YARA. Ejecución de Análisis de YARA

Ejecución de la tarea Ejecutar Análisis de YARA. La aplicación analiza archivos y objetos en busca de indicadores de ataques dirigidos a la infraestructura de TI corporativa utilizando bases de datos de reglas YARA creadas por usuarios de Kaspersky Anti Targeted Attack Platform. Una regla YARA es una clasificación de malware disponible públicamente que contiene firmas de indicadores de ataques dirigidos e intrusiones en la infraestructura de TI corporativa que Kaspersky Anti Targeted Attack Platform utiliza para analizar archivos y objetos.

Para ejecutar un análisis de YARA, debe preparar archivos YARA que describan las reglas. Al crear archivos YARA, tenga en cuenta los siguientes requisitos:

Kaspersky recomienda crear una regla por archivo YARA. Esto hace que los resultados del análisis sean más legibles.

Un análisis de puede llevar una cantidad de tiempo considerable. Dependiendo del tamaño de la unidad, la configuración de la tarea y la cantidad de objetos en el disco, un análisis de YARA puede durar desde varios minutos hasta varias horas. La aplicación no muestra un indicador de progreso. No es posible detener ni cancelar un análisis de YARA. Se recomienda esperar hasta que los resultados de un análisis de YARA estén disponibles.

Sintaxis del comando

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

Archivos YARA

 

<full path to the YARA file>

Ruta completa al archivo de YARA que desea utilizar para el análisis. Puede especificar varios archivos YARA separados por espacios. La ruta completa al archivo de YARA se debe introducir sin el argumento /path.

Por ejemplo, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Ruta a la carpeta con archivos YARA que desea usar para el análisis.

Por ejemplo, /path=C:\Users\Admin\Desktop\YARA.

Configuración avanzada

 

fastScan

Análisis de YARA rápido Para cada objeto, la aplicación registra una aparición del indicador detectado. La aplicación también oculta duplicados de indicadores detectados en el registro. El análisis de YARA rápido permite analizar archivos grandes a mayor velocidad.

Si no se especifica esta configuración, la aplicación realiza un análisis de YARA estándar. En este modo, la aplicación registra duplicados de indicadores detectados.

maxRules=<maximum number of scan rules>

Cuántas reglas únicas deben activarse para que la aplicación detenga el análisis de YARA.

Si no se especifica el valor de este parámetro o si se especifica 0, la aplicación realiza el análisis de YARA sin limitaciones.

timeOut=<stop scan after the specified time in seconds>

Cuánto tiempo puede tardar un análisis de YARA, en segundos. Cuando este tiempo se agota, la aplicación detiene el análisis de YARA.

Si no se especifica el valor de este parámetro o si se especifica 0, la aplicación realiza el análisis de YARA sin limitaciones.

recursive

Análisis recursivo de subcarpetas al realizar un análisis personalizado (scanFolder).

scanMemory

Analizar la memoria de todos los procesos en ejecución.

scanFolders <list of folders to be scanned>

Análisis personalizado. La aplicación analiza las carpetas seleccionadas por el usuario.

Si este parámetro no se especifica, la aplicación realiza un análisis de YARA de todos los discos locales, excepto los recursos de red compartidos, las unidades en la nube y los medios extraíbles.

scanProcess <process name>

Analizar la memoria solo para procesos especificados. Kaspersky Endpoint Security admite los caracteres * y ? al introducir una máscara.

maxFileSize=<file size in bytes>

Limitar el tamaño de archivo para el análisis de YARA. La aplicación omite archivos más grandes.

excludes <list of objects to be scanned>

Excluye archivos y carpetas del análisis de YARA. Puede especificar varios valores separados por espacios. Estos son los valores disponibles:

  • Nombre del archivo
  • Ruta del archivo
  • Extensión del archivo
  • Máscara de la ruta del archivo

Las exclusiones se deben especificar con el parámetro scanFolders.

Ejemplo:

scanFolders C:\*.* excludes readme.txt C:\trusted\*.* *.xml: la aplicación omite el archivo readme.txt, todos los archivos de la carpeta C:\trusted y todos los archivos con la extensión xml en la carpeta raíz en el disco C.

logFolder <path to the folder for saving the scan results in a TXT file>

Guarda los resultados del análisis de YARA en un archivo en la carpeta especificada. La aplicación también envía los resultados del análisis de YARA a la línea de comandos.

Valores de retorno de comando:

Puede ver los resultados de un análisis de YARA en la consola de Kaspersky Anti Targeted Attack Platform. En Kaspersky Security Center solo está disponible el estado de la tarea.

Si el comando se ejecutó correctamente (valor devuelto 0) y se detectaron indicadores de compromiso en el camino, Kaspersky Endpoint Security envía la siguiente información del resultado de la tarea a la línea de comandos:

Offset

Desplazamiento en el objeto para el que Kaspersky Endpoint Security está realizando un análisis de YARA.

Object Name

Nombre del objeto que está analizando la aplicación.

Rule Name

Nombre de la regla que está usando la aplicación para el análisis de YARA.

Inicio de página