Commandes de gestion de l'analyse IOC

-T : préfixe qui indique que la commande appartient au groupe de commandes de gestion des paramètres et des tâches de l'application.

Commande kesl-control --scan-ioc

La commande exécute une recherche d'indicateurs de compromission sur l'appareil (IOC).

Syntaxe de la commande

Arguments et clés

--path <chemin d'accès au répertoire ou au fichier> : chemin d'accès au fichier IOC ou au répertoire contenant les fichiers IOC avec l'extension .IOC ou .XML, à l'aide desquels vous souhaitez effectuer la vérification.

Vous pouvez spécifier plusieurs chemins d'accès, séparés par des espaces. Vous pouvez également spécifier les deux types de chemins (fichier et répertoire).

--process : activation de l'analyse des processus en cours d'exécution sur l'appareil.

Arguments possibles :

on : activer l'analyse des processus en cours d'exécution sur l'appareil (valeur par défaut).
off : désactiver l'analyse des processus en cours d'exécution sur l'appareil.

Si vous n'indiquez pas la clé --process, l'application effectue une analyse de processus uniquement si le fichier IOC utilisé contient les données de processus (ProcessItem).

--hint <expression régulière> : une expression régulière qui correspond au chemin complet du fichier (FileItem) ou du fichier exécutable du processus (ProcessItem) que vous souhaitez analyser.

Vous pouvez utiliser les éléments d'expressions régulières suivants :

métacaractères : . ^ $ |
classes de caractères : chiffre, alpha, inférieur, supérieur, cntrl
quantificateurs : * + ? {n} {n,} {n, m}
négation : [^a-c]
caractères d'échappement : \a \e \f, \n \r \t \v \b

--arpentry : activation de l'analyse des enregistrements dans la tableau ARP (ArpEntryItem).

Arguments possibles :

on : activer l'analyse des enregistrements dans le tableau ARP (valeur par défaut).
off : désactiver l'analyse des enregistrements dans le tableau ARP.

Si vous n'indiquez pas la clé --arpentry, l'application analyse la tableau ARP uniquement si le fichier IOC utilisé contient les données de la table (ArpEntryItem).

--ports : activation de l'analyse des ports ouverts pour la connexion.

Arguments possibles :

on : activer l'analyse des ports ouverts pour les connexions et vérifier les connexions actives sur l'appareil (valeur par défaut).
off : désactiver l'analyse des ports ouverts pour les connexions et ne pas vérifier les connexions actives sur l'appareil.

Si vous n'indiquez pas la clé --ports, l'application effectue une analyse de ports uniquement si le fichier IOC utilisé contient les données de ports (PortItem).

--system : activation de l'analyse de l'environnement système.

Arguments possibles :

on : activation de l'analyse de l'environnement système (valeur par défaut).
off : désactivation de l'analyse de l’environnement système.

Si vous n'indiquez pas la clé --system, l'application effectue une analyse de l'environnement système uniquement si les informations sur l'environnement système (SystemInfoItem) sont spécifiées dans le fichier IOC utilisé.

--files : activation de l'analyse des fichiers.

Arguments possibles :

on : activation de l'analyse des fichiers (valeur par défaut).
off : désactivation de l’analyse des fichiers.

Si vous n'indiquez pas la clé --files, l'application effectue une analyse de fichiers uniquement si le fichier IOC utilisé contient les données de fichiers (FileItem).

--drives : zones à analyser.

Arguments possibles :

all : analyser toutes les zones de fichiers disponibles.
system : analyser uniquement les fichiers situés dans les répertoires dans lesquels le système d'exploitation est installé.
critical : analyser les fichiers dans les répertoires utilisateur et système (valeur par défaut).
custom : analyser uniquement les fichiers dans les zones que vous spécifiez.

Si vous ne spécifiez pas la clé --drives, l'application analyse les fichiers dans les répertoires utilisateur et système.

--excludes <liste des exclusions> : liste des chemins exclus de l'analyse.

Les exclusions spécifiées par cette clé sont globales et s'appliquent quel que soit le type de zone ou de liste de répertoires. De telles exclusions ont la priorité sur les autres options, notamment --hint et --scope.

Les exclusions sont spécifiées sous forme de chemins, mais ne peuvent pas contenir des éléments récursifs ni de caractères de masque (par exemple, *).

Si vous ne spécifiez pas la clé --excludes, l'analyse est effectuée sans exclusion.

Vous pouvez spécifier plusieurs exclusions, séparées par des espaces.

--scope <liste des répertoires> : liste des répertoires supplémentaires à analyser.

Cette clé est obligatoire si vous spécifiez l'argument custom pour la clé --drives.

--action : action effectuée lorsque des indicateurs de compromission sont détectés.

Arguments possibles :

Skip : l'application n'effectuera aucune action avec l'objet détecté, mais les informations le concernant seront enregistrées dans les résultats de la tâche (valeur par défaut).
QuarantineFile : l'application mettra en quarantaine l'objet détecté.
IsolateHost : l'application isole du réseau l'appareil sur lequel l'objet est détecté.
ScanCriticalAreas : l'application analysera les zones critiques.
- /lib/systemd
- /lib/udev
- /lib/dbus-1.0
- /usr/local/lib/systemd/user
- /usr/share/dbus-1
- /usr/share/gdm/autostart
- /usr/share/gnome/autostart
- /var/spool/at
- /var/spool/at/spool
- /var/spool/anacron
- /var/spool/cron
- /boot
- /bin
- /sbin
- /lib
- /lib32
- /lib64
- /libx32
- /usr/lib
- /usr/lib32
- /usr/lib64
- /usr/libx32
- ~/.config/autostart
- ~/.config/autostart-scripts
- ~/.config/plasma-workspace/env
- ~/.config/plasma-workspace/shutdown
- ~/.config/lxsession
- ~/.fluxbox/startup
- ~/.kde/Autostart
- /etc

Vous pouvez spécifier plusieurs actions séparées par des espaces.

Si vous avez spécifié l'argument Skip, vous n'avez pas besoin d'ajouter d'autres arguments. L'argument Skip ne peut être utilisé que de manière indépendante.

Haut de page