Chạy tác vụ Quét các dấu hiệu về sự xâm nhập (IOC). Một Dấu hiệu về sự xâm nhập (IOC) là một tập hợp dữ liệu về một đối tượng hoặc hoạt động cho biết sự truy cập trái phép vào máy tính (xâm nhập dữ liệu). Ví dụ: nhiều nỗ lực đăng nhập không thành công vào hệ thống có thể cấu thành một Dấu hiệu về sự xâm nhập. Tác vụ Quét IOC cho phép tìm các Dấu hiệu về sự xâm nhập trên máy tính và thực hiện các biện pháp ứng phó với mối đe dọa.
Cú pháp lệnh
IOCSCAN <đường dẫn đầy đủ đến tập tin IOC>|/path=<đường dẫn đến thư mục tập tin IOC> [/process=on|off] [/hint=<đường dẫn đầy đủ đến tập tin thực thi của một tiến trình|đường dẫn tập tin đầy đủ>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<tất cả|hệ thống|quan trọng|tùy chỉnh>] [/excludes=<danh sách loại trừ>][/scope=<danh sách thư mục cần quét>]
IOC files |
|
|
Đường dẫn đầy đủ đến tập tin IOC mà bạn muốn sử dụng để quét. Bạn có thể chỉ định nhiều tập tin IOC được phân tách bằng dấu cách. Đường dẫn đầy đủ đến tập tin IOC phải được nhập mà không có đối số / Ví dụ: |
|
Đường dẫn đến thư mục có tập tin IOC mà bạn muốn sử dụng để quét. Tập tin IOC là các tập tin chứa các tập hợp dấu hiệu mà ứng dụng cố gắng đối chiếu để đếm một lần phát hiện. Các tập tin IOC phải tuân theo tiêu chuẩn OpenIOC. Ví dụ: |
Loại dữ liệu để quét IOC |
|
|
Phân tích dữ liệu tiến trình khi thực hiện quét IOC (từ ProcessItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu tiến trình nếu tài liệu IOC ProcessItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Phân tích dữ liệu tập tin khi thực hiện quét IOC (từ ProcessItem và FileItem). Bạn có thể chọn một tập tin theo một trong những cách sau đây:
|
|
Phân tích dữ liệu registry của Windows khi thực hiện quét IOC (từ RegistryItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích registry của Windows nếu tài liệu IOC RegistryItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. Với loại dữ liệu RegistryItem, Kaspersky Endpoint Security sẽ quét một tập hợp các khóa registry. |
|
Phân tích dữ liệu về các bản ghi trong bộ đệm DNS cục bộ khi thực hiện quét IOC (từ DnsEntryItem ). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích bộ đệm DNS cục bộ nếu tài liệu IOC DnsEntryItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Phân tích dữ liệu về các bản ghi trong bảng ARP khi thực hiện quét IOC (từ ArpEntryItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích bảng ARP nếu tài liệu IOC ArpEntryItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Phân tích dữ liệu về các cổng mở để nghe khi thực hiện quét IOC (từ PortItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích bảng các kết nối đang hoạt động nếu tài liệu IOC PortItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Phân tích dữ liệu về các dịch vụ được cài đặt trên thiết bị khi thực hiện quét IOC (từ ServiceItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu dịch vụ nếu tài liệu IOC ServiceItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Phân tích dữ liệu môi trường khi thực hiện quét IOC (từ SystemInfoItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu môi trường nếu tài liệu IOC SystemInfoItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Phân tích dữ liệu về người dùng khi thực hiện quét IOC (từ UserItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu về người dùng được tạo trong hệ thống nếu tài liệu IOC UserItem được mô tả trong tập tin IOC được cung cấp để quét. |
|
Phân tích dữ liệu về phân vùng khi thực hiện quét IOC (từ VolumeItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu phân vùng nếu tài liệu IOC VolumeItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Phân tích dữ liệu về các bản ghi trong nhật ký sự kiện Windows khi thực hiện quét IOC (từ EventLogItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích nhật ký sự kiện Windows nếu tài liệu IOC EventLogItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Hãy cân nhắc ngày phát hành sự kiện trong nhật ký sự kiện Windows khi xác định phạm vi quét IOC cho tài liệu IOC tương ứng. Khi thực hiện quét IOC, Kaspersky Endpoint Security sẽ quét các mục nhật ký sự kiện Windows được phát hành trong khoảng thời gian từ ngày và giờ được chỉ định đến thời điểm tác vụ được chạy. Kaspersky Endpoint Security cho phép chỉ định ngày phát hành sự kiện làm giá trị của đối số. Tác vụ quét chỉ được thực hiện cho các sự kiện được phát hành trong nhật ký sự kiện Windows sau ngày được chỉ định và trước khi tác vụ quét được chạy. Nếu đối số không được chỉ định, Kaspersky Endpoint Security sẽ quét các sự kiện với bất kỳ ngày phát hành nào. Không thể chỉnh sửa thiết lập TaskSettings::BaseSettings::EventLogItem::datetime. Thiết lập này chỉ được sử dụng nếu tài liệu IOC EventLogItem được mô tả trong tập tin IOC được cung cấp cho quá trình quét. |
|
Danh sách tên kênh (nhật ký) mà bạn muốn thực hiện quét IOC. Nếu đối số được chỉ định, Kaspersky Endpoint Security sẽ quét các bản ghi được phát hành trong các nhật ký được chỉ định. Tài liệu IOC phải có từ EventLogItem được mô tả. Tên của nhật ký được chỉ định dưới dạng một chuỗi phù hợp với tên của nhật ký (kênh) được chỉ định trong các thuộc tính của nhật ký (tham số Tên đầy đủ) hoặc trong các thuộc tính sự kiện (tham số <Channel></Channel> trong lược đồ xml của sự kiện). Bạn có thể chỉ định nhiều kênh được phân tách bằng dấu cách. Nếu đối số không được chỉ định, Kaspersky Endpoint Security sẽ quét các bản ghi cho các kênh |
|
Phân tích dữ liệu tập tin khi thực hiện quét IOC (từ FileItem). Nếu giá trị của đối số là Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu tập tin nếu tài liệu IOC FileItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét. |
|
Đặt phạm vi quét IOC khi phân tích dữ liệu cho tài liệu IOC FileItem. Bạn có thể đặt các giá trị sau cho phạm vi quét:
Nếu đối số không được chỉ định, tác vụ quét sẽ được thực hiện cho các khu vực quan trọng. |
|
Đặt phạm vi loại trừ khi phân tích dữ liệu cho tài liệu IOC FileItem. Bạn có thể chỉ định nhiều đường dẫn được phân tách bằng dấu cách. |
|
Phạm vi quét IOC do người dùng định nghĩa khi phân tích dữ liệu cho tài liệu IOC FileItem ( |
Các giá trị trả về của lệnh:
-1 có nghĩa là lệnh không được hỗ trợ bởi phiên bản của ứng dụng được cài đặt trên máy tính.0 có nghĩa là lệnh đã được thực thi thành công.1 có nghĩa là một đối số bắt buộc không được truyền vào cho lệnh.2 có nghĩa là một lỗi chung đã xảy ra.4 có nghĩa là đã xảy ra lỗi cú pháp.Nếu lệnh được thực thi thành công (giá trị trả về 0) và các dấu hiệu về sự xâm phạm đã được phát hiện trong quá trình thực hiện, Kaspersky Endpoint Security xuất thông tin kết quả tác vụ sau đây cho dòng lệnh:
|
ID của tập tin IOC trong tiêu đề của cấu trúc tập tin IOC (thẻ |
|
Mô tả tập tin IOC trong tiêu đề của cấu trúc tập tin IOC (thẻ |
|
Danh sách ID của tất cả các dấu hiệu được đối chiếu. |
|
Dữ liệu cho từng tài liệu IOC có một sự trùng khớp. |