Vous pouvez rechercher des indicateurs de compromission à l'aide de la tâche d'analyse IOC dans la ligne de commande uniquement lorsqu'elle est intégrée à Kaspersky Endpoint Detection and Response Optimum. Lors de l'intégration Kaspersky Endpoint Detection and Response (KATA), l'analyse IOC est effectuée du côté de la solution Kaspersky Endpoint Detection and Response (KATA).
Pour créer, configurer et exécuter la tâche Analyse IOC dans la ligne de commande, exécutez la commande suivante :
kesl-control [-T] --scan-ioc --path <chemin d'accès au répertoire ou au fichier> [--process on|off] [--hint <expression régulière>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <liste des exclusions>] [--scope <liste des répertoires>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]
où :
--path <chemin d'accès au répertoire ou au fichier> : chemin d'accès au fichier IOC ou au répertoire contenant les fichiers IOC avec l'extension .IOC ou .XML, à l'aide desquels vous souhaitez effectuer la vérification.
Vous pouvez spécifier plusieurs chemins d'accès, séparés par des espaces. Vous pouvez également spécifier les deux types de chemins (fichier et répertoire).
--process : activation de l'analyse des processus en cours d'exécution sur l'appareil.
Arguments possibles :
on : activer l'analyse des processus en cours d'exécution sur l'appareil (valeur par défaut).off : désactiver l'analyse des processus en cours d'exécution sur l'appareil.Si vous n'indiquez pas la clé --process, l'application effectue une analyse de processus uniquement si le fichier IOC utilisé contient les données de processus (ProcessItem).
--hint <expression régulière> : une expression régulière qui correspond au chemin complet du fichier (FileItem) ou du fichier exécutable du processus (ProcessItem) que vous souhaitez analyser.
Vous pouvez utiliser les éléments d'expressions régulières suivants :
. ^ $ |* + ? {n} {n,} {n, m}[^a-c]\a \e \f, \n \r \t \v \b--arpentry : activation de l'analyse des enregistrements dans la tableau ARP (ArpEntryItem).
Arguments possibles :
on : activer l'analyse des enregistrements dans le tableau ARP (valeur par défaut).off : désactiver l'analyse des enregistrements dans le tableau ARP.Si vous n'indiquez pas la clé --arpentry, l'application analyse la tableau ARP uniquement si le fichier IOC utilisé contient les données de la table (ArpEntryItem).
--ports : activation de l'analyse des ports ouverts pour la connexion.
Arguments possibles :
on : activer l'analyse des ports ouverts pour les connexions et vérifier les connexions actives sur l'appareil (valeur par défaut).off : désactiver l'analyse des ports ouverts pour les connexions et ne pas vérifier les connexions actives sur l'appareil.Si vous n'indiquez pas la clé --ports, l'application effectue une analyse de ports uniquement si le fichier IOC utilisé contient les données de ports (PortItem).
--system : activation de l'analyse de l'environnement système.
Arguments possibles :
on : activation de l'analyse de l'environnement système (valeur par défaut).off : désactivation de l'analyse de l’environnement système.Si vous n'indiquez pas la clé --system, l'application effectue une analyse de l'environnement système uniquement si les informations sur l'environnement système (SystemInfoItem) sont spécifiées dans le fichier IOC utilisé.
--files : activation de l'analyse des fichiers.
Arguments possibles :
on : activation de l'analyse des fichiers (valeur par défaut).off : désactivation de l’analyse des fichiers.Si vous n'indiquez pas la clé --files, l'application effectue une analyse de fichiers uniquement si le fichier IOC utilisé contient les données de fichiers (FileItem).
--drives : zones à analyser.
Arguments possibles :
all : analyser toutes les zones de fichiers disponibles.system : analyser uniquement les fichiers situés dans les répertoires dans lesquels le système d'exploitation est installé.critical : analyser les fichiers dans les répertoires utilisateur et système (valeur par défaut).custom : analyser uniquement les fichiers dans les zones que vous spécifiez.Si vous ne spécifiez pas la clé --drives, l'application analyse les fichiers dans les répertoires utilisateur et système.
--excludes <liste des exclusions> : liste des chemins exclus de l'analyse.
Les exclusions spécifiées par cette clé sont globales et s'appliquent quel que soit le type de zone ou de liste de répertoires. De telles exclusions ont la priorité sur les autres options, notamment --hint et --scope.
Les exclusions sont spécifiées sous forme de chemins, mais ne peuvent pas contenir des éléments récursifs ni de caractères de masque (par exemple, *).
Si vous ne spécifiez pas la clé --excludes, l'analyse est effectuée sans exclusion.
Vous pouvez spécifier plusieurs exclusions, séparées par des espaces.
--scope <liste des répertoires> : liste des répertoires supplémentaires à analyser.
Cette clé est obligatoire si vous spécifiez l'argument custom pour la clé --drives.
--action : action effectuée lorsque des indicateurs de compromission sont détectés.
Arguments possibles :
Skip : l'application n'effectuera aucune action avec l'objet détecté, mais les informations le concernant seront enregistrées dans les résultats de la tâche (valeur par défaut).QuarantineFile : l'application mettra en quarantaine l'objet détecté.IsolateHost : l'application isole du réseau l'appareil sur lequel l'objet est détecté.ScanCriticalAreas : l'application analysera les zones critiques.Vous pouvez spécifier plusieurs actions séparées par des espaces.
Si vous avez spécifié l'argument Skip, vous n'avez pas besoin d'ajouter d'autres arguments. L'argument Skip ne peut être utilisé que de manière indépendante.