Вы можете проверять хосты компонентом Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:
В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты.
В этом случае создается задача для проверки хостов по выбранным правилам YARA.
Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Задачи:
Откроется таблица задач.
Откроется окно создания задачи.
Вы можете добавить несколько правил.
Приложение не проверяет процессы с низким уровнем приоритета.
Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, эта функция доступна только при интеграции с Kaspersky Endpoint Agent 3.13 и выше.
Для проверки точек автозапуска вам требуется указать хосты, для которых ранее была выполнена задача Собрать форензику.
Проверка всех локальных дисков может создать повышенную нагрузку на хост.
Приложение проверяет все запущенные на хосте процессы с одинаковыми именами.
Если поле Процессы не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения.
Если на хосте запущено несколько процессов с одинаковыми именами, приложение исключит из проверки все эти процессы.
В этом случае проверяются все точки автозапуска, кроме COM-объектов.
В этом случае проверяются все точки автозапуска и связанные с ними файлы.
Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Security для Windows, вне зависимости от выбранного параметра выполняется полная проверка.
По истечении указанного времени проверка завершится, даже если хосты были проверены не по всем правилам. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.
Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.
Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, задача проверки хостов с Kaspersky Endpoint Agent по правилам YARA может быть назначена только на хосты с приложением Kaspersky Endpoint Agent для Windows версии 3.12 и выше. При одновременном назначении задачи на хосты с Kaspersky Endpoint Agent 3.12 и более ранними версиями приложения задача выполняется только на хостах с Kaspersky Endpoint Agent 3.12.
Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Пользовательские правила, подразделе YARA:
В нижней части окна отобразится панель управления.
Создание задачи будет завершено. Задача запускается автоматически после создания.
Если по результатам проверки будут обнаружены угрозы, Kaspersky Anti Targeted Attack Platform создаст соответствующие обнаружения.
Для пользователей с ролью Аудитор создание задачи проверки хостов с помощью правил YARA недоступно.
У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.