IOCSCAN. Biztonsági sérülési indikátorok (IOC) vizsgálata
Biztonsági sérülési indikátorok (IOC) vizsgálata feladat futtatása. A biztonsági sérülési indikátor (IOC) egy olyan objektumra vagy tevékenységre vonatkozó adathalmaz, amely jogosulatlan hozzáférést jelez a számítógéphez (adatok veszélyeztetése). Például sok sikertelen bejelentkezési kísérlet a rendszerbe biztonsági sérülésre utalhat. Az IOC vizsgálat feladat lehetővé teszi a biztonsági sérülési indikátorok (IOC) megtalálását a számítógépen, valamint biztosítja a fenyegetésre reagáló intézkedések megtételét.
A parancs szintaxisa
avp.com IOCSCAN <IOC-fájl teljes elérési útvonala>|/path=<IOC-fájlok mappájának elérési útvonala> [/process=on|off] [/hint=<folyamat futtatható fájljának teljes elérési útvonala|fájl teljes elérési útvonala>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<esemény közzétételi dátuma>] [/channels=<csatornák listája>] [/files=on|off] [/drives=<összes|rendszer|kritikus|egyedi>] [/excludes=<kizárások listája>][/scope=<vizsgálandó mappák listája>]
IOC-fájlok |
|
| A vizsgálathoz használni kívánt IOC-fájl teljes elérési útja. Több IOC-fájlt is megadhat szóközökkel elválasztva. Az IOC-fájl teljes elérési útját a / Például |
| A vizsgálathoz használni kívánt IOC-fájlokat tartalmazó mappa elérési útja. Az IOC-fájlok olyan fájlok, amelyek az indikátorkészleteket tartalmazzák, és amelyekkel az alkalmazás egyezést próbál találni észlelés esetén. Az IOC-fájloknak meg kell felelniük az OpenIOC szabványnak. Például |
Adattípus az IOC vizsgálathoz |
|
| Folyamatadatok elemzése az IOC vizsgálat során (ProcessItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a folyamatadatokat, ha a ProcessItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Fájladatok elemzése az IOC vizsgálat során (ProcessItem and FileItem kifejezések). Egy fájlt az alábbi módokon választhat ki:
|
| Windows rendszerleíró adatbázis adatainak elemzése az IOC vizsgálat során (RegistryItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a Windows rendszerleíró adatbázisát, ha a RegistryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. A RegistryItem adattípus esetén a Kaspersky Endpoint Security átvizsgálja a beállításkulcsok készletét. |
| A helyi DNS-gyorsítótárban lévő rekordok adatainak elemzése az IOC vizsgálat során (DnsEntryItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a helyi DNS-gyorsítótárat, ha a DnsEntryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Az ARP-tábla rekordadatainak elemzése az IOC vizsgálat során (ArpEntryItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi az ARP-táblát, ha az ArpEntryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| A figyelésre megnyitott portok adatainak elemzése az IOC vizsgálat során (PortItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi az aktív kapcsolatok tábláját, ha a PortItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Az eszközre telepített szolgáltatások adatainak elemzése az IOC vizsgálat során (ServiceItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a szolgáltatásadatokat, ha a ServiceItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Környezeti adatok elemzése az IOC vizsgálat során (SystemInfoItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a környezeti adatokat, ha a SystemInfoItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Felhasználói adatok elemzése az IOC vizsgálat során (UserItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a rendszerben létrehozott felhasználók adatait, ha a UserItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Kötetadatok elemzése az IOC vizsgálat során (VolumeItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a kötetadatokat, ha a VolumeItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| A Windows Eseménynapló rekordadatainak elemzése az IOC vizsgálat során (EventLogItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a Windows Eseménynaplót, ha az EventLogItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Figyelembe veszi az esemény Windows Eseménynaplóban történő közzétételének dátumát, amikor meghatározza a megfelelő IOC-dokumentumhoz tartozó IOC vizsgálat hatókörét. Az IOC vizsgálat végrehajtásakor a Kaspersky Endpoint Security megvizsgálja a Windows Eseménynaplóban közzétett bejegyzéseket a megadott időpont és dátum, valamint a feladat futtatásának pillanata között. A Kaspersky Endpoint Security lehetővé teszi az esemény közzétételi dátumának megadását az argumentum értékeként. A vizsgálat csak a Windows Eseménynapló olyan eseményeire vonatkozik, amelyeket a megadott dátum és a vizsgálat futtatása között tettek közzé. Ha az argumentum nincs megadva, a Kaspersky Endpoint Security minden közzétételi dátumú eseményt megvizsgál. A TaskSettings::BaseSettings::EventLogItem::datetime beállítás nem szerkeszthető. A beállítás csak akkor használható, ha az EventLogItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Azon csatorna (napló) nevek listája, amelyek esetében IOC vizsgálatot szeretne végezni. Ha az argumentum meg van adva, a Kaspersky Endpoint Security megvizsgálja a megadott naplókban közzétett rekordokat. Az IOC-dokumentumnak rendelkeznie kell a leírt EventLogItem kifejezéssel. A napló neve karakterláncként van meghatározva a napló tulajdonságaiban (Full Name paraméter) vagy az eseménytulajdonságokban (<Channel></Channel> paraméter az esemény xml-sémájában) a megadott napló (csatorna) nevének megfelelően. Több csatornát is megadhat szóközökkel elválasztva. Ha az argumentum nincs megadva, a Kaspersky Endpoint Security megvizsgálja az |
| Fájladatok elemzése az IOC vizsgálat során (FileItem kifejezés). Ha az argumentum értéke Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a fájladatokat, ha a FileItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
| Az IOC vizsgálat hatókörének beállítása a FileItem IOC-dokumentumadatainak elemzésekor. A következő értékeket állíthatja be a vizsgálat hatóköréhez:
Ha az argumentum nincs megadva, a vizsgálat a kritikus területeken történik. |
| Kizárás hatókörének beállítása a FileItem IOC-dokumentumadatainak elemzésekor. Több elérési utat is megadhat szóközökkel elválasztva. |
| Felhasználó által definiált IOC vizsgálati hatókör a FileItem IOC-dokumentumadatainak elemzésekor ( |
A parancs visszatérési értékei:
- A
-1
azt jelenti, hogy a parancsot nem támogatja a számítógépre telepített alkalmazás verziója. - A
0
azt jelenti, hogy a parancs sikeresen végre lett hajtva. - Az
1
azt jelenti, hogy egy kötelező argumentum nem lett átadva a parancsnak. - A
2
azt jelenti, hogy általános hiba történt. - A
4
azt jelenti, hogy szintaktikai hiba történt.
Ha a parancs végrehajtása sikeres volt (a visszaadott érték 0
), és a Kaspersky Endpoint Security közben biztonsági sérülési indikátorokat észlelt, akkor a következő feladateredmény-adatokat küldi vissza a parancssorba:
| Az IOC-fájl azonosítója az IOC-fájlszerkezet fejlécéből (a |
| Az IOC-fájl leírása az IOC-fájlszerkezet fejlécéből (a |
| Az összes egyező indikátorelem azonosítóinak listája. |
| Minden olyan IOC-dokumentum adatai, amelyek esetében egyezés volt. |