IOCSCAN. Verificar indicadores de comprometimento (IOC)
Execute a tarefa Verificar indicadores de comprometimento (IOC). Um Indicador de comprometimento (IOC) é um conjunto de dados relativos a um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas falhadas de iniciar sessão no sistema podem constituir um Indicador de Comprometimento. A tarefa Verificação IOC permite localizar indicadores de comprometimento no computador e adotar medidas de resposta a ameaças.
Sintaxe de comando
avp.com IOCSCAN <full path to the IOC file>|/path=<path to the IOC files folder> [/process=on|off] [/hint=<full path to executable file of a process|full file path>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<list of exclusions>][/scope=<list of folders to scan>]
IOC files |
|
| Caminho completo para o ficheiro IOC que deseja usar para a verificação. Pode especificar vários ficheiros IOC separados por espaços. O caminho completo para o ficheiro IOC deve ser introduzido sem o argumento / Por exemplo, |
| Caminho para a pasta com os IOC files que deseja utilizar para a verificação. Os IOC files são ficheiros que contêm os conjuntos de indicadores que a aplicação tenta corresponder para contar uma deteção. Os IOC files devem estar em conformidade com o padrão OpenIOC. Por exemplo, |
Tipo de dados para a verificação IOC |
|
| Analise os dados do processo ao executar a verificação IOC (termo ProcessItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados do processo se o documento ProcessItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados do ficheiro ao executar a verificação IOC (termos ProcessItem e FileItem). Pode selecionar um ficheiro através de uma das seguintes formas:
|
| Analise os dados de registo do Windows ao executar uma verificação IOC (termo RegistryItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa o registo do Windows se o documento RegistryItem IOC for descrito no ficheiro IOC fornecido para a verificação. Para o tipo de dados RegistryItem, o Kaspersky Endpoint Security verifica um conjunto de chaves de registo. |
| Analise os dados sobre os registos na cache DNS local ao executar a verificação IOC (termo DnsEntryItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa a cache DNS local se o documento DnsEntryItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados sobre os registos na tabela ARP ao realizar a verificação IOC (termo ArpEntryItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa a tabela ARP se o documento ArpEntryItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados sobre as portas de escuta abertas ao executar a verificação IOC (termo PortItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa a tabela de ligações ativas se o documento PortItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados sobre os serviços instalados no dispositivo ao executar a verificação IOC (termo ServiceItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados sobre o serviço se o documento ServiceItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados de ambiente ao executar a verificação IOC (termo SystemInfoItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados de ambiente se o documento SystemInfoItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados sobre os utilizadores ao executar a verificação IOC (termo UserItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados sobre os utilizadores criados no sistema se o documento UserItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados do volume ao executar a verificação IOC (termo VolumeItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados do volume se o documento VolumeItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Analise os dados sobre os registos no registo de eventos do Windows ao executar a verificação IOC (termo EventLogItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa o registo de eventos do Windows se o documento EventLogItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Tenha em consideração a data em que o evento foi publicado no registo de eventos do Windows ao determinar o âmbito de verificação IOC para o documento IOC correspondente. Ao executar uma verificação IOC, o Kaspersky Endpoint Security verifica as entradas do registo de eventos do Windows publicadas durante desde o dia e hora especificados ao momento em que a tarefa é executada. O Kaspersky Endpoint Security permite especificar a data de publicação do evento como o valor do argumento. A verificação só é executada para eventos publicados no registo de eventos do Windows após a data especificada e antes de a verificação ser executada. Se o argumento não for especificado, o Kaspersky Endpoint Security verifica os eventos independentemente da data de publicação. Não é possível editar a definição TaskSettings::BaseSettings::EventLogItem::datetime. A definição só é utilizada se o documento EventLogItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Lista de nomes de canais (registo) nos quais deseja executar uma verificação IOC. Se o argumento for especificado, o Kaspersky Endpoint Security verifica os registos publicados nos registos especificados. O documento IOC deve ter o termo EventLogItem descrito. O nome do registo é especificado como uma cadeia de acordo com o nome do registo (canal) especificado nas propriedades do registo (no parâmetro Full Name) ou nas propriedades do evento (no parâmetro <Channel></Channel>, no esquema XML do evento). Pode especificar vários canais separados por espaços. Se o argumento não for especificado, o Kaspersky Endpoint Security verifica os registos dos canais |
| Analise os dados do ficheiro ao executar a verificação IOC (termo FileItem). Se o valor do argumento for Se o argumento não for especificado, o Kaspersky Endpoint Security só analisa os dados do ficheiro se o documento FileItem IOC for descrito no ficheiro IOC fornecido para a verificação. |
| Defina o âmbito de verificação IOC ao analisar dados para o documento FileItem IOC. Pode definir os seguintes valores para o âmbito de verificação:
Se o argumento não for especificado, a verificação será executada em áreas críticas. |
| Defina o âmbito de exclusão ao analisar dados para o documento FileItem IOC. Pode especificar vários caminhos separados por espaços. |
| Âmbito de verificação IOC definido pelo utilizador ao analisar dados para o documento FileItem IOC ( |
Valores de retorno do comando:
-1significa que o comando não suportado pela versão do Kaspersky Endpoint Agent instalada no computador.0significa que o comando foi executado com êxito.1significa que um argumento obrigatório não foi transmitido ao comando.2significa que ocorreu um erro geral.4significa que houve um erro de sintaxe.
Se o comando for executado com êxito (valor de retorno 0) e tiverem sido detetados indicadores de comprometimento ao longo do caminho, o Kaspersky Endpoint Security envia as seguintes informações sobre os resultados da tarefa para a command line:
| ID do ficheiro IOC do cabeçalho da estrutura do ficheiro IOC (a etiqueta |
| Descrição do ficheiro IOC do cabeçalho da estrutura do ficheiro IOC (a etiqueta |
| Lista de ID de todos os indicadores correspondentes. |
| Dados de cada documento IOC para o qual houve uma correspondência. |