建立工作以使用 YARA 規則掃描主機
您可以使用 YARA 規則掃描具有 Endpoint Agent 元件的主機。為此,您必須建立一個啟動 YARA 掃描工作。您可以建立工作:
- 在工作部分。
在這種情況下,在建立工作時,您必須選擇要用於掃描主機的 YARA 規則。
- 在自訂規則部分,YARA子部分。
在這種情況下,將建立一個工作來使用選定的 YARA 規則掃描主機。
若要使用 YARA 規則建立掃描具有 Kaspersky Endpoint Agent 元件的主機的工作,請在工作部分:
- 在應用程式 Web 介面視窗中,選擇“工作”區域。
這將開啟工作表。
- 點擊新增並選擇啟動 YARA 掃描。
這將開啟工作建立視窗。
- 配置以下設定:
- 選擇規則是規則的名稱。您可以輸入規則名稱或規則名稱中的字元序列,然後在清單中選擇規則。
您可以新增多個規則。
- 掃描是掃描範圍。選擇以下選項之一:
- 記憶體,如果您想要掃描工作執行時正在執行的處理程序。
應用程式不會掃描低優先順序的處理程序。
- 自動執行點,如果您想掃描從進行取證工作獲取的自動執行點。
若要掃描自動執行點,您必須指定先前為其執行過進行取證的主機。
- 指定目錄,如果您想要掃描在工作執行時位於指定資料夾及其所有嵌套資料夾中的檔案。
- 所有本機磁碟,如果您希望掃描工作執行時儲存在本機磁碟上所有資料夾中的檔案。
掃描所有本機磁碟可能會導致主機負載過高。
- 記憶體,如果您想要掃描工作執行時正在執行的處理程序。
- 如果您選擇了記憶體,必要時請執行以下操作:
- 在處理程序欄位中,輸入要掃描的處理程序的短名稱或檔案遮罩。
應用程式掃描主機上執行的所有具有相同名稱的處理程序。
如果處理程序欄位留空,應用程式將掃描工作執行時正在運行的所有處理程序,除了 PID 小於 10 的處理程序和排除項目欄位中所列的處理程序。
- 在排除項目欄位中,輸入要從掃描中排除的處理程序的短名稱或檔案遮罩。
如果主機上正在執行多個具有相同名稱的處理程序,應用程式將從掃描中排除所有此類處理程序。
- 在處理程序欄位中,輸入要掃描的處理程序的短名稱或檔案遮罩。
- 如果您選擇了自動執行點,在掃描類型欄位中,選擇掃描類型:
- 快速。
在這種情況下,將掃描除 COM 物件之外的所有自動執行點。
- 完整。
在這種情況下,將掃描所有自動執行點以及與其相關的檔案。
如果您使用 Kaspersky Endpoint Security for Windows 作為 Endpoint Agent 元件,則無論選擇的設定為何,都會執行完整掃描。
- 快速。
- 如果您選擇了指定目錄:
- 在指定目錄欄位中,以 C:\\* 格式指定目錄路徑。
- 在排除項目欄位中,以 C:\\* 格式指定目錄路徑。
- 最大掃描持續時間是最大掃描持續時間。
當該時間過去後,即使未套用某些規則來掃描主機,掃描也會停止。工作報告包含掃描停止時的最新結果。
- 敘述是工作描述。該欄位是可選的。
- 工作所有者— 工作範圍:
- 選擇規則是規則的名稱。您可以輸入規則名稱或規則名稱中的字元序列,然後在清單中選擇規則。
若要建立使用 YARA 規則在自訂規則部分的YARA子部分掃描 Kaspersky Endpoint Agent for Windows 主機的工作:
- 在應用程式 Web 介面視窗中,選擇自訂規則部分的YARA子部分。
- 選擇掃描主機時要使用的規則左側的核取方塊。
控制面板出現在視窗的下部。
- 點擊啟動 YARA 掃描。
- 執行上述說明的步驟 3。
工作建立完成。工作建立後自動執行。
如果掃描偵測到任何威脅,Kaspersky Anti Targeted Attack Platform 會建立對應的警示。
具有安全稽核員角色的使用者無法建立使用 YARA 規則掃描主機的工作。
具有安全官角色的使用者無權存取工作。