için <custom> (/scope=<list of folders to scan>).

Argüman belirtilmezse tarama kritik alanlar için yapılır.

/excludes=<list of exclusions>

FileItem IOC belgesi için verileri analiz ederken istisna kapsamını ayarlayın. Boşluklarla ayrılmış birden çok yol belirtebilirsiniz.

/scope=<list of folders to scan>

FileItem IOC belgesi için verileri analiz ederken kullanıcı tanımlı IOC tarama kapsamı (/drives=custom). Boşluklarla ayrılmış birden çok yol belirtebilirsiniz.

Komut dönüş değerleri:

Komut başarıyla yürütüldüyse (dönüş değeri 0) ve yol boyunca güvenlik ihlali göstergeleri algılandıysa, Kaspersky Endpoint Security aşağıdaki görev sonucu bilgilerini komut satırına gönderir:

Uuid

IOC dosya yapısının başlığından IOC dosyasının kimliği (<ioc id=""> etiketi)

Name

IOC dosya yapısının başlığından IOC dosyasının açıklaması (<description></description> etiketi)

Matched Indicator Items

Eşleşen tüm göstergelerin kimliklerinin listesi.

Matched objects

Bir eşleşme bulunan her IOC belgesi için veriler.

Sayfanın başına git