您可以使用 YARA 规则扫描具有端点代理组件的主机。为此,您必须创建一个启动 YARA 扫描任务。您可以创建任务:
在这种情况下,在创建任务时,您必须选择要用于扫描主机的 YARA 规则。
在这种情况下,将创建一个任务来使用选定的 YARA 规则扫描主机。
要使用 YARA 规则创建扫描具有 Kaspersky Endpoint Agent 组件的主机的任务,请在任务部分:
这将打开任务表。
这将打开任务创建窗口。
您可以添加多个规则。
应用程序不扫描低优先级的进程。
如果您使用 Kaspersky Endpoint Agent 作为端点代理组件,则此功能仅在与 Kaspersky Endpoint Agent 3.13 或更高版本集成时可用。
要扫描自动运行点,您必须指定之前为其运行过进行取证的主机。
扫描所有本地磁盘可能会导致主机负载过高。
应用程序扫描主机上运行的所有具有相同名称的进程。
如果进程字段留空,应用程序将扫描任务执行时正在运行的所有进程,除了 PID 小于 10 的进程和排除情况字段中所列的进程。
如果主机上正在运行多个具有相同名称的进程,应用程序将从扫描中排除所有此类进程。
在这种情况下,将扫描除 COM 对象之外的所有自动运行点。
在这种情况下,将扫描所有自动运行点以及与其相关的文件。
如果您使用 Kaspersky Endpoint Security for Windows 作为端点代理组件,则无论选择的设置如何,都会执行完整扫描。
当该时间过去后,即使未应用某些规则来扫描主机,扫描也会停止。任务报告包含扫描停止时的最新结果。
如果您使用 Kaspersky Endpoint Agent 充当端点代理组件,则使用 YARA 规则扫描 Kaspersky Endpoint Agent 主机的任务只能分配给运行 Kaspersky Endpoint Agent for Windows 版本 3.12 及更高版本的主机。如果您同时将任务分配给装有 Kaspersky Endpoint Agent 3.12 和早期版本应用程序的主机,则该任务仅在装有 Kaspersky Endpoint Agent 3.12 的主机上执行。
若要创建使用 YARA 规则在自定义规则部分的YARA子部分中扫描 Kaspersky Endpoint Agent for Windows 主机的任务:
控制面板出现在窗口的下部。
任务创建完成。任务创建后自动运行。
如果扫描检测到任何威胁,Kaspersky Anti Targeted Attack Platform 会创建相应的警报。
具有安全审计员角色的用户无法创建使用 YARA 规则扫描主机的任务。
具有安全官角色的用户无权访问任务。