コマンドラインでの侵害の兆候の検索

Kaspersky Endpoint Detection and Response Optimum と連携されている場合にのみ、コマンドラインでセキュリティ侵害インジケーターをスキャンするタスクを使用してセキュリティ侵害インジケーターをスキャンできます。Kaspersky Endpoint Detection and Response (KATA) と連携されている場合、IOC スキャンは Kaspersky Endpoint Detection and Response (KATA) ソリューションで実行されます。

コマンドラインから IOC スキャンタスクを作成、設定、実行するには、次のコマンドを実行します：

kesl-control [-T] --scan-ioc --path <ディレクトリまたはファイルへのパス> [--process on|off] [--hint <正規表現>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <除外リスト>] [--scope <ディレクトリリスト>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]

説明：

• --path <ディレクトリまたはファイルへのパス>– スキャンを実行するために使用する、.IOC または .XML 拡張子を持つ IOC ファイルまたは IOC ファイルを含むディレクトリへのパス。

  スペースで区切って複数のパスを指定することもできる。両方の種別のパス（ファイルへのパスとディレクトリへのパス）を指定することもできます。

• --process – デバイス上で実行されているプロセスの分析を有効にします。

  考えられる引数：

  • on – デバイス上で実行されているプロセスの分析を有効にします（既定値）。
  • off – デバイス上で実行されているプロセスの分析を無効にします。

  --process オプションを指定しない場合、アプリケーションは使用される IOC ファイルでこれらのプロセスの詳細 (ProcessItem) が指定されている場合にのみプロセスを分析します。

• --hint <正規表現> – 分析対象のファイル (FileItem) またはプロセス (ProcessItem) の実行ファイルへの完全パスに一致する正規表現。

  次の正規表現要素を使用できます：

  • メタ文字：. ^ $ |
  • 文字クラス：数字、英字、小文字、大文字、cntrl
  • 量指定子：* + ? {n} {n,} {n, m}
  • 否定：[^a-c]
  • エスケープ文字：\a \e \f, \n \r \t \v \b
• --arpentry – ARP テーブル (ArpEntryItem) 内のエントリの分析を有効にします。

  考えられる引数：

  • on – ARP 表内のエントリの分析を有効にします（既定値）。
  • off – ARP 表内のエントリの分析を無効にします。

  --arpentry オプションを指定しない場合、使用される IOC ファイルで ARP 表の詳細 (ArpEntryItem) が指定されている場合にのみ ARP 表を分析します。

  --ports – 接続用に開いているポートの分析を有効にします。

  考えられる引数：

  • on – 接続用に開いているポートの分析を有効にし、デバイス上のアクティブな接続をスキャンします（既定値）。
  • off – 接続用に開いているポートの分析を無効にし、デバイス上のアクティブな接続をスキャンしません。

  --ports オプションを指定しない場合、使用される IOC ファイルでこれらのポートの詳細 (PortItem) が指定されている場合にのみポートを分析します。

• --system – システム環境の分析を有効にします。

  考えられる引数：

  • on – システム環境の分析を有効にします（既定値）。
  • off – システム環境の分析を無効にします。

  --system オプションを指定しない場合、使用される IOC ファイルでシステム環境の詳細 (SystemInfoItem) が指定されている場合にのみ、システム環境を分析します。

• --files – ファイル分析を有効にします。

  考えられる引数：

  • on – ファイル分析を有効にします（既定値）。
  • off – ファイル分析を無効にします。

  --files オプションを指定しない場合、使用される IOC ファイルでファイルの詳細 (FileItem) が指定されている場合にのみファイルを分析します。

• --drives – スキャンする領域。

  考えられる引数：

  • all – 利用可能なすべてのファイル領域をチェックします。
  • system – オペレーティングシステムがインストールされているディレクトリにあるファイルのみをスキャンします。
  • critical – ユーザーディレクトリとシステムディレクトリ内のファイルをスキャンします（既定値）。
  • custom – 指定した領域内のファイルのみをスキャンします。

  --drives オプションを指定しない場合、アプリケーションはユーザーディレクトリとシステムディレクトリ内のファイルを分析します。

• --excludes <除外リスト> – スキャンから除外されるパスのリスト。

  このオプションで指定された除外はグローバルであり、範囲の種別やディレクトリリストに関係なく有効です。これらの除外は、--hint や --scope などの他のコマンドラインオプションよりも優先されます。

  除外はパスとして指定されますが、再帰要素やワイルドカード文字（例：*）を含めることはできません。

  --excludes オプションを指定しない場合は、除外なしでスキャンが実行されます。

  スペースで区切って複数の除外を指定することもできる。

• --scope <ディレクトリリスト> – スキャンする追加ディレクトリのリスト。

  --drives オプションにカスタム引数を指定した場合、このオプションは必須です。

• --action – 侵害の兆候が検知された場合に実行される処理。

  考えられる引数：

  • Skip – 検知されたオブジェクトに対して処理を実行しませんが、そのオブジェクトに関する情報はタスク実行結果に保存されます（既定値）。
  • QuarantineFile – 検知されたオブジェクトを隔離します。
  • IsolateHost – オブジェクトが検知されたデバイスにネットワーク分離を強制します。
  • ScanCriticalAreas – 簡易スキャンを実行します。
    • /lib/systemd
    • /lib/udev
    • /lib/dbus-1.0
    • /usr/local/lib/systemd/user
    • /usr/share/dbus-1
    • /usr/share/gdm/autostart
    • /usr/share/gnome/autostart
    • /var/spool/at
    • /var/spool/at/spool
    • /var/spool/anacron
    • /var/spool/cron
    • /boot
    • /bin
    • /sbin
    • /lib
    • /lib32
    • /lib64
    • /libx32
    • /usr/lib
    • /usr/lib32
    • /usr/lib64
    • /usr/libx32
    • ~/.config/autostart
    • ~/.config/autostart-scripts
    • ~/.config/plasma-workspace/env
    • ~/.config/plasma-workspace/shutdown
    • ~/.config/lxsession
    • ~/.fluxbox/startup
    • ~/.kde/Autostart
    • /etc

  スペースで区切って複数のパスを指定することもできます。

  Skip 引数を指定する場合は、他の引数を追加しないでください。Skip 引数は単独でのみ使用できます。

ページのトップに戻る