IOCSCAN. Scannen op IoC's (Indicators of Compromise)

Voer de Scannen op Indicators of Compromise (IOC)-taak uit. Een Indicator of Compromise (IOC) is een set gegevens over een object of activiteit die wijst op onbevoegde toegang tot de computer (compromittering van gegevens). Vele mislukte aanmeldingen bij het systeem kunnen bijvoorbeeld een Indicator of Compromise zijn. Met de IOC-scantaken kunnen Indicators of Compromise op de computer worden gevonden en maatregelen als respons op deze dreiging worden genomen.

Syntaxis van opdracht

IOCSCAN <volledig pad naar het IOC-bestand>|/path=<pad naar de IOC-bestandenmap> [/process=on|off] [/hint=<volledig pad naar uitvoerbaar bestand van een proces volledig bestand pad] [/bestand pad] [/bestand pad] [/bestand pad] [/bestand pad] [/bestand pad] [/bestand pad] [/gebruikers bestand pad] [/bestand pad] [/bestand pad] [/bestand pad evenement>] [/bestand pad met kanalen>] [/bestand pad] [/bestand pad] [/bestand pad met uitsluitingen>][/scope=<lijst met te scannen mappen>]

IOC-bestanden

<volledig pad naar het IOC-bestand>

Volledig pad naar het IOC-bestand dat u wilt gebruiken voor het scannen. U kunt meerdere IOC-bestanden opgeven, gescheiden door spaties. Voer het volledige pad naar het IOC-bestand in, zonder het argument /path.

Bijvoorbeeld C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<pad naar de map met IOC-bestanden>

Pad naar de map met IOC-bestanden die u wilt gebruiken voor het scannen. IOC-bestanden zijn bestanden die de verzameling indicatoren bevatten aan de hand waarvan het programma op zoek gaat naar hits die kunnen duiden op een dreiging. IOC-bestanden moet voldoen aan de OpenIOC-norm.

Bijvoorbeeld C:\Users\Admin\Desktop\IOC

Gegevenstype voor IOC-scannen
`/process=on\|off`	Analyseer procesgegevens tijdens het uitvoeren van de IOC-scan (ProcessItem-term). Als de waarde van het argument `off` is, analyseert Kaspersky Endpoint Security de processen die tijdens de scan op de computer worden uitgevoerd niet. Als het IOC-bestand IOC-termen van het ProcessItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security procesgegevens alleen als het ProcessItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/hint=<volledig pad naar het uitvoerbare bestand van het proces\|volledig pad naar het bestand>`	Analyseer bestandsgegevens tijdens het uitvoeren van de IOC-scan (ProcessItem- en FileItem-termen). U kunt op een van de volgende manieren een bestand selecteren: `<volledig pad naar het uitvoerbare bestand van het proces>` – ProcessItem; `<volledig pad naar het bestand>` – FileItem.
`/registry=on\|off`	Analyseer Windows-registergegevens tijdens het uitvoeren van een IOC-scan (RegistryItem-term). Als de waarde van het argument `off` is, scant Kaspersky Endpoint Security het Windows-register niet. Als het IOC-bestand termen van het RegistryItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security het Windows-register alleen als het RegistryItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt. Voor het gegevenstype RegistryItem scant Kaspersky Endpoint Security een reeks registersleutels.
`/dnsentry=on\|off`	Analyseer de gegevens over records in de lokale DNS-cache tijdens het uitvoeren van de IOC-scan (DnsEntryItem-term). Als de waarde van het argument `off` is, scant Kaspersky Endpoint Security de lokale DNS-cache niet. Als het IOC-bestand termen van het DnsEntryItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security de lokale DNS-cache alleen als het DnsEntryItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/arpentry=on\|off`	Analyseer de gegevens over records in de ARP-tabel tijdens het uitvoeren van de IOC-scan (ArpEntryItem-term). Als de waarde van het argument `off` is, scant Kaspersky Endpoint Security de ARP-tabel niet. Als het IOC-bestand termen van het ArpEntryItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security de ARP-tabel alleen als het ArpEntryItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/ports=on\|off`	Analyseer gegevens over poorten die openstaan voor luisteren tijdens het uitvoeren van de IOC-scan (PortItem-term). Als de waarde van het argument `off` is, scant Kaspersky Endpoint Security de tabel met actieve verbindingen op het apparaat niet. Als het IOC-bestand termen van het PortItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security de tabel met actieve verbindingen alleen als het PortItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/services=on\|off`	Analyseer gegevens over services die zijn geïnstalleerd op het apparaat tijdens het uitvoeren van de IOC-scan (ServiceItem-term). Als de waarde van het argument `off` is, scant Kaspersky Endpoint Security de gegevens over services die zijn geïnstalleerd op het apparaat niet. Als het IOC-bestand termen van het ServiceItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security servicegegevens alleen als het ServiceItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/system=on\|off`	Analyseer omgevingsgegevens tijdens het uitvoeren van de IOC-scan (SystemInfoItem-term). Als de waarde van het argument `off` is, analyseert Kaspersky Endpoint Security omgevingsgegevens niet. Als het IOC-bestand termen van het SystemInfoItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security omgevingsgegevens alleen als het SystemInfoItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/users=on\|off`	Analyseer gegevens over gebruikers tijdens het uitvoeren van de IOC-scan (UserItem-term). Als de waarde van het argument `off` is, analyseert Kaspersky Endpoint Security gegevens over gebruikers die zijn aangemaakt op het systeem niet. Als het IOC-bestand termen van het UserItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security gegevens over gebruikers die zijn aangemaakt in het systeem alleen als het UserItem-IOC-document is gedefinieerd is in het IOC-bestand dat voor de scan wordt gebruikt.
`/volumes=on\|off`	Analyseer gegevens over volumes tijdens het uitvoeren van de IOC-scan (VolumeItem-term). Als de waarde van het argument `off` is, scant Kaspersky Endpoint Security de gegevens over volumes op het apparaat niet. Als het IOC-bestand termen van het VolumeItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security volumegegevens alleen als het VolumeItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/eventlog=on\|off`	Analyseer de gegevens over records in het Windows Event-logboek tijdens het uitvoeren van de IOC-scan (EventLogItem-term). Als de waarde van het argument `off` is, scant Kaspersky Endpoint Security de records in het Windows-gebeurtenislogboek niet. Als het IOC-bestand termen van het EventLogItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security het Windows Event-logboek als het EventLogItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/datetime=<publicatiedatum gebeurtenis>`	Houd bij het bepalen van het IOC-scanbereik voor het bijbehorende IOC-document rekening met de datum waarop de gebeurtenis is gepubliceerd in het Windows Event-logboek. Tijdens het uitvoeren van een IOC-scan scant Kaspersky Endpoint Security vermeldingen in het Windows-gebeurtenislogboek die zijn gepubliceerd vanaf de opgegeven tijd en datum tot het moment dat de taak is uitgevoerd. In Kaspersky Endpoint Security kan de publicatiedatum van de gebeurtenis worden opgegeven als de waarde van het argument. De scan wordt alleen uitgevoerd voor gebeurtenissen die na de opgegeven datum en vóór het uitvoeren van de scan in het Windows Event-logboek zijn gepubliceerd. Als er geen argument wordt opgegeven, scant Kaspersky Endpoint Security gebeurtenissen zonder rekening te houden met de publicatiedatum. De instelling TaskSettings::BaseSettings::EventLogItem::datetime kan niet worden bewerkt. De instelling wordt alleen gebruikt als het EventLogItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/channel=<lijst met kanalen>`	Lijst met (logboek)namen van kanalen waarvoor u een IOC-scan wilt uitvoeren. Als dit argument wordt opgegeven, scant Kaspersky Endpoint Security records die zijn gepubliceerd in de opgegeven logboeken. Het IOC-document moet een definitie bevatten van de EventLogItem-term. De naam van het logboek wordt aangegeven als een string overeenkomstig de naam van het logboek (kanaal) zoals aangegeven in de eigenschappen van het logboek (de Full Name-parameter) of in de gebeurteniseigenschappen (de <Channel></Channel>-parameter in het xml-schema van de gebeurtenis). U kunt meerdere kanalen opgeven, gescheiden door spaties. Als er geen argument wordt opgegeven, scant Kaspersky Endpoint Security records op de kanalen `Application`, `System` en `Security`.
`/files=on\|off`	Analyseer bestandsgegevens tijdens het uitvoeren van de IOC-scan (FileItem-term). Als de waarde van het argument `off` is, analyseert Kaspersky Endpoint Security bestandsgegevens niet. Als het IOC-bestand termen uit het FileItem-IOC-document bevat, worden deze genegeerd (aangemerkt als 'geen hit'). Als er geen argument wordt opgegeven, analyseert Kaspersky Endpoint Security bestandsgegevens alleen als het FileItem-IOC-document is gedefinieerd in het IOC-bestand dat voor de scan wordt gebruikt.
`/drives=<all\|system\|critical\|custom>`	Stel IOC-scanbereik in bij het analyseren van gegevens voor het FileItem-IOC-document. U kunt de volgende waarden instellen voor het scanbereik: `<all>` voor alle beschikbare bestandsbereiken. `<system>` voor bestanden in mappen waarin het besturingssysteem is geïnstalleerd. `<critical>` voor tijdelijke bestanden in gebruiker- en systeemmappen. `<custom>` voor bestanden in bereiken die door de gebruiker zijn gedefinieerd (`/scope=<lijst met mappen om te scannen>`). Als er geen argument wordt opgegeven, wordt de scan uitgevoerd voor kritieke gebieden.
`/excludes=<lijst met uitzonderingen>`	Stel uitzonderingsbereik in bij het analyseren van gegevens voor het FileItem-IOC-document. U kunt meerdere paden opgeven, gescheiden door spaties.
`/scope=<lijst met mappen om te scannen>`	Door gebruiker gedefinieerd IOC-scanbereik bij het analyseren van gegevens voor het FileItem IOC-document (`/drives=custom`). U kunt meerdere paden opgeven, gescheiden door spaties.

Resultaatwaarden opdracht:

-1 betekent dat de opdracht niet wordt ondersteund door de versie van eht programma dat op het apparaat is geïnstalleerd.
0 betekent dat de opdracht met succes is uitgevoerd.
1 betekent dat een verplicht argument niet is doorgegeven aan de opdracht.
2 betekent dat er zich een algemene fout heeft voorgedaan.
4 betekent dat er een syntaxfout was.

Als de opdracht succesvol is uitgevoerd (returnwaarde 0) en Indicators of Compromise zijn gedetecteerd, geeft Kaspersky Endpoint Security de volgende taakresultaten weer op de opdrachtregel:

`UUID`	ID van het IOC-bestand uit de header van de IOC-bestandsstructuur (de tag `<ioc id="">`)
`Naam`	Beschrijving van het IOC-bestand in de header van de IOC-bestandsstructuur (de tag `<description></description>` )
`Gematchte indicatie-items`	Lijst met ID's van alle indicatoren die een hit opleverden.
`Gematchte objects`	Gegevens van elk IOC-document waarvoor een hit werd gevonden.

Naar boven