Управление сканированием файлов и процессов по YARA-правилам

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Сканирование YARA представляет собой процессы, которые вы можете создавать и настраивать вручную через интерфейс командной строки. Для запуска сканирования используются YARA-файлы.

В задаче сканирования YARA можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.

Чтобы запустить сканирование YARA через интерфейс командной строки:

На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
С помощью команды cd перейдите в папку, где находится файл agent.exe.
Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу Enter.
Выполните следующую команду и нажмите на клавишу Enter:
agent.exe --scan-yara [<путь к yara-файлу>] [--path=<путь к папке с yara-правилами>] [--fast-scan] [--tag-hint=<тег правила>] [--id-hint=<идентификатор правила>] [--max-rules=<максимальное количество правил сканирования>] [--timeout=<остановка сканирования по истечении указанного времени в секундах>] [--recursive] [--scan_folders [<список папок для сканирования>] [--scan-memory] [--scan-process <имя процесса>][--max-size=<размер файла в байтах>] [--excludes <список объектов для сканирования>] [--includes <список объектов для сканирования>]

Если команда --scan-yara передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.

Описание параметров сканирования представлено в следующей таблице.

Параметры команд при запуске и настройке сканирования YARA

Параметры	Описание
`--scan-yara [<полный путь к yara-файлу>]`	Обязательный параметр. Запускает сканирование YARA на устройстве. Проверка выполняется по правилам из YARA-файлов с расширением yara или yar. Параметру может быть передано несколько значений через пробел. Хотя бы одно значение <`полный путь к yara-файлу`> должен быть указано, если не задан параметр --path. Если в дополнение к аргументам параметра --scan-yara также задан параметр --path, при сканировании используются как указанные в аргументах файлы с YARA-правилами, так и файлы из папки параметра --path.
`--path=<путь к папке с yara-файлами>`	Путь к папке с YARA-файлами, по которым требуется выполнять поиск. Обязательный параметр, если не задан параметр `<полный путь к yara-файлу>`.
`--fast-scan`	Необязательный параметр. Параметр запускает проверку в режиме быстрого сканирования. Для каждого объекта сканирования в журнале фиксируется одно вхождение обнаруженного маркера, при этом дубликаты обнаруженных маркеров не отображаются в журнале. Использование данного параметра позволяет сократить время проверки больших файлов. Если параметр не передан, выполняется стандартная проверка и дубликаты обнаруженных маркеров отображаются в журнале.
`--tag-hint=<тег правила>`	Необязательный параметр. Параметр позволяет учитывать при сканировании только правила с указанным тегом. Можно указать только одно значение параметра. Правила без тегов или с другими тегами, помимо указанных в параметре, игнорируются при сканировании. Если параметр не передан, при сканировании учитываются все правила.
`--id-hint=<идентификатор правила>`	Необязательный параметр. Параметр позволяет учитывать при сканировании только правила с указанным идентификатором. Можно указать только одно значение параметра. Правила без идентификаторов или с другими идентификаторами, помимо указанных в параметре, игнорируются при сканировании. Если параметр не передан, при сканировании учитываются все правила.
`--max-rules=<максимальное количество правил сканирования>`	Необязательный параметр. Параметр задаёт лимит уникальных сработавших правил обнаружения, при превышении которого проверка прекращается. Если значение параметра не задано или равно 0, проверка выполняется без ограничений.
`--timeout=<остановка сканирования по истечении указанного времени в секундах>`	Необязательный параметр. Параметр указывает продолжительность проверки в секундах. По истечении указанного времени проверка будет остановлена. Если значение параметра не задано или равно 0, проверка выполняется без ограничений.
`--recursive`	Необязательный параметр. Параметр запускает рекурсивную проверку вложенных папок в рамках значения [<список папок для сканирования>].
`--scan_folders [<список папок для сканирования>]` Дополнительно в параметрах `--scan-folders`, `--excludes`, `--includes` в качестве аргументов можно указывать ссылки на файлы аргументов с префиксом "`@`". Файлы аргументов - это текстовые файлы в кодировке UTF-8, которые содержат списки объектов для обработки с использованием соответствующего параметра в командной строке. Пример: Файл my_rules.txt содержит две строки: c:\trusted\. .abc Файл rules2.txt содержит одну строку: img_.jpg В случае запуска сканирования с параметрами вида "`--scan-folders --exclude .txt @my_rules.txt .xml @rules2.txt`" будет проведено сканирование всех файлов на всех дисках, за исключением файлов с расширениями "t`xt`", файлов в папке "`c:\trusted`", файлов с расширением "`abc`", файлов с расширением "`xml`" и файлов по маске "`img_*.jpg`".	Необязательный параметр. Параметр запускает сканирование файлов по указанному списку папок. Если значение параметра <`список папок для сканирования`> не задано, сканирование производится рекурсивно на всех локальных дисках, кроме сетевых, облачных и подключаемых.
`--scan-memory`	Необязательный параметр. Параметр запускает сканирование памяти всех запущенных процессов.
`--scan-process <имя процесса>`	Необязательный параметр. Параметр запускает сканирование памяти только для указанных процессов. Для значения <`имя процесса`> поддерживаются стандартные маски "`?`" и "`*`".
`--max-size=<размер файла в байтах>`	Необязательный параметр. Сканирование выполняется только для тех файлов, размер которых не превышает заданное значение. Файлы большего размера пропускаются при сканировании.
`--includes <список объектов для сканирования>`	Необязательный параметр. Параметр позволяет ограничить область сканирования. Можно задать несколько значений параметра через пробел. Доступные значения: имя файла; путь к файлу; маска имени файла; маска пути к файлу. Передается с параметром --scan-folders. Пример: --scan-folders c:\. --recursive --includes .exe c:\temp\.* *.dll – сканирование будет проведено для всех файлов с расширениями "exe" и "dll" на диске С:, а также будут просканированы рекурсивно все файлы в папке c:\temp
`--excludes <список объектов для сканирования>`	Необязательный параметр. Параметр исключает указанные файлы или папки из сканирования. Можно задать несколько значений параметра через пробел. Доступные значения: имя файла; путь к файлу; маска имени файла; маска пути к файлу. Передается с параметром --scan-folders. Пример: --scan-folders c:\. --excludes readme.txt c:\trusted\. *.xml – при сканировании будут пропущены файлы readme.txt, все файлы из папки c:\trusted, а также все файлы с расширением xml в корневой папке на диске C:.

Коды возврата команды --scan-yara:

-1 – команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.
0 – команда выполнена успешно.
1 – команде не передан обязательный аргумент.
2 – общая ошибка.
4 – синтаксическая ошибка.
5 – не найден один или несколько файлов с YARA-правилами из указанных в значении параметра.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку результаты сканирования. Описание результатов сканирования представлено в следующей таблице:

Данные, которые программа выводит в командную строку при обнаружении сигнатур YARA.

`Offset`	Смещение в объекте, для которого Kaspersky Endpoint Agent выполняет сканирование.
`Data`	Сигнатуры, которые Kaspersky Endpoint Agent ищет во время сканирования.
`Object Name`	Имя объекта сканирования.
`Rule Name`	Имя правила, которое используется во время сканирования.

В начало