Управление стандартными задачами поиска IOC

Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

Чтобы создать и настроить стандартную задачу поиска IOC через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующую команду и нажмите на клавишу Enter:

   agent.exe --scan-ioc {[--path=<путь к папке с IOC-файлами>] | [<полный путь к IOC-файлу>]} [--process=no] [--hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>] [--registry=no] [--dnsentry=no] [--arpentry=no] [--ports=no] [–services=no] [--system=no] [--users=no] [--volumes=no] [--eventlog=no] [--datetime=<дата публикации события>] [--channels=<список каналов>] [--files=no] [--network=no] [--url=no] [--drives=<all|system|critical|custom>] [--excludes=<список исключений>][--scope=<настраиваемый список папок>] [--retro]

   Если команда --scan-ioc передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.

   Если команда --scan-ioc передана с двумя обязательными параметрами одновременно (--path=<путь к папке с IOC-файлами> и <полный путь к IOC-файлу>), Kaspersky Endpoint Agent выполняет проверку всех переданных IOC-файлов.

   Параметры команд при запуске и настройке стандартных задач поиска IOC

   Параметры	Описание
   --scan-ioc	Обязательный параметр. Запускает стандартную задачу поиска IOC на устройстве.
   --path=<путь к папке с IOC-файлами>	Путь к папке с IOC-файлами, по которым требуется выполнять поиск. Обязательный параметр, если не задан параметр <полный путь к IOC-файлу>.
   <полный путь к IOC-файлу>	Полный путь к IOC-файлу с расширением ioc или xml, по которому требуется выполнять поиск. Обязательный параметр, если не задан параметр --path=<путь к папке с IOC-файлами>. Передается без аргумента --path.
   --process=<no>	Необязательный параметр. Параметр выключает анализ данных о процессах при проверке. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не учитывает запущенные на устройстве процессы при выполнении проверки. Если в IOC-файле указаны IOC-термины IOC-документа ProcessItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле.
   --hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>	Необязательный параметр. Параметр позволяет сузить область анализируемых данных для проверки IOC-документов ProcessItem и FileItem, путем указания конкретного файла. В качестве значения параметра может быть задан: <полный путь к исполняемому файлу процесса (ProcessItem)> – ProcessItem <полный путь к файлу> – FileItem Параметр может быть передан только совместно с аргументами --process=yes и --files=yes.
   --dnsentry=no	Необязательный параметр. Параметр выключает анализ данных о записях в локальном кеше DNS (IOC-документ DnsEntryItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет локальный кеш DNS. Если в IOC-файле указаны термины IOC-документа DnsEntryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле.
   --arpentry=no	Необязательный параметр. Параметр выключает анализ данных о записях в ARP-таблице (документ ArpEntryItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет таблицу ARP. Если в IOC-файле указаны термины IOC-документа ArpEntryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле.
   --ports=no	Необязательный параметр. Параметр выключает анализ данных о портах, открытых на прослушивание (документ PortItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет таблицу активных соединений на устройстве. Если в IOC-файле указаны термины IOC-документа PortItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле.
   --services=no	Необязательный параметр. Параметр выключает анализ данных о службах, установленных на устройстве (документ ServiceItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет данные о службах, установленных на устройстве. Если в IOC-файле указаны термины IOC-документа ServiceItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле.
   --volumes=no	Необязательный параметр. Параметр выключает анализ данных о томах (документ VolumeItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет данные о томах на устройстве. Если в IOC-файле указаны термины IOC-документа VolumeItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле.
   --eventlog=no	Необязательный параметр. Параметр выключает анализ данных о записях в журнале событий Windows (документ EventLogItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет записи в журнале событий Windows. Если в IOC-файле указаны термины IOC-документа EventLogItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.
   --datetime=<дата публикации события>	Необязательный параметр. Параметр позволяет включать и выключать учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа. При поиске IOC Kaspersky Endpoint Agent будет обрабатывать только события, опубликованные в период с указанного времени и даты и до момента выполнения задачи. В качестве значения параметра Kaspersky Endpoint Agent позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки. Если параметр не передан, Kaspersky Endpoint Agent проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования. Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.
   --channel=<список каналов>	Необязательный параметр. Параметр позволяет передать список имен каналов (журналов), для которых требуется выполнить поиск IOC. Если этот параметр передан, при выполнении задачи поиска IOC Kaspersky Endpoint Agent будет учитывать только события, опубликованные в указанных журналах. Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). По умолчанию (в том числе, если параметр не передан) поиск IOC выполняется для каналов Application, System, Security. Параметру может быть передано несколько значений (через пробел). Параметр используется только в том случае, если IOC-документ EventLogItem описан в переданном на проверку IOC.
   --system=no	Необязательный параметр. Параметр выключает анализ данных об окружении (IOC-документ SystemInfoItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не анализирует данные об окружении. Если в IOC-файле указаны термины IOC-документа SystemInfoItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле.
   --users=no	Необязательный параметр. Параметр выключает анализ данных о пользователях (IOC-документ UserItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не анализирует данные о пользователях, созданных в системе. Если в IOC-файле указаны термины IOC-документа UserItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле.
   --files=no	Необязательный параметр. Параметр выключает анализ данных о файлах (IOC-документ FileItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не анализирует данные о файлах. Если в IOC-файле указаны термины IOC-документа FileItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле.
   --network=no	Необязательный параметр. Параметр включает поиск угроз на основе IOC-документа Network при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не выполняет поиск угроз на основе IOC-документа Network. Если в IOC-файле указаны термины IOC-документа Network, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent включает поиск угроз на основе IOC-документа Network, только если IOC-документ Network описан в переданном на проверку IOC-файле.
   --url=no	Необязательный параметр. Параметр включает поиск угроз на основе IOC-документа UrlHistoryItem при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не выполняет поиск угроз на основе IOC-документа UrlHistoryItem. Если в IOC-файле указаны термины IOC-документа UrlHistoryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent включает поиск угроз на основе IOC-документа UrlHistoryItem, только если IOC-документ UrlHistoryItem описан в переданном на проверку IOC-файле.
   --drives=<all|system|critical|custom>	Необязательный параметр. Параметр позволяет задать область поиска IOC при анализе данных для IOC-документа FileItem. Можно задать одно из следующих значений параметра: <all> – программа проверяет все доступные файловые области. <system> – программа проверяет только файлы, расположенные в папках, в которых установлена ОС. <critical> – программа проверяет только временные файлы в пользовательских и системных папках. <custom> – программа проверяет только файлы в указанных пользователем областях. Если параметр не передан, проверка выполняется в критических областях.
   --excludes=<список исключений>	Необязательный параметр. Параметр позволяет задать области исключений при анализе данных для IOC-документа FileItem. В параметре можно передать несколько путей через пробел. Если параметр не передан, проверка выполняется без исключений.
   --scope=<настраиваемый список папок>	Необязательный параметр. Параметр становится обязательным, если передан параметр --drives=custom. Параметр позволяет задать список областей проверки. В параметре можно передать несколько путей через пробел.
   --retro	Необязательный параметр. Параметр передается для запуска задачи в режиме Ретроспективный поиск IOC. Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск индикаторов компрометации по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах. IOC (Indicator of Compromise, индикатор компрометации) – это набор данных о вредоносном объекте или действии. Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC. Дополнительно с этим параметром можно передать временной интервал, в рамках которого программа должна выполнять ретроспективный поиск IOC при помощи параметров: --start-time=<дата и время начала интервала> --end-time=<время окончания интервала> Пример: agent.exe --scan-ioc --path=<путь к папке с IOC-файлами> --retro --start-time=2021-05-21T10:30:00Z --end-time=2021-05-24T10:30:00Z Если временной интервал не передан, то используется интервал, начинающийся за сутки от момента запуска задачи и заканчивающийся датой и временем в момент запуска задачи.

Коды возврата команды --scan-ioc:

• -1 – команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку следующие данные о результатах выполнения задачи:

Данные, которые программа выводит в командную строку при обнаружении IOC