YARA. Execução da Verificação YARA

Execução da tarefa Executar Verificação YARA. O aplicativo verifica arquivos e objetos em busca de indicadores de ataques direcionados à infraestrutura de TI corporativa com o uso de bancos de dados de regras YARA criados por usuários da Kaspersky Anti Targeted Attack Platform. A regra YARA é uma classificação de malware disponível publicamente, que contém assinaturas de indicadores de ataques direcionados e invasões na infraestrutura de TI corporativa, usada pela Kaspersky Anti Targeted Attack Platform para verificar arquivos e objetos.

Para executar uma verificação YARA, é necessário preparar os arquivos YARA que descrevam regras. Ao criar os arquivos YARA, considere os seguintes requisitos:

O Kaspersky Endpoint Security é compatível com arquivos YARA com as extensões yara ou yar que aderem ao padrão aberto YARA 4.0.2 para descrever indicadores de comprometimento.
Apenas um arquivo com regras YARA pode ser especificado para a tarefa. A tarefa Executar Verificação YARA não é compatível com outros tipos de regra.
Caso tenha adicionado arquivos YARA não compatíveis com o Kaspersky Endpoint Security ou caso as regras contenham erros de sintaxe, a tarefa será interrompida com a mensagem de erro correspondente.
Os identificadores de todos os arquivos YARA usados em uma única tarefa devem ser únicos. Se houver arquivos YARA com o mesmo identificador, isso poderá afetar os resultados da execução da tarefa.
Uma verificação YARA é interrompida após 128 correspondências com indicadores descritos nas regras YARA. Isso é necessário para limitar o número de entradas no relatório de verificação YARA, facilitando a análise e evitando o transbordamento do relatório causado por regras YARA imprecisas que podem gerar um número excessivo de correspondências.

A Kaspersky recomenda criar uma regra por arquivo YARA. Isso torna os resultados da verificação mais legíveis.

Uma verificação YARA pode levar um tempo considerável. Dependendo do tamanho da unidade, das configurações da tarefa e do número de objetos no disco, uma verificação YARA pode durar vários minutos ou várias horas. O aplicativo não exibe um indicador de progresso. Não é possível parar ou cancelar uma verificação YARA. É aconselhável esperar até que os resultados de uma verificação YARA estejam disponíveis.

Sintaxe de comando

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

Arquivos YARA

<full path to the YARA file>

Caminho completo para o arquivo YARA que você deseja usar para verificação. É possível especificar vários arquivos YARA separados por espaços. O caminho completo para o arquivo YARA deve ser inserido sem o argumento /path.

Por exemplo, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Caminho para a pasta com os arquivos YARA que deseja usar para verificação.

Por exemplo, /path=C:\Users\Admin\Desktop\YARA.

Configurações avançadas
`fastScan`	Verificação Rápida YARA. Para cada objeto, o aplicativo registra em log uma ocorrência do indicador detectado. O aplicativo também oculta indicadores duplicados detectados no log. A Verificação Rápida YARA permite verificar arquivos grandes mais rapidamente. Caso esta configuração não seja especificada, o aplicativo executará uma verificação YARA padrão. Nesse modo, o aplicativo registra em log os indicadores duplicados detectados.
`maxRules=<maximum number of scan rules>`	Quantas regras exclusivas devem ser acionadas para que o aplicativo interrompa a verificação YARA. Caso o valor desta configuração não seja especificado ou caso `0` seja especificado, o aplicativo executará a verificação YARA sem limitações.
`timeOut=<stop scan after the specified time in seconds>`	Quanto tempo uma verificação YARA pode levar, em segundos. Quando esse tempo se esgotar, o aplicativo interromperá a verificação YARA. Caso o valor desta configuração não seja especificado ou caso `0` seja especificado, o aplicativo executará a verificação YARA sem limitações.
`recursive`	Verificação recursiva de subpastas ao executar uma verificação personalizada (`scanFolder`).
`scanMemory`	Verificação da memória de todos os processos em execução.
`scanFolders <list of folders to be scanned>`	Verificação Personalizada. O aplicativo verifica as pastas selecionadas pelo usuário. Caso essa configuração não seja especificada, o aplicativo executará uma verificação YARA em todos os discos locais, exceto os compartilhamentos de rede, unidades na nuvem e mídia removível.
`scanProcess <process name>`	Verifica a memória para os processos especificados apenas. O Kaspersky Endpoint Security tem suporte aos caracteres `*` e `?` ao inserir uma máscara.
`maxFileSize=<file size in bytes>`	Limita o tamanho do arquivo para a verificação YARA. O aplicativo ignora arquivos maiores.
`excludes <list of objects to be scanned>`	Exclui os arquivos e pastas da verificação YARA. É possível especificar diversos valores separados por espaços. Os seguintes valores estão disponíveis: Nome do arquivo Caminho do arquivo Extensão do arquivo Máscara do caminho do arquivo As exclusões devem ser especificadas com o parâmetro `scanFolders`. Exemplo: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – o aplicativo ignora o arquivo `readme.txt`, todos os arquivos da pasta `C:\trusted` e todos os arquivos com a extensão xml na pasta raiz no disco C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Salve os resultados da verificação YARA em um arquivo na pasta especificada. O aplicativo também exibe os resultados da verificação YARA na linha de comando.

Valores de retorno do comando:

-1 significa que o comando não é compatível com a versão do aplicativo instalado no computador.
0 significa que o comando foi executado com sucesso.
1 significa que um argumento obrigatório não foi passado para o comando.
2 significa que ocorreu um erro geral.
4 significa que houve um erro de sintaxe.
5 significa que um ou mais arquivos com regras YARA especificadas no parâmetro não foram encontrados.

É possível exibir os resultados de uma verificação YARA no console da Kaspersky Anti Targeted Attack Platform. Somente o status da tarefa está disponível no Kaspersky Security Center.

Caso o comando seja executado com sucesso (valor de retorno 0) e os indicadores de comprometimento sejam detectados ao longo do caminho, o Kaspersky Endpoint Security envia as seguintes informações de resultado da tarefa para a linha de comando:

`Offset`	Deslocamento no objeto para o qual o Kaspersky Endpoint Security está executando uma verificação YARA.
`Object Name`	Nome do objeto que o aplicativo está verificando.
`Rule Name`	Nome da regra que o aplicativo está usando para a verificação YARA.

Início da página