Adattípus az IOC vizsgálathoz | |
/process=on|off | Folyamatadatok elemzése az IOC vizsgálat során (ProcessItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security a vizsgálat során nem elemzi a számítógépen futó folyamatokat. Ha az IOC-fájl tartalmazza a ProcessItem IOC-dokumentumának IOC-feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a folyamatadatokat, ha a ProcessItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/hint=<folyamat futtatható fájljának teljes elérési útja|fájl teljes elérési útja> | Fájladatok elemzése az IOC vizsgálat során (ProcessItem and FileItem kifejezések). Egy fájlt az alábbi módokon választhat ki: <folyamat futtatható fájljának teljes elérési útja> – ProcessItem term;<fájl teljes elérési útja> – FileItem term.
|
/registry=on|off | Windows rendszerleíró adatbázis adatainak elemzése az IOC vizsgálat során (RegistryItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem vizsgálja a Windows rendszerleíró adatbázisát. Ha az IOC-fájl tartalmazza a RegistryItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a Windows rendszerleíró adatbázisát, ha a RegistryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. A RegistryItem adattípus esetén a Kaspersky Endpoint Security átvizsgálja a beállításkulcsok készletét. |
/dnsentry=on|off | A helyi DNS-gyorsítótárban lévő rekordok adatainak elemzése az IOC vizsgálat során (DnsEntryItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem vizsgálja a helyi DNS-gyorsítótárat. Ha az IOC-fájl tartalmazza a DnsEntryItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a helyi DNS-gyorsítótárat, ha a DnsEntryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/arpentry=on|off | Az ARP-tábla rekordadatainak elemzése az IOC vizsgálat során (ArpEntryItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem vizsgálja az ARP-táblát. Ha az IOC-fájl tartalmazza az ArpEntryItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi az ARP-táblát, ha az ArpEntryItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/ports=on|off | A figyelésre megnyitott portok adatainak elemzése az IOC vizsgálat során (PortItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem vizsgálja az eszközön lévő aktív kapcsolatok tábláját. Ha az IOC-fájl tartalmazza a PortItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi az aktív kapcsolatok tábláját, ha a PortItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/services=on|off | Az eszközre telepített szolgáltatások adatainak elemzése az IOC vizsgálat során (ServiceItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem vizsgálja az eszközre telepített szolgáltatások adatait. Ha az IOC-fájl tartalmazza a ServiceItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a szolgáltatásadatokat, ha a ServiceItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/system=on|off | Környezeti adatok elemzése az IOC vizsgálat során (SystemInfoItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem elemzi a környezeti adatokat. Ha az IOC-fájl tartalmazza a SystemInfoItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a környezeti adatokat, ha a SystemInfoItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/users=on|off | Felhasználói adatok elemzése az IOC vizsgálat során (UserItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem elemzi a rendszerben létrehozott felhasználók adatait. Ha az IOC-fájl tartalmazza a UserItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a rendszerben létrehozott felhasználók adatait, ha a UserItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/volumes=on|off | Kötetadatok elemzése az IOC vizsgálat során (VolumeItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem vizsgálja az eszközön lévő kötetek adatait. Ha az IOC-fájl tartalmazza a VolumeItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a kötetadatokat, ha a VolumeItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/eventlog=on|off | A Windows Eseménynapló rekordadatainak elemzése az IOC vizsgálat során (EventLogItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem vizsgálja a Windows Eseménynapló rekordjait. Ha az IOC-fájl tartalmazza az EventLogItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a Windows Eseménynaplót, ha az EventLogItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/datetime=<esemény közzétételi dátuma> | Figyelembe veszi az esemény Windows Eseménynaplóban történő közzétételének dátumát, amikor meghatározza a megfelelő IOC-dokumentumhoz tartozó IOC vizsgálat hatókörét. Az IOC vizsgálat végrehajtásakor a Kaspersky Endpoint Security megvizsgálja a Windows Eseménynaplóban közzétett bejegyzéseket a megadott időpont és dátum, valamint a feladat futtatásának pillanata között. A Kaspersky Endpoint Security lehetővé teszi az esemény közzétételi dátumának megadását az argumentum értékeként. A vizsgálat csak a Windows Eseménynapló olyan eseményeire vonatkozik, amelyeket a megadott dátum és a vizsgálat futtatása között tettek közzé. Ha az argumentum nincs megadva, a Kaspersky Endpoint Security minden közzétételi dátumú eseményt megvizsgál. A TaskSettings::BaseSettings::EventLogItem::datetime beállítás nem szerkeszthető. A beállítás csak akkor használható, ha az EventLogItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/channel=<csatornák listája> | Azon csatorna (napló) nevek listája, amelyek esetében IOC vizsgálatot szeretne végezni. Ha az argumentum meg van adva, a Kaspersky Endpoint Security megvizsgálja a megadott naplókban közzétett rekordokat. Az IOC-dokumentumnak rendelkeznie kell a leírt EventLogItem kifejezéssel. A napló neve karakterláncként van meghatározva a napló tulajdonságaiban (Full Name paraméter) vagy az eseménytulajdonságokban (<Channel></Channel> paraméter az esemény xml-sémájában) a megadott napló (csatorna) nevének megfelelően. Több csatornát is megadhat szóközökkel elválasztva. Ha az argumentum nincs megadva, a Kaspersky Endpoint Security megvizsgálja az Application , System , Security csatornák rekordjait. |
/files=on|off | Fájladatok elemzése az IOC vizsgálat során (FileItem kifejezés). Ha az argumentum értéke off , a Kaspersky Endpoint Security nem elemzi a fájladatokat. Ha az IOC-fájl tartalmazza a FileItem IOC-dokumentumának feltételeit, akkor ezek figyelmen kívül lesznek hagyva (nincs egyezésként észlelve). Ha az argumentum nincs megadva, a Kaspersky Endpoint Security csak akkor elemzi a fájladatokat, ha a FileItem IOC-dokumentumának leírása szerepel a vizsgálathoz biztosított IOC-fájlban. |
/drives=<all|system|critical|custom> | Az IOC vizsgálat hatókörének beállítása a FileItem IOC-dokumentumadatainak elemzésekor. A következő értékeket állíthatja be a vizsgálat hatóköréhez: <all> az összes rendelkezésre álló fájl hatóköréhez.<system> azokban a mappákban található fájlokhoz, amelyekben az operációs rendszer telepítve van.<critical> felhasználói és rendszermappákban található ideiglenes fájlokhoz.<custom> a felhasználó által meghatározott hatókörű fájlokhoz (/scope=<vizsgálandó mappák listája> ).
Ha az argumentum nincs megadva, a vizsgálat a kritikus területeken történik. |
/excludes=<kizárások listája> | Kizárás hatókörének beállítása a FileItem IOC-dokumentumadatainak elemzésekor. Több elérési utat is megadhat szóközökkel elválasztva. |
/scope=<vizsgálandó mappák listája> | Felhasználó által definiált IOC vizsgálati hatókör a FileItem IOC-dokumentumadatainak elemzésekor (/drives=custom ). Több elérési utat is megadhat szóközökkel elválasztva. |