Güvenlik İhlali Göstergelerini tara (IOC) görevini çalıştırın. Güvenlik İhlali Göstergesi (IOC) bilgisayara yetkisiz erişimi (verilerin ele geçirilmesi) gösteren bir nesne veya etkinlik hakkında bir dizi veridir. Örneğin, sistemde oturum açmaya yönelik birçok başarısız girişim, bir Güvenlik İhlali Göstergesi oluşturabilir. IOC Taraması görevleri, bilgisayarda güvenlik ihlali göstergelerini bulmaya ve tehdit yanıtı önlemleri almaya olanak verir.
Komut söz dizimi
IOCSCAN <IOC dosyasının tam yolu>|/path=<IOC dosyaları klasörünün yolu> [/process=on|off] [/hint=<bir işlemin yürütülebilir dosyasının tam yolu|tam dosya yolu>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<olay yayınlanma tarihi>] [/channels=<kanalların listesi>] [/files=on|off] [/drives=< tümü|sistem|kritik|özel>] [/excludes= <istisnalar listesi>][/scope=<taranacak klasörler listesi>]
IOC dosyaları |
|
|
Tarama için kullanmak istediğiniz IOC dosyasının tam yolu. Boşluklarla ayrılmış birden IOC dosyası belirtebilirsiniz. IOC dosyasının tam yolu, / Örneğin, |
|
Tarama için kullanmak istediğiniz IOC dosyalarının bulunduğu klasörün yolu. IOC dosyaları, uygulamanın bir algılamayı saymak için eşleştirmeye çalıştığı gösterge gruplarını içeren dosyalardır. IOC dosyaları OpenIOC standardına uygun olmalıdır. Örneğin, |
IOC taraması için veri türü |
|
|
IOC taramasını gerçekleştirirken işlem verilerini analiz et (ProcessItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security işlem verilerini ancak, ProcessItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taraması gerçekleştirirken dosya verilerini analiz et (ProcessItem ve FileItem terimleri). Aşağıdaki yöntemlerden biriyle bir dosya seçebilirsiniz:
|
|
Bir IOC taraması gerçekleştirirken Windows kayıt defteri verilerini analiz et (RegistryItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security Windows kayıt defterini ancak, ProcessItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. RegistryItem veri türü için Kaspersky Endpoint Security bir kayıt defteri anahtarları grubunu tarar. |
|
IOC taraması gerçekleştirirken yerel DNS önbelleğindeki kayıtlarla ilgili verileri analiz et (DnsEntryItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security DNS önbelleğini ancak, DnsEntryItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taraması gerçekleştirirken ARP tablosundaki kayıtlarla ilgili verileri analiz et (ArpEntryItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security ARP tablosunu ancak, ArpEntryItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taraması gerçekleştirilirken dinleme için açık olan bağlantı noktaları hakkındaki verileri analiz et (PortItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security etkin bağlantılar tablosunu ancak, PortItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taraması gerçekleştirilirken cihaza yüklenen hizmetlerle ilgili verileri analiz et (ServiceItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security hizmet verilerini ancak, ServiceItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taramasını gerçekleştirirken ortam verilerini analiz et (SystemInfoItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security ortam verilerini ancak, SystemInfoItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taramasını gerçekleştirirken kullanıcılar hakkındaki verileri analiz et (UserItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security sistemde oluşturulan kullanıcılar hakkındaki verileri ancak UserItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taramasını gerçekleştirirken birimlerle ilgili verileri analiz et (VolumeItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security birim verilerini ancak, VolumeItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
IOC taraması gerçekleştirirken Windows olay günlüğündeki kayıtlarla ilgili verileri analiz et (EventLogItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security Windows olay günlüğünü ancak, EventLogItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
İlgili IOC belgesi için IOC tarama kapsamını belirlerken, olayın Windows olay günlüğünde yayınlandığı tarihi dikkate alın. Bir IOC taraması gerçekleştirirken, Kaspersky Endpoint Security, belirtilen saat ve tarihten görevin çalıştırıldığı zamana kadar geçen süre boyunca yayınlanan Windows olay günlüğü girişlerini tarar. Kaspersky Endpoint Security, bağımsız argümanın değeri olarak olay yayın tarihinin belirtilmesine izin verir. Tarama, yalnızca belirtilen tarihten sonra ve tarama çalıştırılmadan önce Windows olay günlüğünde yayınlanan olaylar için gerçekleştirilir. Argüman belirtilmediği takdirde, Kaspersky Endpoint Security olayları yayın tarihinden bağımsız olarak tarar. TaskSettings::BaseSettings::EventLogItem::datetime ayarı düzenlenemez. Bu ayar, yalnızca EventLogItem IOC belgesi, tarama için sağlanan IOC dosyasında açıklandığında kullanılır. |
|
IOC taraması yapmak istediğiniz kanal adlarının listesi (günlük). Argümen belirtildiği takdirde, Kaspersky Endpoint Security belirtilen günlüklerde yayınlanan kayıtları tarar. IOC belgesi, açıklanan EventLogItem terimine sahip olmalıdır. Günlüğün adı, günlüğün özelliklerinde (Tam Adı parametresi) veya olay özelliklerinde (olayın xml şemasındaki <Channel></Channel> parametresi) belirtilen günlüğün (kanalın) adına göre bir dize olarak belirtilir. Boşluklarla ayrılmış birden çok kanal belirtebilirsiniz. Kaspersky Endpoint Security, argüman belirtilmediği takdirde, |
|
IOC taraması gerçekleştirirken dosya verilerini analiz et (FileItem terimi). Argümanın değeri Argüman belirtilmediği takdirde, Kaspersky Endpoint Security dosya verilerini ancak, FileItem IOC belgesi tarama için sağlanan IOC dosyasında açıklanmışsa analiz eder. |
|
FileItem IOC belgesi için verileri analiz ederken IOC tarama kapsamını ayarlayın. Tarama kapsamı için aşağıdaki değerleri ayarlayabilirsiniz:
Argüman belirtilmezse tarama kritik alanlar için yapılır. |
|
FileItem IOC belgesi için verileri analiz ederken istisna kapsamını ayarlayın. Boşluklarla ayrılmış birden çok yol belirtebilirsiniz. |
|
FileItem IOC belgesi için verileri analiz ederken kullanıcı tanımlı IOC tarama kapsamı ( |
Komut dönüş değerleri:
-1
, bilgisayarda yüklü olan Kaspersky sürümü tarafından komutun desteklenmediği anlamına gelir.0
, komutun başarıyla yürütüldüğü anlamına gelir.1
, komuta zorunlu bir argümanın iletilmediği anlamına gelir.2
, genel bir hata oluştuğu anlamına gelir.4
, bir sözdizimi hatası olduğu anlamına gelir.Komut başarıyla yürütüldüyse (dönüş değeri 0
) ve yol boyunca güvenlik ihlali göstergeleri algılandıysa, Kaspersky Endpoint Security aşağıdaki görev sonucu bilgilerini komut satırına gönderir:
|
IOC dosya yapısının başlığından IOC dosyasının kimliği ( |
|
IOC dosya yapısının başlığından IOC dosyasının açıklaması ( |
|
Eşleşen tüm göstergelerin kimliklerinin listesi. |
|
Bir eşleşme bulunan her IOC belgesi için veriler. |