IOCSCAN:セキュリティ侵害インジケーター(IOC)のスキャン
セキュリティ侵害インジケーター(IOC)のスキャンタスクを実行します。セキュリティ侵害インジケーター(IOC)とは、コンピューターへの認証されないアクセス(コンピューターの侵害)の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。
コマンド構文
IOCSCAN <IOC ファイルのフルパス>|/path=<IOC ファイルのあるフォルダーのパス> [/process=on|off] [/hint=<プロセスの実行ファイルの完全パス|ファイルの完全パス>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<イベントの記録日>] [/channels=<チャネルのリスト>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<除外リスト>][/scope=<スキャンするフォルダーのリスト>]
IOC ファイル |
|
| スキャンに使用する IOC ファイルの完全パス。スペースで区切って複数の IOC ファイルを指定することができます。IOC ファイルの完全パスは引数「/ 例: |
| スキャンに使用する IOC ファイルのあるフォルダーのパス。IOC ファイルは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。 例: |
IOC スキャンのデータ種別 |
|
| IOC スキャンの実行中にプロセスデータを分析します(ProcessItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント ProcessItem が記述されている場合のみプロセスデータを分析します。 |
| IOC スキャンの実行時にファイルのデータを分析します(ProcessItem および FileItem)。 次のいずれかの方法でファイルを選択することができます:
|
| IOC スキャンの実行中に Windows のレジストリデータを分析します(RegistryItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント RegistryItem が記述されている場合のみ Windows レジストリを分析します。 Kaspersky Endpoint Security はデータ種別 RegistryItem に対しては、レジストリキー一式をスキャンします。 |
| IOC スキャンの実行中、ローカルの DNS キャッシュ内の項目のデータを分析します(DnsEntryItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント DnsEntryItem が記述されている場合のみローカルの DNS キャッシュを分析します。 |
| IOC スキャンの実行中、ARP テーブル内の項目のデータを分析します(ArpEntryItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント ArpEntryItem が記述されている場合のみローカルの ARP テーブルを分析します。 |
| IOC スキャンの実行中、待機しているポートに関するデータを分析します(PortItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント PortItem が記述されている場合のみアクティブな接続のテーブルを分析します。 |
| IOC スキャンの実行中、端末にインストールされているサービスに関するデータを分析します(ServiceItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント ServiceItem が記述されている場合のみサービスのデータを分析します。 |
| IOC スキャンの実行中に環境のデータを分析します(SystemInfoItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント SystemInfoItem が記述されている場合のみ環境データを分析します。 |
| IOC スキャンの実行中にユーザーに関するデータを分析します(UserItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント UserItem が記述されている場合のみシステムで作成されたユーザーに関するデータを分析します。 |
| IOC スキャンの実行中にボリュームに関するデータを分析します(VolumeItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント VolumeItem が記述されている場合のみボリュームに関するデータを分析します。 |
| IOC スキャンの実行中、Windows イベントログの項目のデータを分析します(EventLogItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント EventLogItem が記述されている場合、Windows イベントログを分析します。 |
| 対応する IOC ドキュメントの IOC スキャン範囲を決定する際には、Windows イベントログにイベントが記録された日付を考慮してください。 IOC スキャンの実行時、Kaspersky Endpoint Security は指定された日時からタスクが実行された時刻までの機関に記録された Windows イベントログの項目をスキャンします。 Kaspersky Endpoint Security では、引数の値にイベントの記録日を指定できます。指定した日付からスキャンが実行されるまでの間に Windows イベントログ内で記録されたイベントに対してのみスキャンが実行されます。 引数が指定されていない場合、Kaspersky Endpoint Security は記録されたすべてのくイベントをスキャンします。設定「TaskSettings::BaseSettings::EventLogItem::datetime」は編集できません。 スキャン用に提供された IOC ファイルで IOC ドキュメント EventLogItem が記述されている場合のみこの設定が使用されます。 |
| IOC スキャンを実行するチャネル(ログ)名のリスト。 引数が指定されていない場合、Kaspersky Endpoint Security は指定されたログに記録された項目をスキャンします。IOC ドキュメントには EventLogItem が記載されている必要があります。 ログの名前は、ログのプロパティ(Full Name パラメータ)またはイベントのプロパティ(イベントの XML スキーマ内の <チャネル>/<チャネル> パラメータ)で指定されたログ(チャネル)の名前に従って文字列で指定されます。スペースで区切って複数のチャネルを指定することができます。 引数が指定されていない場合、Kaspersky Endpoint Security はチャネル |
| IOC スキャンの実行時にファイルのデータを分析します(FileItem)。 引数の値が「 引数が指定されていない場合、IOC ファイルで IOC ドキュメント FileItem が記述されている場合のみファイルに関するデータを分析します。 |
| IOC ドキュメント FileItem のデータを分析する際の IOC スキャン範囲を設定します。 スキャン範囲には次の値を設定できます:
引数が指定されていない場合、スキャンは重要な領域に対して実行されます。 |
| IOC ドキュメント FileItem のデータを分析する際に除外する範囲を設定します。スペースで区切って複数のパスを指定することができます。 |
| IOC ドキュメント FileItem でデータを分析する際のユーザー定義の IOC スキャン範囲です( |
コマンド戻り値:
-1:コンピューターにインストールされているバージョンの製品ではコマンドがサポートされていません。0:コマンドが正常に実行されました。1:必要な引数がコマンドに渡されていません。2:一般的なエラーが発生しました。4:構文エラーがあります。
コマンドが正常に実行され(戻り値が 0)、侵害インジケーターが検出された場合、Kaspersky Endpoint Security は次のタスク結果の情報をコマンドラインに出力します:
| IOC ファイル構成のヘッダー部分に基づいた IOC ファイルの ID( |
| IOC ファイル構成のヘッダー部分に基づいた IOC ファイルの説明( |
| すべての一致したインジケーターの ID のリスト |
| 一致した各 IOC ドキュメント箇所のデータ |