IOCSCAN. Verifica os indicadores de comprometimento (IOC)

Execute a verificação para indicadores de comprometimento (IOC). Um Indicador de compromisso (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de compromisso. As tarefas de verificação de IOC permitem localizar indicadores de comprometimento no computador e tomar as medidas de resposta a ameaças.

Sintaxe de comando

IOCSCAN <caminho completo para o arquivo IOC>|/path=<caminho para a pasta dos arquivos IOC> [/process=on|off] [/hint=<caminho completo para o arquivo executável do processo|caminho completo para o arquivo>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<data da publicação do evento>] [/channels=<lista de canais>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<lista de exclusões>][/scope=<lista de pastas para verificar>]

Arquivos IOC

 

<full path to the IOC file>

Caminho completo para o arquivo IOC que você deseja usar para verificação. É possível especificar vários arquivos IOC separados por espaços. O caminho completo para o arquivo IOC deve ser inserido sem o argumento /path.

Por exemplo, C:\Users\Admin\Desktop\IOC\file1.ioc

--path=<caminho para a pasta com os arquivos IOC>

Caminho para a pasta com os arquivos IOC que deseja usar para verificação. Arquivos IOC são arquivos contendo os conjuntos de indicadores que o aplicativo tenta combinar para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC.

Por exemplo, C:\Users\Admin\Desktop\IOC

Tipo de dados para a verificação IOC

 

/process=on|off

Análise de dados do processo ao executar a verificação de IOC (termo ProcessItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não analisa os processos em execução no computador durante a verificação. Caso o arquivo IOC contenha os termos do documento ProcessItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do processo apenas se o documento ProcessItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

--hint=<caminho completo para o arquivo executável do processo|caminho completo para o arquivo>

Análise de dados do arquivo ao executar a verificação de IOC (termos ProcessItem e FileItem).

É possível selecionar um arquivo em uma das seguintes formas:

  • <caminho completo para o arquivo executável do processo> – ProcessItem;
  • <caminho completo para o arquivo> – FileItem.

/registry=on|off

Análise de dados de registro do Windows ao executar uma verificação de IOC (termo RegistryItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não verifica o registro do Windows. Caso o arquivo IOC contenha os termos do documento IOC do RegistryItem, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa o registro do Windows apenas se o documento RegistryItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

Para o tipo de dados RegistryItem, o Kaspersky Endpoint Security verifica um conjunto de chaves do registro.

/dnsentry=on|off

Análise de dados sobre os registros no cache DNS local ao executar a verificação de IOC (termo DnsEntryItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não verifica o cache do DNS local. Caso o arquivo IOC contenha os termos do documento DnsEntryItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa o cache DNS local apenas se o documento DnsEntryItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/arpentry=on|off

Análise de dados sobre os registros na tabela ARP ao realizar a verificação de IOC (termo ArpEntryItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não verifica a tabela ARP. Caso o arquivo IOC contenha termos do documento ArpEntryItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa a tabela ARP apenas se o documento ArpEntryItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/ports=on|off

Análise de dados sobre as portas abertas para escuta ao executar a verificação de IOC (termo PortItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não verifica a tabela de conexões ativas no dispositivo. Caso o arquivo IOC contenha termos do documento PortItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa a tabela de conexões ativas apenas se o documento PortItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/services=on|off

Análise de dados sobre os serviços instalados no dispositivo ao executar a verificação de IOC (termo ServiceItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não verifica os dados sobre os serviços instalados no dispositivo. Caso o arquivo IOC contenha termos do documento IOC de ServiceItem, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do serviço apenas se o documento ServiceItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/system=on|off

Análise de dados do ambiente ao executar a verificação de IOC (termo SystemInfoItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não analisa os dados do ambiente. Caso o arquivo IOC contenha termos do documento SystemInfoItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do ambiente apenas se o documento SystemInfoItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/users=on|off

Análise de dados sobre os usuários ao realizar a verificação de IOC (termo UserItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não analisa os dados sobre os usuários criados no sistema. Caso o arquivo IOC contenha termos do documento UserItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados sobre os usuários criados no sistema apenas se o documento UserItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/volumes=on|off

Análise de dados sobre os volumes ao realizar a verificação de IOC (termo VolumeItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não verifica os dados sobre os volumes do dispositivo. Caso o arquivo IOC contenha termos do documento VolumeItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do volume apenas se o documento VolumeItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/eventlog=on|off

Análise de dados sobre os registros no log de eventos do Windows ao executar a verificação de IOC (termo EventLogItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não verifica os registros no log de eventos do Windows. Caso o arquivo IOC contenha termos do documento EventLogItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa o log de eventos do Windows se o documento EventLogItem IOC estiver descrito no arquivo IOC fornecido para a verificação.

/datetime=<data da publicação do evento>

Leva em consideração a data em que o evento foi publicado no log de eventos do Windows ao determinar o escopo da verificação de IOC para o documento IOC correspondente.

Ao executar uma verificação de IOC, o Kaspersky Endpoint Security verifica as entradas do log de eventos do Windows publicadas durante o período da hora e data especificadas até o momento em que a tarefa é executada.

O Kaspersky Endpoint Security permite especificar a data de publicação do evento como o valor do argumento. A verificação é executada apenas para os eventos publicados no log de eventos do Windows após a data especificada e antes da verificação ser executada.

Caso o argumento não seja especificado, o Kaspersky Endpoint Security verifica os eventos com qualquer data de publicação. A configuração TaskSettings::BaseSettings::EventLogItem::datetime não pode ser editada.

A configuração é usada apenas se o documento IOC EventLogItem for descrito no arquivo IOC fornecido para a verificação.

/channel=<lista de canais>

Lista de nomes de canais (log) para os quais deseja realizar uma verificação de IOC.

Caso o argumento seja especificado, o Kaspersky Endpoint Security verifica os registros publicados nos logs especificados. O documento IOC deve ter o termo EventLogItem descrito.

O nome do log é especificado como uma string de acordo com o nome do log (canal) especificado nas propriedades do log (o parâmetro Full Name) ou nas propriedades do evento (o parâmetro <Channel></Channel> no esquema xml do evento). É possível especificar vários canais separados por espaços.

Caso o argumento não seja especificado, o Kaspersky Endpoint Security verifica os registros dos canais aplicativo, sistema, segurança.

/files=on|off

Análise de dados do arquivo ao executar a verificação de IOC (termo FileItem).

Caso o valor do argumento seja off, o Kaspersky Endpoint Security não analisa os dados do arquivo. Caso o arquivo IOC contenha termos do documento FileItem IOC, eles serão ignorados (detectados como nenhuma correspondência).

Caso o argumento não seja especificado, o Kaspersky Endpoint Security analisa os dados do arquivo apenas se o documento IOC FileItem estiver descrito no arquivo IOC fornecido para a verificação.

/drives=<all|system|critical|custom>

Define o escopo da verificação de IOC ao analisar os dados para o documento FileItem IOC.

Não é possível definir os seguintes valores para o escopo da verificação:

  • <all> para todos os escopos de arquivo disponíveis.
  • <system> para arquivos em pastas onde o sistema operacional está instalado.
  • <critical> para arquivos temporários nas pastas do usuário e do sistema.
  • <custom> para arquivos em escopos definidos pelo usuário (/scope=<lista de pastas para verificar>).

Caso o argumento não seja especificado, a verificação será executada nas áreas críticas.

/excludes=<lista de exclusões>

Define o escopo de exclusão ao analisar dados para o documento FileItem IOC. É possível especificar vários caminhos separados por espaços.

/scope=<lista de pastas para verificar>

Escopo da verificação de IOC definido pelo usuário ao analisar os dados para o documento FileItem IOC (/drives=custom). É possível especificar vários caminhos separados por espaços.

Valores de retorno do comando:

Caso o comando seja executado com sucesso (valor de retorno 0) e os indicadores de comprometimento sejam detectados ao longo do caminho, o Kaspersky Endpoint Security envia as seguintes informações de resultado da tarefa para a linha de comando:

Uuid

ID do arquivo IOC do cabeçalho da estrutura do arquivo IOC (a tag <ioc id="">)

Nome

Descrição do arquivo IOC a partir do cabeçalho da estrutura do arquivo IOC (a tag <description></description>)

Itens indicadores combinados

Lista de IDs de todos os indicadores correspondentes.

Objetos combinados

Dados para cada documento IOC para o qual houve uma correspondência.

Início da página