IOCSCAN. Biztonsági sérülési indikátorok (IOC) vizsgálata

Biztonsági sérülési indikátorok (IOC) vizsgálata feladat futtatása. A biztonsági sérülési indikátor (IOC) egy olyan objektumra vagy tevékenységre vonatkozó adathalmaz, amely jogosulatlan hozzáférést jelez a számítógéphez (adatok veszélyeztetése). Például sok sikertelen bejelentkezési kísérlet a rendszerbe biztonsági sérülésre utalhat. Az IOC vizsgálat feladatok lehetővé teszik a biztonsági sérülési indikátorok (IOC) megtalálását a számítógépen, valamint biztosítják a fenyegetésre reagáló intézkedések megtételét.

A parancs szintaxisa

IOCSCAN <IOC-fájl teljes elérési útvonala>|/path=<IOC-fájlok mappájának elérési útvonala> [/process=on|off] [/hint=<folyamat futtatható fájljának teljes elérési útvonala|fájl teljes elérési útvonala>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<esemény közzétételi dátuma>] [/channels=<csatornák listája>] [/files=on|off] [/drives=<összes|rendszer|kritikus|egyedi>] [/excludes=<kizárások listája>][/scope=<vizsgálandó mappák listája>]

IOC-fájlok

 

<IOC-fájl teljes elérési útja>

A vizsgálathoz használni kívánt IOC-fájl teljes elérési útja. Több IOC-fájlt is megadhat szóközökkel elválasztva. Az IOC-fájl teljes elérési útját a /path argumentum nélkül kell megadni.

Például C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<IOC-fájlok mappájának elérési útja>

A vizsgálathoz használni kívánt IOC-fájlokat tartalmazó mappa elérési útja. Az IOC-fájlok olyan fájlok, amelyek az indikátorkészleteket tartalmazzák, és amelyekkel az alkalmazás egyezést próbál találni észlelés esetén. Az IOC-fájloknak meg kell felelniük az OpenIOC szabványnak.

Például C:\Users\Admin\Desktop\IOC

Adattípus az IOC vizsgálathoz

 

/process=on|off

Folyamatadatok elemzése az IOC vizsgálat során (ProcessItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security a vizsgálat során nem elemzi a számítógépen futó folyamatokat. Ha az IOC-fájl tartalmazza a ProcessItem IOC-dokumentumának IOC-feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a folyamatadatokat, ha a ProcessItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/hint=<folyamat futtatható fájljának teljes elérési útja|fájl teljes elérési útja>

Fájladatok elemzése az IOC vizsgálat során (ProcessItem and FileItem kifejezések).

Egy fájlt az alábbi módokon választhat ki:

  • <folyamat futtatható fájljának teljes elérési útja> – ProcessItem;
  • <fájl teljes elérési útja> – FileItem.

/registry=on|off

Windows rendszerleíró adatbázis adatainak elemzése az IOC vizsgálat során (RegistryItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem vizsgálja a Windows rendszerleíró adatbázisát. Ha az IOC-fájl tartalmazza a RegistryItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a Windows rendszerleíró adatbázisát, ha a RegistryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

A RegistryItem adattípus esetén a Kaspersky Endpoint Security átvizsgálja a beállításkulcsok készletét.

/dnsentry=on|off

A helyi DNS-gyorsítótárban lévő rekordok adatainak elemzése az IOC vizsgálat során (DnsEntryItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem vizsgálja a helyi DNS-gyorsítótárat. Ha az IOC-fájl tartalmazza a DnsEntryItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a helyi DNS-gyorsítótárat, ha a DnsEntryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/arpentry=on|off

Az ARP-tábla rekordadatainak elemzése az IOC vizsgálat során (ArpEntryItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem vizsgálja az ARP-táblát. Ha az IOC-fájl tartalmazza az ArpEntryItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi az ARP-táblát, ha az ArpEntryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/ports=on|off

A figyelésre megnyitott portok adatainak elemzése az IOC vizsgálat során (PortItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem vizsgálja az eszközön lévő aktív kapcsolatok tábláját. Ha az IOC-fájl tartalmazza a PortItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi az aktív kapcsolatok tábláját, ha a PortItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/services=on|off

Az eszközre telepített szolgáltatások adatainak elemzése az IOC vizsgálat során (ServiceItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem vizsgálja az eszközre telepített szolgáltatások adatait. Ha az IOC-fájl tartalmazza a ServiceItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a szolgáltatásadatokat, ha a ServiceItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/system=on|off

Környezeti adatok elemzése az IOC vizsgálat során (SystemInfoItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem elemzi a környezeti adatokat. Ha az IOC-fájl tartalmazza a SystemInfoItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a környezeti adatokat, ha a SystemInfoItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/users=on|off

Felhasználói adatok elemzése az IOC vizsgálat során (UserItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem elemzi a rendszerben létrehozott felhasználók adatait. Ha az IOC-fájl tartalmazza a UserItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a rendszerben létrehozott felhasználók adatait, ha a UserItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/volumes=on|off

Kötetadatok elemzése az IOC vizsgálat során (VolumeItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem vizsgálja az eszközön lévő kötetek adatait. Ha az IOC-fájl tartalmazza a VolumeItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a kötetadatokat, ha a VolumeItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/eventlog=on|off

A Windows Eseménynapló rekordadatainak elemzése az IOC vizsgálat során (EventLogItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem vizsgálja a Windows Eseménynapló rekordjait. Ha az IOC-fájl tartalmazza az EventLogItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a Windows Eseménynaplót, ha az EventLogItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/datetime=<esemény közzétételi dátuma>

Figyelembe veszi az esemény Windows Eseménynaplóban történő közzétételének dátumát, amikor meghatározza a megfelelő IOC-dokumentumhoz tartozó IOC vizsgálat hatókörét.

Az IOC vizsgálat végrehajtásakor a Kaspersky Endpoint Security megvizsgálja a Windows Eseménynaplóban közzétett bejegyzéseket a megadott időpont és dátum, valamint a feladat futtatásának pillanata között.

A Kaspersky Endpoint Security lehetővé teszi az esemény közzétételi dátumának megadását az argumentum értékeként. A vizsgálat csak a Windows Eseménynapló olyan eseményeire vonatkozik, amelyeket a megadott dátum és a vizsgálat futtatása között tettek közzé.

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security minden közzétételi dátumú eseményt megvizsgál. A TaskSettings::BaseSettings::EventLogItem::datetime beállítás nem szerkeszthető.

A beállítás csak akkor használható, ha az EventLogItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/channel=<csatornák listája>

Azon csatorna (napló) nevek listája, amelyek esetében IOC vizsgálatot szeretne végezni.

Ha az argumentum meg van adva, a Kaspersky Endpoint Security megvizsgálja a megadott naplókban közzétett rekordokat. Az IOC-dokumentumnak rendelkeznie kell a leírt EventLogItem kifejezéssel.

A napló neve karakterláncként van meghatározva a napló tulajdonságaiban (Full Name paraméter) vagy az eseménytulajdonságokban (<Channel></Channel> paraméter az esemény xml-sémájában) a megadott napló (csatorna) nevének megfelelően. Több csatornát is megadhat szóközökkel elválasztva.

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security megvizsgálja az Application, System, Security csatornák rekordjait.

/files=on|off

Fájladatok elemzése az IOC vizsgálat során (FileItem kifejezés).

Ha az argumentum értéke off, a Kaspersky Endpoint Security nem elemzi a fájladatokat. Ha az IOC-fájl tartalmazza a FileItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve).

Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a fájladatokat, ha a FileItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban.

/drives=<all|system|critical|custom>

Az IOC vizsgálat hatókörének beállítása a FileItem IOC-dokumentumadatainak elemzésekor.

A következő értékeket állíthatja be a vizsgálat hatóköréhez:

  • <all> az összes rendelkezésre álló fájl hatóköréhez.
  • <system> azokban a mappákban található fájlokhoz, amelyekben az operációs rendszer telepítve van.
  • <critical> felhasználói és rendszermappákban található ideiglenes fájlokhoz.
  • <custom> a felhasználó által meghatározott hatókörű fájlokhoz (/scope=<vizsgálandó mappák listája>).

Ha az argumentum nincs megadva, a vizsgálat a kritikus területeken történik.

/excludes=<kizárások listája>

Kizárás hatókörének beállítása a FileItem IOC-dokumentumadatainak elemzésekor. Több elérési utat is megadhat szóközökkel elválasztva.

/scope=<vizsgálandó mappák listája>

Felhasználó által definiált IOC vizsgálati hatókör a FileItem IOC-dokumentumadatainak elemzésekor (/drives=custom). Több elérési utat is megadhat szóközökkel elválasztva.

A parancs visszatérési értékei:

Ha a parancs végrehajtása sikeres volt (a visszaadott érték 0), és a Kaspersky Endpoint Security közben biztonsági sérülési indikátorokat észlelt, akkor a következő feladateredmény-adatokat küldi vissza a parancssorba:

Uuid

Az IOC-fájl azonosítója az IOC-fájlszerkezet fejlécéből (a <ioc id=""> címke)

Name

Az IOC-fájl leírása az IOC-fájlszerkezet fejlécéből (a <description></description> címke)

Matched Indicator Items

Az összes egyező indikátorelem azonosítóinak listája.

Matched objects

Minden olyan IOC-dokumentum adatai, amelyek esetében egyezés volt.

Oldal tetejére