创建任务以使用 YARA 规则扫描主机

您可以使用 YARA 规则扫描具有端点代理组件的主机。为此，您必须创建一个启动 YARA 扫描任务。您可以创建任务：

在任务部分。
在这种情况下，在创建任务时，您必须选择要用于扫描主机的 YARA 规则。
在自定义规则部分，YARA子部分。
在这种情况下，将创建一个任务来使用选定的 YARA 规则扫描主机。

要使用 YARA 规则创建扫描具有 Kaspersky Endpoint Agent 组件的主机的任务，请在任务部分：

在应用程序 Web 界面窗口中选择任务部分。
这将打开任务表。
单击添加并选择启动 YARA 扫描。
这将打开任务创建窗口。
配置以下设置：
1. 选择规则是规则的名称。您可以输入规则名称或规则名称中的字符序列，然后在列表中选择规则。
  您可以添加多个规则。
2. 扫描是扫描范围。选择以下选项之一：
  - 内存，如果您想扫描任务执行时正在运行的进程。
    应用程序不扫描低优先级的进程。
  - 自动运行点，如果您想扫描从进行取证任务获取的自动运行点。
    如果您使用 Kaspersky Endpoint Agent 作为端点代理组件，则此功能仅在与 Kaspersky Endpoint Agent 3.13 或更高版本集成时可用。
    要扫描自动运行点，您必须指定之前为其运行过进行取证的主机。
  - 指定目录，如果您想要扫描在任务执行时位于指定文件夹及其所有嵌套文件夹中的文件。
  - 所有本地磁盘，如果您希望扫描任务执行时存储在本地磁盘上所有文件夹中的文件。
    扫描所有本地磁盘可能会导致主机负载过高。
3. 如果您选择了内存，必要时请执行以下操作：
  - 在进程字段中，输入要扫描的进程的短名称或文件掩码。
    应用程序扫描主机上运行的所有具有相同名称的进程。
    如果进程字段留空，应用程序将扫描任务执行时正在运行的所有进程，除了 PID 小于 10 的进程和排除情况字段中所列的进程。
  - 在排除情况字段中，输入要从扫描中排除的进程的短名称或文件掩码。
    如果主机上正在运行多个具有相同名称的进程，应用程序将从扫描中排除所有此类进程。
4. 如果您选择了自动运行点，在扫描类型字段中，选择扫描类型：
  - 快速。
    在这种情况下，将扫描除 COM 对象之外的所有自动运行点。
  - 全盘。
    在这种情况下，将扫描所有自动运行点以及与其相关的文件。
  如果您使用 Kaspersky Endpoint Security for Windows 作为端点代理组件，则无论选择的设置如何，都会执行完整扫描。
5. 如果您选择了指定目录:
  - 在指定目录字段中，以 C:\<目录名称>\* 格式指定目录路径。
  - 在排除情况字段中，以 C:\<目录名称>\* 格式指定目录路径。
6. 最大扫描持续时间是最大扫描持续时间。
  当该时间过去后，即使未应用某些规则来扫描主机，扫描也会停止。任务报告包含扫描停止时的最新结果。
7. 描述是任务描述。该字段是可选的。
8. 任务所有者 — 任务范围：
  - 如果您想运行所有服务器上的任务，请选择所有主机选项。
  - 如果要在选定的服务器上运行任务，请选择指定服务器选项并在服务器参数名称的右侧选择要在其上运行任务的服务器名称旁边的复选框。
    仅当启用分布式解决方案和多租户模式时，此选项才可用。
    Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。
    
    安装有中央节点组件的服务器的两层架构。此架构分配主控制服务器 （主中央节点 (PCN)）和从属服务器（辅助中央节点 (SCN)）。
  - 如果您想运行选定主机上的任务，请选择指定主机选项并在主机字段中列出这些主机。
    如果您使用 Kaspersky Endpoint Agent 充当端点代理组件，则使用 YARA 规则扫描 Kaspersky Endpoint Agent 主机的任务只能分配给运行 Kaspersky Endpoint Agent for Windows 版本 3.12 及更高版本的主机。如果您同时将任务分配给装有 Kaspersky Endpoint Agent 3.12 和早期版本应用程序的主机，则该任务仅在装有 Kaspersky Endpoint Agent 3.12 的主机上执行。