Создание задачи проверки хостов с помощью правил YARA

Вы можете проверять хосты с Kaspersky Endpoint Agent для Windows с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:

• В разделе Задачи.

  В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты.

• В разделе Пользовательские правила, подразделе YARA.

  В этом случае создается задача для проверки хостов по выбранным правилам YARA.

Чтобы создать задачу проверки хостов с Kaspersky Endpoint Agent для Windows с помощью правил YARA в разделе Задачи:

1. В окне веб-интерфейса программы выберите раздел Задачи.

   Откроется таблица задач.

2. Нажмите на кнопку Добавить и выберите Запустить YARA-проверку.

   Откроется окно создания задачи.

3. Задайте значения следующих параметров:
   1. Выбрать правила – имя правила. Вы можете ввести название правила или несколько знаков из названия правила и выбрать правило в списке.

      Вы можете добавить несколько правил.

   2. Проверить – область проверки. Выберите один из следующих вариантов:
      • ОЗУ, если вы хотите проверить процессы, запущенные на момент выполнения задачи.

        Программа не проверяет процессы с низким уровнем приоритета.

      • Точки автозапуска, если вы хотите проверить точки автозапуска, полученные в результате выполнения задачи Собрать форензику.

        Доступно только при интеграции с Kaspersky Endpoint Agent 3.13 и выше.

        Для проверки точек автозапуска вам требуется указать хосты, для которых ранее была выполнена задача Собрать форензику.

      • Указанные директории, если вы хотите проверить файлы, хранящиеся в указанной папке и во всех вложенных папках на момент выполнения задачи.
      • Все локальные диски, если вы хотите проверить файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.

        Проверка всех локальных дисков может создать повышенную нагрузку на хост.

   3. Если вы выбрали ОЗУ, при необходимости выполните следующие действия:
      • В поле Процессы укажите короткие имена процессов или маску файлов, которые хотите проверить.

        Программа проверяет все запущенные на хосте процессы с одинаковыми именами.

        Если поле Процессы не заполнено, программа проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения.

      • В поле Исключения укажите короткие имена процессов или маску файлов, которые хотите исключить из проверки.

        Если на хосте запущено несколько процессов с одинаковыми именами, программа исключит из проверки все эти процессы.

   4. Если вы выбрали Точки автозапуска, в поле Тип проверки выберите тип проверки:
      • Быстрая.

        В этом случае проверяются все точки автозапуска, кроме COM-объектов.

      • Полная.

        В этом случае проверяются все точки автозапуска и связанные с ними файлы.

   5. Если вы выбрали Указанные директории, выполните следующие действия:
      • В поле Указанные директории укажите полный путь к папкам, имя или маску файлов, которые хотите проверить (например, C:\Users\User1\Documents\* или C:\Program files\*.exe).
      • В поле Исключения укажите полный путь к папкам, имя или маску файлов, которые хотите исключить из проверки.
   6. Максимальное время проверки – максимальное время проверки.

      По истечении указанного времени проверка завершится, даже если хосты были проверены не по всем правилам. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.

   7. Описание – описание задачи. Поле необязательно для заполнения.
   8. Задача для – область применения задачи:
      • Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
      • Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.

        Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

        

        Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

        

        Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

      • Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.

        Задача проверки хостов с Kaspersky Endpoint Agent по правилам YARA может быть назначена только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.12 и выше. При одновременном назначении задачи на хосты с Kaspersky Endpoint Agent 3.12 и более ранними версиями программы задача выполняется только на хостах с Kaspersky Endpoint Agent 3.12.

Чтобы создать задачу проверки хостов с Kaspersky Endpoint Agent для Windows с помощью правил YARA в разделе Пользовательские правила, подразделе YARA:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
2. Установите флажки слева от правил, с помощью которых вы хотите проверить хосты.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Запустить YARA-проверку.
4. Выполните шаг 3 инструкции, приведенной выше.

Создание задачи будет завершено. Задача запускается автоматически после создания.

Если по результатам проверки будут обнаружены угрозы, Kaspersky Anti Targeted Attack Platform создаст соответствующие обнаружения.

Для пользователей с ролью Аудитор создание задачи проверки хостов с Kaspersky Endpoint Agent для Windows по правилам YARA недоступно.

У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.

См. также Работа с задачами Просмотр таблицы задач Просмотр информации о задаче Создание задачи получения файла Создание задачи сбора форензики Создание задачи получения ключа реестра Создание задачи получения метафайлов NTFS Создание задачи получения дампа памяти процесса Создание задачи получения образа диска Создание задачи получения дампа оперативной памяти Создание задачи завершения процесса Создание задачи управления службами Создание задачи выполнения программы Создание задачи удаления файла Создание задачи помещения файла на карантин Создание задачи восстановления файла из карантина Создание копии задачи Удаление задач Фильтрация задач по времени создания Фильтрация задач по типу Фильтрация задач по имени Фильтрация задач по имени и пути к файлу Фильтрация задач по описанию Фильтрация задач по имени сервера Фильтрация задач по имени пользователя, создавшего задачу Фильтрация задач по состоянию обработки Сброс фильтра задач

В начало