YARA. Exécution de l'analyse YARA

Exécution de la tâche Lancer l'analyse YARA. L'application analyse les fichiers et les objets à la recherche d'indicateurs d'attaques ciblées contre l'infrastructure informatique de l'entreprise à l'aide des bases de données de règles YARA créées par les utilisateurs de Kaspersky Anti Targeted Attack Platform. Une règle YARA est une classification publique des programmes malveillants qui contient les signatures des indicateurs d'attaques ciblées et d'intrusions dans l'infrastructure informatique des entreprises. Kaspersky Anti Targeted Attack Platform utilise ces signatures pour analyser les fichiers et les objets.

Pour lancer une analyse YARA, vous devez préparer des fichiers YARA décrivant les règles. Lors de la création de fichiers YARA, il faut tenir compte des exigences suivantes :

Kaspersky Endpoint Security prend en charge les fichiers YARA présentant les extensions yara ou yar qui respectent la norme ouverte YARA 4.0.2 pour la description des indicateurs de compromission.
Seul un fichier avec des règles YARA peut être spécifié pour la tâche. La tâche Lancer l'analyse YARA ne prend pas en charge les autres types de règles.
Si vous avez ajouté des fichiers YARA non pris en charge par Kaspersky Endpoint Security ou si les règles contiennent des erreurs de syntaxe, la tâche s'interrompt et le message d'erreur correspondant s'affiche.
Les identifiants de tous les fichiers YARA utilisés dans une même tâche doivent être uniques. S'il y a des fichiers YARA avec le même identifiant, cela peut affecter les résultats de l'exécution de la tâche.
L'analyse YARA est interrompue au bout de 128 correspondances avec les indicateurs décrits dans les règles YARA. Cette opération est nécessaire afin de limiter le nombre d'entrées dans le rapport d'analyse YARA, d'en faciliter l'analyse et d'éviter tout débordement dû à la présence de règles YARA formulées de manière imprécise qui peuvent générer un grand nombre de correspondances.

Kaspersky recommande de créer une règle par fichier YARA. Cette mesure permet d'améliorer la lisibilité des résultats de l'analyse.

Une analyse YARA peut prendre beaucoup de temps. En fonction de la taille du disque, des paramètres de la tâche et du nombre d'objets présents sur le disque, une analyse YARA peut durer de quelques minutes à plusieurs heures. L'application n'affiche pas d'indicateur de progression. Il n'est pas possible d'arrêter ni d'annuler une analyse YARA. Il est conseillé d'attendre les résultats de l'analyse YARA.

Syntaxe de la commande

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

Fichiers YARA

<full path to the YARA file>

Chemin d'accès complet au fichier YARA que vous souhaitez utiliser pour effectuer l'analyse. Vous pouvez indiquer plusieurs fichiers YARA séparés par des espaces. Le chemin d'accès complet au fichier YARA doit être saisi sans l'argument /path.

Par exemple, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Chemin d'accès au dossier contenant les fichiers YARA que vous souhaitez utiliser pour effectuer l'analyse.

Par exemple, /path=C:\Users\Admin\Desktop\YARA.

Paramètres avancés
`fastScan`	Analyse YARA rapide. Pour chaque objet, l'application enregistre une occurrence de l'indicateur de détection. L'application masque également les doublons des indicateurs détectés dans le journal. L'analyse YARA rapide permet d'analyser plus rapidement les fichiers volumineux. Si le paramètre n'est pas défini, l'application exécute une analyse YARA standard. Dans ce mode, l'application enregistre les doublons des indicateurs détectés.
`maxRules=<maximum number of scan rules>`	Combien de règles d'unicité doivent se déclencher pour que l'application arrête l'analyse YARA. Si la valeur de ce paramètre n'est pas précisée ou si `0` est spécifié, l'application analyse YARA sans limitations.
`timeOut=<stop scan after the specified time in seconds>`	Combien de temps peut durer une analyse YARA, en secondes. À l'expiration de ce délai, l'application arrête l'analyse YARA. Si la valeur de ce paramètre n'est pas précisée ou si `0` est spécifié, l'application analyse YARA sans limitations.
`recursive`	Analyser de manière récursive les sous-dossiers lors d'une Analyse personnalisée (`scanFolder`).
`scanMemory`	Analyser la mémoire de tous les processus en cours d'exécution.
`scanFolders <list of folders to be scanned>`	Analyse personnalisée. L'application analyse les dossiers sélectionnés par l'utilisateur. Si le paramètre n'est pas défini, l'application effectue une analyse YARA de tous les disques locaux à l'exception des partages réseau, des disques dans le cloud et des supports amovibles.
`scanProcess <process name>`	Analyser la mémoire uniquement à la recherche de processus spécifiés. Kaspersky Endpoint Security prend en charge les caractères `*` et `?` lors de la saisie d'un masque.
`maxFileSize=<file size in bytes>`	Limiter la taille du fichier pour l'analyse YARA. L'application ignore les fichiers volumineux.
`excludes <list of objects to be scanned>`	Exclure des fichiers et des dossiers de l'analyse YARA. Vous pouvez indiquer plusieurs valeurs séparées par des espaces. Les valeurs suivantes sont disponibles : Nom du fichier Chemin du fichier Extension de fichier Masque du chemin du fichier Les exclusions doivent être accompagnées du paramètre `scanFolders`. Exemple : `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – l'application ignore le fichier `readme.txt`, tous les fichiers du dossier `C:\trusted` ainsi que tous les fichiers portant l'extension xml dans le dossier racine du disque C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Enregistrez les résultats de l'analyse YARA dans un fichier situé dans le dossier indiqué. L'application affiche également les résultats de l'analyse YARA sur la ligne de commande.

Valeurs de retour de la commande :

-1 signifie que la commande n'est pas prise en charge par la version de l'application installée sur l'ordinateur.
0 signifie que la commande a été correctement exécutée.
1 signifie qu'un argument obligatoire n'a pas été transmis à la commande.
2 signifie qu'une erreur générale s'est produite.
4 signifie qu'il y a eu une erreur de syntaxe.
5 signifie qu'un ou plusieurs fichiers contenant les règles YARA spécifiées dans le paramètre sont introuvables.

Vous pouvez consulter les résultats de l'analyse YARA dans la console Kaspersky Anti Targeted Attack Platform. Seul l'état de la tâche est disponible dans Kaspersky Security Center.

Si la commande a été correctement exécutée (valeur de retour 0) et que des indicateurs de compromission ont été détectés en cours de route, Kaspersky Endpoint Security envoie les informations suivantes sur le résultat de la tâche dans la ligne de commande :

`Offset`	Décalage dans l'objet pour lequel Kaspersky Endpoint Security effectue une analyse YARA.
`Object Name`	Nom de l'objet que l'application analyse.
`Rule Name`	Nom de la règle que l'application utilise pour l'analyse YARA.

Haut de page