IOCSCAN. Поиск индикаторов компрометации (IOC)
Запустить задачу поиска индикаторов компрометации (IOC). Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
Синтаксис команды
IOCSCAN <полный путь к IOC-файлу>|/path=<путь к папке с IOC-файлами> [/process=on|off] [/hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<дата публикации события>] [/channels=<список каналов>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<список исключений>][/scope=<список папок для проверки>]
IOC-файлы |
|
| Полный путь к IOC-файлу, по которому требуется выполнить поиск. Вы можете указать несколько IOC-файлов через пробел. Полный путь к IOC-файлу следует ввести без аргумента / Например, |
| Путь к папке с IOC-файлами, по которым требуется выполнять поиск. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Например, |
Тип данных для поиска IOC |
|
| Анализ данных о процессах при поиске IOC (термин ProcessItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле. |
| Анализ данных о файле при поиске IOC (термины ProcessItem и FileItem). Вы можете выбрать файл следующими способами:
|
| Анализ данных о реестре Windows при поиске IOC (термин RegistryItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет реестр Windows, только если IOC-документ RegistryItem описан в переданном на проверку IOC-файле. Для типа данных RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра. |
| Анализ данных о записях в локальном кеше DNS при поиске IOC (термин DnsEntryItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле. |
| Анализ данных о записях в ARP-таблице при поиске IOC (термин ArpEntryItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле. |
| Анализ данных о портах, открытых на прослушивание, при поиске IOC (термин PortItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле. |
| Анализ данных о службах, установленных на устройстве, при поиске IOC (термин ServiceItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле. |
| Анализ данных об окружении при поиске IOC (термин SystemInfoItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле. |
| Анализ данных о пользователях при поиске IOC (термин UserItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле. |
| Анализ данных о томах при поиске IOC (термин VolumeItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле. |
| Анализ данных о записях в журнале событий Windows при поиске IOC (термин EventLogItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле. |
| Учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа. При поиске IOC Kaspersky Endpoint Security проверяет записи в журнале событий Windows, опубликованные в период с указанного времени и даты и до момента выполнения задачи. В качестве значения параметра Kaspersky Endpoint Security позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки. Если параметр не указан, Kaspersky Endpoint Security проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования. Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле. |
| Список имен каналов (журналов), для которых требуется выполнить поиск IOC. Если параметр указан, Kaspersky Endpoint Security проверяет записи, опубликованные в указанных журналах. При этом в IOC-документе должен быть описан термин EventLogItem. Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). Вы можете указать несколько каналов через пробел. Если параметр не указан, Kaspersky Endpoint Security проверяет записи для каналов |
| Анализ данных о файлах при поиске IOC (термин FileItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле. |
| Область поиска IOC при анализе данных для IOC-документа FileItem. Доступны следующие значения области поиска:
Если параметр не установлен, проверка выполняется в критических областях. |
| Область исключений при анализе данных для IOC-документа FileItem. Вы можете указать несколько путей через пробел. |
| Пользовательская область поиска IOC при анализе данных для IOC-документа FileItem ( |
Коды возврата команды:
-1– команда не поддерживается версией приложения, которое установлено на компьютере.0– команда выполнена успешно.1– команде не передан обязательный аргумент.2– общая ошибка.4– синтаксическая ошибка.
Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:
| Идентификатор IOC-файла из заголовка структуры IOC-файла (тег |
| Описание IOC-файла из заголовка структуры IOC-файла (тег |
| Перечень идентификаторов всех сработавших индикаторов. |
| Данные по каждому документу IOC, по которому было найдено совпадение. |
