IOCSCAN. Güvenlik ihlali göstergeleri (IOC) için tara

Güvenlik İhlali Göstergelerini tara (IOC) görevini çalıştırın. Güvenlik İhlali Göstergesi (IOC) bilgisayara yetkisiz erişimi (verilerin ele geçirilmesi) gösteren bir nesne veya etkinlik hakkında bir dizi veridir. Örneğin, sistemde oturum açmaya yönelik birçok başarısız girişim, bir Güvenlik İhlali Göstergesi oluşturabilir. IOC Taraması görevleri, bilgisayarda güvenlik ihlali göstergelerini bulmaya ve tehdit yanıtı önlemleri almaya olanak verir.

Komut söz dizimi

IOCSCAN <IOC dosyasının tam yolu>|/path=<IOC dosyaları klasörünün yolu> [/process=on|off] [/hint=<bir işlemin yürütülebilir dosyasının tam yolu|tam dosya yolu>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<olay yayınlanma tarihi>] [/channels=<kanalların listesi>] [/files=on|off] [/drives=< tümü|sistem|kritik|özel>] [/excludes= <istisnalar listesi>][/scope=<taranacak klasörler listesi>]

IOC dosyaları

 

<IOC dosyasının tam yolu>

Tarama için kullanmak istediğiniz IOC dosyasının tam yolu. Boşluklarla ayrılmış birden IOC dosyası belirtebilirsiniz. IOC dosyasının tam yolu, /path argümanı olmadan girilmelidir.

Örneğin, C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<IOC dosyalarını içeren klasörün yolu>

Tarama için kullanmak istediğiniz IOC dosyalarının bulunduğu klasörün yolu. IOC dosyaları, uygulamanın bir algılamayı saymak için eşleştirmeye çalıştığı gösterge gruplarını içeren dosyalardır. IOC dosyaları OpenIOC standardına uygun olmalıdır.

Örneğin, C:\Users\Admin\Desktop\IOC

IOC taraması için veri türü

 

/process=on|off

IOC taramasını gerçekleştirirken işlem verilerini analiz et (ProcessItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security taramayı gerçekleştirirken bilgisayarda çalışan işlemleri analiz etmez. IOC dosyası, ProcessItem IOC belgesinin IOC terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security işlem verilerini ancak, ProcessItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/hint=<işlemin yürütülebilir dosyasının tam yolu|dosyanın tam yolu>

IOC taraması gerçekleştirirken dosya verilerini analiz et (ProcessItem ve FileItem terimleri).

Aşağıdaki yöntemlerden biriyle bir dosya seçebilirsiniz:

  • <işlemin yürütülebilir dosyasının tam yolu> – ProcessItem;
  • <dosyanın tam yolu> – FileItem.

/registry=on|off

Bir IOC taraması gerçekleştirirken Windows kayıt defteri verilerini analiz et (RegistryItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, Windows kayıt defterini taramaz. IOC dosyası, RegistryItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security Windows kayıt defterini ancak, ProcessItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

RegistryItem veri türü için Kaspersky Endpoint Security bir kayıt defteri anahtarları grubunu tarar.

/dnsentry=on|off

IOC taraması gerçekleştirirken yerel DNS önbelleğindeki kayıtlarla ilgili verileri analiz et (DnsEntryItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, yerel DNS önbelleğini taramaz. IOC dosyası, DnsEntryItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security DNS önbelleğini ancak, DnsEntryItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/arpentry=on|off

IOC taraması gerçekleştirirken ARP tablosundaki kayıtlarla ilgili verileri analiz et (ArpEntryItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, ARP tablosunu taramaz. IOC dosyası, ArpEntryItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security ARP tablosunu ancak, ArpEntryItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/ports=on|off

IOC taraması gerçekleştirilirken dinleme için açık olan bağlantı noktaları hakkındaki verileri analiz et (PortItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, cihazdaki etkin bağlantılar tablosunu taramaz. IOC dosyası, PortItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security etkin bağlantılar tablosunu ancak, PortItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/services=on|off

IOC taraması gerçekleştirilirken cihaza yüklenen hizmetlerle ilgili verileri analiz et (ServiceItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, cihaza yüklenen hizmetlerle ilgili verileri taramaz. IOC dosyası, ServiceItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security hizmet verilerini ancak, ServiceItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/system=on|off

IOC taramasını gerçekleştirirken ortam verilerini analiz et (SystemInfoItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, ortam verilerini analiz etmez. IOC dosyası, SystemInfoItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security ortam verilerini ancak, SystemInfoItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/users=on|off

IOC taramasını gerçekleştirirken kullanıcılar hakkındaki verileri analiz et (UserItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, sistemde oluşturulan kullanıcılar hakkındaki verileri analiz etmez. IOC dosyası, UserItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security sistemde oluşturulan kullanıcılar hakkındaki verileri ancak UserItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/volumes=on|off

IOC taramasını gerçekleştirirken birimlerle ilgili verileri analiz et (VolumeItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, cihaza yüklenen birimlerle ilgili verileri taramaz. IOC dosyası, VolumeItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security birim verilerini ancak, VolumeItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/eventlog=on|off

IOC taraması gerçekleştirirken Windows olay günlüğündeki kayıtlarla ilgili verileri analiz et (EventLogItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security, Windows olay günlüğündeki kayıtları taramaz. IOC dosyası, EventLogItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security Windows olay günlüğünü ancak, EventLogItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/datetime=<olay yayınlanma tarihi>

İlgili IOC belgesi için IOC tarama kapsamını belirlerken, olayın Windows olay günlüğünde yayınlandığı tarihi dikkate alın.

Bir IOC taraması gerçekleştirirken, Kaspersky Endpoint Security, belirtilen saat ve tarihten görevin çalıştırıldığı zamana kadar geçen süre boyunca yayınlanan Windows olay günlüğü girişlerini tarar.

Kaspersky Endpoint Security, bağımsız argümanın değeri olarak olay yayın tarihinin belirtilmesine izin verir. Tarama, yalnızca belirtilen tarihten sonra ve tarama çalıştırılmadan önce Windows olay günlüğünde yayınlanan olaylar için gerçekleştirilir.

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security olayları yayın tarihinden bağımsız olarak tarar. TaskSettings::BaseSettings::EventLogItem::datetime ayarı düzenlenemez.

Bu ayar, yalnızca EventLogItem IOC belgesi, tarama için sağlanan IOC dosyasında açıklandığında kullanılır.

/channel=<kanalların listesi>

IOC taraması yapmak istediğiniz kanal adlarının listesi (günlük).

Argümen belirtildiği takdirde, Kaspersky Endpoint Security belirtilen günlüklerde yayınlanan kayıtları tarar. IOC belgesi, açıklanan EventLogItem terimine sahip olmalıdır.

Günlüğün adı, günlüğün özelliklerinde (Tam Adı parametresi) veya olay özelliklerinde (olayın xml şemasındaki <Channel></Channel> parametresi) belirtilen günlüğün (kanalın) adına göre bir dize olarak belirtilir. Boşluklarla ayrılmış birden çok kanal belirtebilirsiniz.

Kaspersky Endpoint Security, argüman belirtilmediği takdirde, Application, System, Security kanalları için kayıtları tarar.

/files=on|off

IOC taraması gerçekleştirirken dosya verilerini analiz et (FileItem terimi).

Argümanın değeri off olduğunda, Kaspersky Endpoint Security verileri analiz etmez. IOC dosyası, FileItem IOC belgesi terimlerini içeriyorsa bunlar yoksayılır (eşleşme olmadığı algılanır).

Argüman belirtilmediği takdirde, Kaspersky Endpoint Security dosya verilerini ancak, FileItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder.

/drives=<all|system|critical|custom>

FileItem IOC belgesi için verileri analiz ederken IOC tarama kapsamını ayarlayın.

Tarama kapsamı için aşağıdaki değerleri ayarlayabilirsiniz:

  • Mevcut tüm dosya kapsamları için <tümü>.
  • İşletim sisteminin kurulu olduğu klasörlerdeki dosyalar için <sistem>.
  • Kullanıcı ve sistem klasörlerindeki geçici dosyalar için <kritik>.
  • Kullanıcı tanımlı kapsamlardaki dosyalar için <özel> (/scope=<taranacak klasörler listesi>).

Argüman belirtilmezse tarama kritik alanlar için yapılır.

/excludes=<istisnalar listesi>

FileItem IOC belgesi için verileri analiz ederken istisna kapsamını ayarlayın. Boşluklarla ayrılmış birden çok yol belirtebilirsiniz.

/scope=<taranacak klasörler listesi>

FileItem IOC belgesi için verileri analiz ederken kullanıcı tanımlı IOC tarama kapsamı (/drives=custom). Boşluklarla ayrılmış birden çok yol belirtebilirsiniz.

Komut dönüş değerleri:

Komut başarıyla yürütüldüyse (dönüş değeri 0) ve yol boyunca güvenlik ihlali göstergeleri algılandıysa, Kaspersky Endpoint Security aşağıdaki görev sonucu bilgilerini komut satırına gönderir:

Uuid

IOC dosya yapısının başlığından IOC dosyasının kimliği (<ioc id=""> etiketi)

Name

IOC dosya yapısının başlığından IOC dosyasının açıklaması (<description></description> etiketi)

Matched Indicator Items

Eşleşen tüm göstergelerin kimliklerinin listesi.

Matched objects

Bir eşleşme bulunan her IOC belgesi için veriler.

Sayfanın başına git