Exécution de la tâche Lancer l'analyse YARA. L'application analyse les fichiers et les objets à la recherche d'indicateurs d'attaques ciblées contre l'infrastructure informatique de l'entreprise à l'aide des bases de données de règles YARA créées par les utilisateurs de Kaspersky Anti Targeted Attack Platform. Une règle YARA est une classification publique des programmes malveillants qui contient les signatures des indicateurs d'attaques ciblées et d'intrusions dans l'infrastructure informatique des entreprises. Kaspersky Anti Targeted Attack Platform utilise ces signatures pour analyser les fichiers et les objets.
Pour lancer une analyse YARA, vous devez préparer des fichiers YARA décrivant les règles. Lors de la création de fichiers YARA, il faut tenir compte des exigences suivantes :
yara
ou yar
qui respectent la norme ouverte YARA 4.0.2 pour la description des indicateurs de compromission.Kaspersky recommande de créer une règle par fichier YARA. Cette mesure permet d'améliorer la lisibilité des résultats de l'analyse.
Une analyse YARA peut prendre beaucoup de temps. En fonction de la taille du disque, des paramètres de la tâche et du nombre d'objets présents sur le disque, une analyse YARA peut durer de quelques minutes à plusieurs heures. L'application n'affiche pas d'indicateur de progression. Il n'est pas possible d'arrêter ni d'annuler une analyse YARA. Il est conseillé d'attendre les résultats de l'analyse YARA.
Syntaxe de la commande
avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]
Fichiers YARA |
|
|
Chemin d'accès complet au fichier YARA que vous souhaitez utiliser pour effectuer l'analyse. Vous pouvez indiquer plusieurs fichiers YARA séparés par des espaces. Le chemin d'accès complet au fichier YARA doit être saisi sans l'argument Par exemple, |
|
Chemin d'accès au dossier contenant les fichiers YARA que vous souhaitez utiliser pour effectuer l'analyse. Par exemple, |
Paramètres avancés |
|
|
Analyse YARA rapide. Pour chaque objet, l'application enregistre une occurrence de l'indicateur de détection. L'application masque également les doublons des indicateurs détectés dans le journal. L'analyse YARA rapide permet d'analyser plus rapidement les fichiers volumineux. Si le paramètre n'est pas défini, l'application exécute une analyse YARA standard. Dans ce mode, l'application enregistre les doublons des indicateurs détectés. |
|
Combien de règles d'unicité doivent se déclencher pour que l'application arrête l'analyse YARA. Si la valeur de ce paramètre n'est pas précisée ou si |
|
Combien de temps peut durer une analyse YARA, en secondes. À l'expiration de ce délai, l'application arrête l'analyse YARA. Si la valeur de ce paramètre n'est pas précisée ou si |
|
Analyser de manière récursive les sous-dossiers lors d'une Analyse personnalisée ( |
|
Analyser la mémoire de tous les processus en cours d'exécution. |
|
Analyse personnalisée. L'application analyse les dossiers sélectionnés par l'utilisateur. Si le paramètre n'est pas défini, l'application effectue une analyse YARA de tous les disques locaux à l'exception des partages réseau, des disques dans le cloud et des supports amovibles. |
|
Analyser la mémoire uniquement à la recherche de processus spécifiés. Kaspersky Endpoint Security prend en charge les caractères |
|
Limiter la taille du fichier pour l'analyse YARA. L'application ignore les fichiers volumineux. |
|
Exclure des fichiers et des dossiers de l'analyse YARA. Vous pouvez indiquer plusieurs valeurs séparées par des espaces. Les valeurs suivantes sont disponibles :
Les exclusions doivent être accompagnées du paramètre Exemple :
|
|
Enregistrez les résultats de l'analyse YARA dans un fichier situé dans le dossier indiqué. L'application affiche également les résultats de l'analyse YARA sur la ligne de commande. |
Valeurs de retour de la commande :
-1
signifie que la commande n'est pas prise en charge par la version de l'application installée sur l'ordinateur.0
signifie que la commande a été correctement exécutée.1
signifie qu'un argument obligatoire n'a pas été transmis à la commande.2
signifie qu'une erreur générale s'est produite.4
signifie qu'il y a eu une erreur de syntaxe.5
signifie qu'un ou plusieurs fichiers contenant les règles YARA spécifiées dans le paramètre sont introuvables.Vous pouvez consulter les résultats de l'analyse YARA dans la console Kaspersky Anti Targeted Attack Platform. Seul l'état de la tâche est disponible dans Kaspersky Security Center.
Si la commande a été correctement exécutée (valeur de retour 0
) et que des indicateurs de compromission ont été détectés en cours de route, Kaspersky Endpoint Security envoie les informations suivantes sur le résultat de la tâche dans la ligne de commande :
|
Décalage dans l'objet pour lequel Kaspersky Endpoint Security effectue une analyse YARA. |
|
Nom de l'objet que l'application analyse. |
|
Nom de la règle que l'application utilise pour l'analyse YARA. |