Создание задачи проверки хостов с помощью правил YARA

Вы можете проверить хосты с Kaspersky Endpoint Agent для Windows с помощью правил YARA.

Чтобы создать задачу проверки хостов с Kaspersky Endpoint Agent для Windows с помощью правил YARA:

В окне веб-интерфейса программы выберите раздел Задачи.
Откроется таблица задач.
Нажмите на кнопку Добавить и выберите Запустить YARA-проверку.
Откроется окно создания задачи.
Задайте значения следующих параметров:
1. Выбрать правила – имя правила. Вы можете ввести название правила или несколько знаков из названия правила и выбрать правило в списке.
  Вы можете добавить несколько правил.
2. Проверить – область проверки. Выберите один из следующих вариантов:
  - ОЗУ, если вы хотите проверить процессы, запущенные на момент выполнения задачи.
    Программа не проверяет процессы с низким уровнем приоритета.
  - Указанные папки, если вы хотите проверить файлы, хранящиеся в указанной папке и во всех вложенных папках на момент выполнения задачи.
  - Все локальные диски, если вы хотите проверить файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.
    Проверка всех локальных дисков может создать повышенную нагрузку на хост.
3. Если вы выбрали ОЗУ, вы можете выполнить следующие действия:
  - В поле Процессы вы можете указать короткие имена процессов или маску файлов, которые хотите проверить.
    Если на хосте запущено несколько процессов с одинаковыми именами, программа проверяет все эти процессы.
    
    Если поле Процессы не заполнено, программа проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения.
  - В поле Исключения вы можете указать короткие имена процессов или маску файлов, которые хотите исключить из проверки.
    Если на хосте запущено несколько процессов с одинаковыми именами, программа исключит из проверки все эти процессы.
4. Если вы выбрали Указанные папки, выполните следующие действия:
  - В поле Указанные папки укажите полный путь к папкам, имя или маску файлов, которые хотите проверить (например, C:\Users\User1\Documents\* или C:\Program files\*.exe).
  - В поле Исключения вы можете указать полный путь к папкам, имя или маску файлов, которые хотите исключить из проверки.
5. Максимальное время проверки – максимальное время проверки.
  По истечении указанного времени проверка завершится, даже если хосты были проверены не по всем правилам. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.
6. Описание – описание задачи. Поле необязательно для заполнения.
7. Задача для – область применения задачи:
  - Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
  - Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.
    Этот вариант доступен только при включенном режиме распределенного решения и multitenancy.
    
    Режим работы, при котором программа может использоваться для защиты инфраструктуры нескольких организаций одновременно.
  - Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
Задача проверки хостов с Kaspersky Endpoint Agent по правилам YARA может быть назначена только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.12 и выше. При одновременном назначении задачи на хосты с Kaspersky Endpoint Agent 3.12 и более ранними версиями программы задача выполняется только на хостах с Kaspersky Endpoint Agent 3.12.