О сканировании YARA в Kaspersky Endpoint Agent

Сканирование YARA – это процесс, в ходе выполнения которого Kaspersky Endpoint Agent использует YARA-файлы (файлы описания сигнатур открытого стандарта YARA) для поиска сигнатур вредоносной активности на устройствах. Сканирование выполняется рекурсивно на локальных дисках. Сканирование сетевых, подключаемых и облачных ресурсов не поддерживается.

Kaspersky Endpoint Agent поддерживает следующие типы сканирования YARA:

Сканирование по YARA-файлам с помощью командной строки – групповые или локальные задачи, которые создаются и настраиваются через интерфейс командной строки. Для запуска задач используются YARA-файлы, подготовленные пользователем.
Сканирование по YARA-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform – пользователи программы могут использовать YARA-файлы для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также для проверки компьютеров с установленным компонентом Kaspersky Endpoint Agent.

Типы сканирования отличаются возможностями управления и доступными для настройки параметрами. Описание каждого типа сканирования YARA представлено в следующей таблице.

Типы сканирования YARA

Тип сканирования	Описание
Сканирование по YARA-файлам с помощью командной строки	Сканирование запускается вручную через интерфейс командной строки, без интеграции со сторонними системами. Для запуска сканирования используются YARA-файлы, подготовленные пользователем. Параметры сканирования не зависят от настроек в параметрах политик. Результаты сканирования доступны немедленно после завершения сканирования в командной строке.
Сканирование YARA по YARA-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform	YARA-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание YARA-сканирования компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Управление сканированием через командную строку не предусмотрено. Автоматических действий при срабатывании YARA-правил не предусмотрено. Параметры сканирования не зависят от политик Kaspersky Endpoint Agent. Подробную информацию об этом типе сканирования см. в Справке Kaspersky Anti Targeted Attack Platform.

Тип сканирования

Описание

Сканирование по YARA-файлам с помощью командной строки

Сканирование запускается вручную через интерфейс командной строки, без интеграции со сторонними системами.

Для запуска сканирования используются YARA-файлы, подготовленные пользователем.

Параметры сканирования не зависят от настроек в параметрах политик.

Результаты сканирования доступны немедленно после завершения сканирования в командной строке.

Сканирование YARA по YARA-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform

YARA-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание YARA-сканирования компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Управление сканированием через командную строку не предусмотрено.

Автоматических действий при срабатывании YARA-правил не предусмотрено.

Параметры сканирования не зависят от политик Kaspersky Endpoint Agent.

Подробную информацию об этом типе сканирования см. в Справке Kaspersky Anti Targeted Attack Platform.

В начало