YARA. Se execută Scanarea YARA

Executarea activității Execută scanarea YARA. Aplicația scanează fișierele și obiectele pentru depistarea indicatorilor atacurilor țintite asupra infrastructurii IT corporative, folosind bazele de date cu regulile YARA. Regulile YARA sunt descrieri ale semnăturilor atacurilor țintite și ale intruziunilor în infrastructura IT a companiei, pe care Kaspersky Endpoint Security le utilizează pentru a scana obiectele.

Pentru a executa o scanare YARA, trebuie să pregătești fișierele YARA care descriu regulile. Când creezi fișiere YARA, ține cont de următoarele cerințe:

Kaspersky Endpoint Security acceptă fișiere YARA cu extensiile .YARA și .YAR care respectă standardul deschis YARA 4.2.3 pentru descrierea indicatorilor de compromitere.
Numai fișierele cu reguli YARA poate fi specificat pentru activitate. Activitatea Execută scanarea YARA nu acceptă alte tipuri de reguli.
Dacă ai adăugat fișiere YARA pe care Kaspersky Endpoint Security nu le acceptă sau dacă regulile conțin erori de sintaxă, activitatea este anulată cu mesajul de eroare corespunzător.
Identificatorii tuturor fișierelor YARA utilizate într-o activitate unică trebuie să fie unici. Dacă există fișiere YARA cu același identificator, acest lucru ar putea afecta rezultatele executării activității.
O scanare YARA este anulată după 128 de potriviri cu indicatorii descriși în regulile YARA. Acest lucru este necesar pentru a limita numărul de intrări în raportul de scanare YARA pentru a facilita analiza și pentru a proteja raportul împotriva debordării din cauza regulilor YARA formulate imprecis, care pot genera un număr mare de potriviri.

Kaspersky recomandă crearea unei reguli pentru fiecare fișier YARA. Acest lucru face rezultatele scanării mai lizibile.

O scanare YARA poate dura mult timp. În funcție de dimensiunea unității, setările activităților și numărul de obiecte de pe disc, o scanare YARA poate dura de la câteva minute până la câteva ore. Aplicația nu afișează un indicator de progres. Nu este posibilă oprirea sau revocarea unei scanări YARA. Se recomandă să așteptați până când sunt disponibile rezultatele unei scanări YARA.

Sintaxa de comandă

avp.com YARA <full path to the YARA file>|/path=<path to the folder with YARA files> [<advanced settings>]

Fișiere YARA

<full path to the YARA file>

Calea completă către fișierul YARA pe care doriți să îl utilizați pentru scanare. Puteți specifica căi către mai multe fișiere YARA separate prin spații.

Argument obligatoriu dacă valoarea /path=<path to the folder with YARA files> nu este specificată.

Exemplu:

C:\Users\Admin\Desktop\YARA\file1.yar C:\Users\Admin\Desktop\YARA\file2.yar

/path=<path to the folder with YARA files>

Calea completă către un director cu fișiere YARA pe care doriți să le utilizați pentru scanare.

Argument obligatoriu dacă valoarea <full path to the YARA file> nu este specificată.

Exemplu:

/path=C:\Users\Admin\Desktop\YARA

Setări avansate
`/fastScan=<on\|off>`	Scanare YARA rapidă. Pentru fiecare obiect, aplicația înregistrează în jurnal o apariție a indicatorului detectat. Aplicația ascunde, de asemenea, duplicatele indicatorilor detectați în jurnal. Funcția Scanare YARA rapidă permite scanarea mai rapidă a fișierelor mari. Dacă această setare nu este specificată, aplicația efectuează o scanare YARA standard. În acest mod, aplicația înregistrează duplicate ale indicatorilor detectați.
`/maxRules=<maximum number of scan rules>`	Limita numărului de reguli unice declanșate care determină aplicația să oprească scanarea YARA atunci când este atinsă. Dacă valoarea acestei setări nu este specificată sau dacă este specificat `0`, aplicația efectuează scanarea YARA fără limitări.
`/timeOut=<stop scan after the specified time in seconds>`	Limita duratei scanării YARA în secunde. Când expiră acest timp, aplicația oprește scanarea YARA. Dacă valoarea acestei setări nu este specificată sau dacă este specificat `0`, aplicația efectuează scanarea YARA fără limitări.
`/recursive=<on\|off>`	Acest argument inițiază o scanare recursivă a subdirectoarelor din Scanarea personalizată a `/scanFolders`.
`/scanFolders=<list of folders to be scanned>`	Acest argument inițiază o scanare YARA a fișierelor din lista de directoare specificată. Poți specifica mai multe valori separate prin spații. Kaspersky Endpoint Security acceptă caracterele `*` și `?` la introducerea unei măști a căii către un director. Dacă această setare nu este specificată, aplicația efectuează o scanare YARA a tuturor discurilor locale, cu excepția partajărilor în rețea, a unităților cloud și a suporturilor amovibile.
`/scanMemory=<on\|off>`	Scanează memoria tuturor proceselor care se execută.
`/scanProcess=<process name>`	Scanează memoria numai pentru procesele specificate. Specificați căile complete, separate prin spațiu, către fișierele executabile ale proceselor. De asemenea, puteți folosi caracterele `*` și `?` pentru a introduce o mască.
`/maxSize=<file size in bytes>`	Limita de dimensiune a fișierului pentru scanarea YARA. Aplicația omite fișierele mai mari.
`/includes=<list of objects to be scanned>`>	Editarea domeniului de scanare. Poți specifica mai multe valori separate prin spații. Sunt disponibile următoarele valori: Nume fișier Extensia fișierului Domeniul de scanare trebuie specificat cu parametrul `/scanFolders`. Exemplu: `/scanFolders C:\. /includes=.exe .dll` – aplicația scanează toate fișierele cu extensiile EXE și DLL de pe discul C.
`/excludes=<list of objects to be scanned>`	Excluderea fișierelor din scanarea YARA. Poți specifica mai multe valori separate prin spații. Sunt disponibile următoarele valori: Cale fișier Masca căii fișierului Excluderile trebuie specificate cu parametrul `/scanFolders`. Exemplu: `/scanFolders C:\. /excludes readme.txt C:\trusted\. *.xml` – aplicația omite fișierul readme.txt, toate fișierele din directorul C:\trusted și toate fișierele cu extensia .XML din directorul rădăcină de pe discul C.
`/scanAutoruns=<on\|off>`	Scanare YARA a obiectelor din punctele de execuție automată.
`/excludeAutoruns=<list of autorun point areas to skip>`	Excluderea obiectelor din punctele de execuție automată din domeniul de scanare. Specificați căile complete, separate prin spațiu, către fișierele executabile ale proceselor. De asemenea, puteți folosi caracterele `*` și `?` pentru a introduce o mască.
`/logFolder=<path to the folder for saving the scan results in a TXT file>`	Dacă specificați o cale către un director, aplicația salvează rezultatele scanării urmând calea indicată, într-un fișier numit yara_<numele computerului>_<ora finalizării scanării>.txt. Dacă specificați calea către un anumit fișier TXT, aplicația salvează rezultatele scanării în acel fișier. De exemplu: `/logFolder=C:\test` sau `/logFolder=C:\test\abc.txt`. Rezultatele scanării sunt afișate în linia de comandă, indiferent dacă opțiunea `/logFolder` este specificată.

Valori returnate de comandă:

-1 înseamnă că comanda nu este acceptată de versiunea aplicației instalată pe computer;
0 – comanda a fost executată cu succes.
1 înseamnă că un argument obligatoriu nu a fost transmis comenzii;
2 înseamnă că a apărut o eroare generală;
4 înseamnă că a apărut o eroare de sintaxă;
5: Unul sau mai multe fișiere de reguli YARA specificate în argument nu au putut fi găsite.

Dacă comanda a fost executată cu succes (valoare returnată 0) și indicatori de compromitere au fost detectați pe parcurs, Kaspersky Endpoint Security exportă următoarele informații despre rezultatul activității în linia de comandă:

`Started at <time>` `Finished at <time>`	Ora de începere și ora de finalizare a unei scanări.
`Host name: <computer name>`	Numele computerului pe care a fost detectat obiectul.
`Result: <error>`	Codul de eroare corespunzător erorii apărute în timpul executării activității. Dacă nu există erori, aplicația afișează `0x00000000`.
`Comment: <comment text>`	Descrierea erorii care a apărut în timpul executării activității. De exemplu, `Operation timeout`.
`Object Name:` sau `Process:` (în timpul scanării memoriei de proces)	Numele obiectului sau al procesului pentru care s-a declanșat regula YARA.
`Md5: <md5 hash>` `Sha256: <sha256 hash>`	Hash-urile obiectului care a declanșat regula YARA.
`Rule Name`	Numele regulii YARA declanșate.
`Meta:` `Author: <author>` `Date: <date>` `Description: <description>`	Metadatele specificate în regula YARA.
`Detects:` `Offset : String name : String data` `<offset> : <string name> : <string data>`	S-au găsit potriviri în cadrul obiectului care îndeplinesc condițiile regulii YARA: Compensare în memoria de proces sau în fișierul în care s-a detectat o potrivire (`Offset`). Numele șirului care corespunde în regula YARA (`String name`). Șirul corespunzător din memoria procesului sau din fișier (`String data`).

Începutul paginii