YARA. Exécution de l'analyse YARA

Exécution de la tâche Lancer l'analyse YARA. L'application analyse les fichiers et les objets à la recherche d'indicateurs d'attaques ciblées contre l'infrastructure informatique de l'entreprise à l'aide des bases de données de règles YARA créées par les utilisateurs de Kaspersky Anti Targeted Attack Platform. Une règle YARA est une classification publique des programmes malveillants qui contient les signatures des indicateurs d'attaques ciblées et d'intrusions dans l'infrastructure informatique des entreprises. Kaspersky Anti Targeted Attack Platform utilise ces signatures pour analyser les fichiers et les objets.

Pour lancer une analyse YARA, vous devez préparer des fichiers YARA décrivant les règles. Lors de la création de fichiers YARA, il faut tenir compte des exigences suivantes :

Kaspersky Endpoint Security prend en charge les fichiers YARA présentant les extensions yara ou yar qui respectent la norme ouverte YARA 4.2.3 pour la description des indicateurs de compromission.
Seul un fichier avec des règles YARA peut être spécifié pour la tâche. La tâche Lancer l'analyse YARA ne prend pas en charge les autres types de règles.
Si vous avez ajouté des fichiers YARA non pris en charge par Kaspersky Endpoint Security ou si les règles contiennent des erreurs de syntaxe, la tâche s'interrompt et le message d'erreur correspondant s'affiche.
Les identifiants de tous les fichiers YARA utilisés dans une même tâche doivent être uniques. S'il y a des fichiers YARA avec le même identifiant, cela peut affecter les résultats de l'exécution de la tâche.
L'analyse YARA est interrompue au bout de 128 correspondances avec les indicateurs décrits dans les règles YARA. Cette opération est nécessaire afin de limiter le nombre d'entrées dans le rapport d'analyse YARA, d'en faciliter l'analyse et d'éviter tout débordement dû à la présence de règles YARA formulées de manière imprécise qui peuvent générer un grand nombre de correspondances.

Kaspersky recommande de créer une règle par fichier YARA. Cette mesure permet d'améliorer la lisibilité des résultats de l'analyse.

Une analyse YARA peut durer longtemps. En fonction de la taille du disque, des paramètres de la tâche et du nombre d'objets présents sur le disque, une analyse YARA peut durer de quelques minutes à plusieurs heures. L'application n'affiche pas d'indicateur de progression. Il n'est pas possible d'arrêter ni d'annuler une analyse YARA. Il est conseillé d'attendre les résultats de l'analyse YARA.

Syntaxe de la commande

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

Fichiers YARA

<full path to the YARA file>

Chemin d'accès complet au fichier YARA que vous souhaitez utiliser pour effectuer l'analyse. Vous pouvez indiquer plusieurs fichiers YARA séparés par des espaces. Le chemin d'accès complet au fichier YARA doit être saisi sans l'argument /path.

Par exemple, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Chemin d'accès au dossier contenant les fichiers YARA que vous souhaitez utiliser pour effectuer l'analyse.

Par exemple, /path=C:\Users\Admin\Desktop\YARA.

Paramètres avancés
`fastScan`	Analyse YARA rapide. Pour chaque objet, l'application enregistre une occurrence de l'indicateur de détection. L'application masque également les doublons des indicateurs détectés dans le journal. L'analyse YARA rapide permet d'analyser plus rapidement les fichiers volumineux. Si le paramètre n'est pas défini, l'application exécute une analyse YARA standard. Dans ce mode, l'application enregistre les doublons des indicateurs détectés.
`maxRules=<maximum number of scan rules>`	Limite du nombre de règles déclenchées uniques qui oblige l'application à arrêter l'analyse YARA lorsqu'elle est atteinte. Si la valeur de ce paramètre n'est pas précisée ou si `0` est spécifié, l'application analyse YARA sans limitations.
`timeOut=<stop scan after the specified time in seconds>`	Limite de la durée de l'analyse YARA en secondes. À l'expiration de ce délai, l'application arrête l'analyse YARA. Si la valeur de ce paramètre n'est pas précisée ou si `0` est spécifié, l'application analyse YARA sans limitations.
`recursive`	Analyser de manière récursive les sous-dossiers lors d'une Analyse personnalisée (`scanFolder`).
`scanMemory`	Analyser la mémoire de tous les processus en cours d'exécution.
`scanFolders <list of folders to be scanned>`	Analyse personnalisée. L'application analyse les dossiers sélectionnés par l'utilisateur. Si le paramètre n'est pas défini, l'application effectue une analyse YARA de tous les disques locaux à l'exception des partages réseau, des disques dans le cloud et des supports amovibles.
`scanProcess <process name>`	Analyser la mémoire uniquement à la recherche de processus spécifiés. Kaspersky Endpoint Security prend en charge les caractères `*` et `?` lors de la saisie d'un masque.
`maxFileSize=<file size in bytes>`	Limite de taille de fichier pour l'analyse YARA. L'application ignore les fichiers volumineux.
`excludes <list of objects to be scanned>`	Exclusion des fichiers et des dossiers de l’analyse YARA. Vous pouvez indiquer plusieurs valeurs séparées par des espaces. Les valeurs suivantes sont disponibles : Chemin du fichier Masque du chemin du fichier Les exclusions doivent être accompagnées du paramètre `scanFolders`. Exemple : `scanFolders C:\. /excludes readme.txt C:\trusted\. *.xml` – l'application ignore le fichier `readme.txt`, tous les fichiers du dossier `C:\trusted` ainsi que tous les fichiers portant l'extension xml dans le dossier racine du disque C.
`includes <list of objects to be scanned>`>	Modification de la zone d'analyse. Vous pouvez indiquer plusieurs valeurs séparées par des espaces. Les valeurs suivantes sont disponibles : Nom du fichier Extension de fichier La zone d'analyse doit être accompagnée du paramètre `scanFolders`. Exemple : `scanFolders C:\. /includes=.exe .dll` : l'application analyse tous les fichiers présentant les extensions EXE et DLL sur le disque C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Enregistrez les résultats de l'analyse YARA dans un fichier situé dans le dossier indiqué. L'application affiche également les résultats de l'analyse YARA sur la ligne de commande.

Valeurs de retour de la commande :

-1 signifie que la commande n'est pas prise en charge par la version de l'application installée sur l'ordinateur.
0 : la commande a correctement été exécutée.
1 signifie qu'un argument obligatoire n'a pas été transmis à la commande.
2 signifie qu'une erreur générale s'est produite.
4 signifie qu'il y a eu une erreur de syntaxe.
5 : un ou plusieurs fichiers de règles YARA spécifiés dans l'argument sont introuvables.

Vous pouvez consulter les résultats de l'analyse YARA dans la console Kaspersky Anti Targeted Attack Platform. Seul l'état de la tâche est disponible dans Kaspersky Security Center.

Si la commande a été correctement exécutée (valeur de retour 0) et que des indicateurs de compromission ont été détectés en cours de route, Kaspersky Endpoint Security envoie les informations suivantes sur le résultat de la tâche dans la ligne de commande :

`Started at <time>` `Finished at <time>`	Temps d'exécution de la tâche.
`Host name: <computer name>`	Nom d'hôte de l'ordinateur sur lequel les indicateurs de compromission ont été trouvés.
`Result: <error>`	L'erreur est survenue lors de l'exécution de la tâche. S'il n'y a pas d'erreur, l'application affiche `0x00000000`.
`Object Name`	Nom de l'objet que l'application analyse.
`Md5: <md5 hash>` `Sha256: <sha256 hash>`	Hachages de l'objet que l'application analyse.
`Rule Name`	Nom de la règle que l'application utilise pour l'analyse YARA.
`Meta:` `Author: <author>` `Date: <date>` `Description: <description>`	Métadonnées définies dans la règle YARA.
`Detects:` `Offset <N>`	Décalage dans l'objet pour lequel Kaspersky Endpoint Security effectue une analyse YARA.

Haut de page