IOCSCAN。掃描查找洩露指示器 (IOC)

執行“IOC 掃描”工作洩露指示器 (IOC)是一個物件或者活動的資料集合,表明對電腦的未經授權存取(資料洩露)。例如,許多登入系統的不成功嘗試可以構成一個洩露指示器。“IOC 掃描”工作可發現電腦上的洩露指示器並採取威脅回應措施。

若要執行命令,請轉到 Kaspersky Endpoint Security 可執行檔所在的資料夾。您也可以將可執行檔路徑新增至 %PATH% 系統變數並執行命令,而無需導覽至應用程式資料夾。

在與 IOC 規則中所述的入侵指標進行 128 次配對後,IOC 掃描將中止。有必要限制 IOC 掃描工作報告中的項目數量,以便於分析並防止由於不精確制定的入侵指標而產生大量匹配導致報告溢出。

指令語法

avp.com IOCSCAN <full path to the IOC file>|/path=<path to the IOC files folder> [/process=on|off] [/hint=<full path to executable file of a process|full file path>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<list of exclusions>][/scope=<list of folders to scan>]

IOC 檔案

 

<full path to the IOC file>

您想要用於掃描的 IOC 檔案的完整路徑。您可以指定多個 IOC 檔案,之間由空格分開。輸入 IOC 檔案的完整路徑時不得有 /path 引數。

例如,C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<path to the folder with IOC files>

您想要用於掃描的包含 IOC 檔案的資料夾路徑。IOC 檔案是包含應用程式試圖匹配以計數偵測的指示器集合的檔案。IOC 檔案必須符合 OpenIOC 標準。

例如,C:\Users\Admin\Desktop\IOC

用於 IOC 掃描的資料類型

 

/process=on|off

執行 IOC 掃描時分析處理程序資料(ProcessItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 執行掃描時不分析在電腦上執行的處理程序。如果 IOC 檔案包含 ProcessItem IOC 文件的 IOC 字詞,他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 ProcessItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析處理程序資料。

/hint=<full path to the executable file of the process|full path to the file>

執行 IOC 掃描時分析檔案資料((ProcessItemFileItem 字詞)。

您可以採用以下方式之一選擇檔案:

  • <full path to the executable file of the process>ProcessItem 字詞;
  • <full path to the file>FileItem 字詞。

/registry=on|off

執行 IOC 掃描時分析 Windows 登錄檔資料(RegistryItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不掃描 Windows 登錄檔。如果 IOC 檔案包含 RegistryItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 RegistryItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析 Windows 登錄檔資料。

對於 RegistryItem 資料類型,Kaspersky Endpoint Security 會掃描一個登錄機碼集合

/dnsentry=on|off

執行 IOC 掃描時分析本機 DNS 快取中的記錄相關資料(DnsEntryItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不掃描本機 DNS 快取。如果 IOC 檔案包含 DnsEntryItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 DnsEntryItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析本機 DNS 快取。

/arpentry=on|off

執行 IOC 掃描時分析本機 ARP 表格中的記錄相關資料(ArpEntryItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不掃描 ARP 表格。如果 IOC 檔案包含 ArpEntryItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 ArpEntryItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析 ARP 表格。

/ports=on|off

執行 IOC 掃描時分析開啟用來監聽的連接埠相關資料(PortItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不掃描裝置上的活動連線表格。如果 IOC 檔案包含 PortItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 PortItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析活動連線表格。

/services=on|off

執行 IOC 掃描時分析安裝在裝置上的服務相關資料(ServiceItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不掃描安裝在裝置上的服務相關資料。如果 IOC 檔案包含 ServiceItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 ServiceItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析服務資料。

/system=on|off

執行 IOC 掃描時分析環境資料(SystemInfoItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不分析環境資料。如果 IOC 檔案包含 SystemInfoItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 SystemInfoItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析環境資料。

/users=on|off

執行 IOC 掃描時分析使用者相關資料(UserItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不分析在系統中建立的使用者相關資料。如果 IOC 檔案包含 UserItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 UserItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析在系統中建立的使用者相關資料。

/volumes=on|off

執行 IOC 掃描時分析磁碟區相關資料(VolumeItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不掃描裝置上的磁碟區相關資料。如果 IOC 檔案包含 VolumeItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 VolumeItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析磁碟區資料。

/eventlog=on|off

執行 IOC 掃描時分析 Windows 事件日誌中的記錄相關資料(EventLogItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不掃描 Windows 事件日誌中的記錄。如果 IOC 檔案包含 EventLogItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 EventLogItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析 Windows 事件日誌。

/datetime=<event publication date>

當確定相應 IOC 文件的 IOC 掃描範圍時,請考慮事件在 Windows 事件日誌中發佈的日期。

當執行 IOC 掃描時,Kaspersky Endpoint Security 會掃描從指定時間和日期到執行工作時這段期間內發佈的 Windows 事件日誌。

Kaspersky Endpoint Security 允許將事件發佈日期指定為引數值。僅對指定日期後和執行掃描前在 Windows 事件日誌中發佈的事件進行掃描。

如果未指定引數,Kaspersky Endpoint Security 會掃描具有任何發佈日期的事件。TaskSettings::BaseSettings::EventLogItem::datetime 設定不可編輯。

設定只有當 EventLogItem IOC 文件在供掃描的 IOC 檔案中得到說明時才使用。

/channel=<list of channels>

您想要為其進行 IOC 掃描的通道清單 (log) 名稱。

如果指定了引數,Kaspersky Endpoint Security 會掃描發佈在指定日誌中的記錄。IOC 文件必須說明 EventLogItem 字詞。

日誌名稱被根據日誌內容(Full Name參數)或者事件內容(事件的 xml 架構中的 <Channel></Channel> 參數)中指定的日誌名稱(通道)指定為字串。您可以指定多個通道,之間由空格分開。

如果未指定引數,則 Kaspersky Endpoint Security 會掃描通道 ApplicationSystemSecurity 的記錄。

/files=on|off

執行 IOC 掃描時分析檔案資料(FileItem 字詞)。

如果引數值為 off,則 Kaspersky Endpoint Security 不分析檔案資料。如果 IOC 檔案包含 FileItem IOC 文件字詞,則他們會被忽略(偵測為不匹配)。

如果未指定引數,則僅當 FileItem IOC 文件在供掃描的 IOC 檔案中得到說明時,Kaspersky Endpoint Security 才分析檔案資料。

/drives=<all|system|critical|custom>

設定分析 FileItem IOC 文件的資料時的 IOC 掃描範圍。

您可以為掃描範圍設定以下值:

  • <all>,對於所有可用的檔案範圍。
  • <system>,對於安裝了作業系統的資料夾中的檔案。
  • <critical>,對於使用者和系統資料夾中的臨時檔案。
  • <custom>,對於使用者定義的範圍中的檔案(/scope=<list of folders to scan>)。

如果未指定引數,則為關鍵領域進行掃描。

/excludes=<list of exclusions>

設定分析 FileItem IOC 文件的資料時的排除範圍。您可以指定多個路徑,之間由空格分開。

/scope=<list of folders to scan>

分析 FileItem IOC 文件的資料時的使用者定義 IOC 掃描範圍 (/drives=custom)。您可以指定多個路徑,之間由空格分開。

指令返回值:

如果指令得到成功執行(返回值0)且順便偵測到了洩露指示器,Kaspersky Endpoint Security 會將以下工作結果資訊輸出到指令行:

Uuid

來自 IOC 檔案結構標頭的 IOC 檔案 ID(<ioc id="">標籤)

Name

來自 IOC 檔案結構標頭的 IOC 檔案說明(<description></description>標籤)

Matched Indicator Items

所有匹配指示器的 ID 清單。

Matched objects

對其具有匹配的每個 IOC 文件的資料。

頁面頂部