YARA. Uruchamianie skanowania YARA

Uruchomienie zadania Uruchom skanowanie YARA. Aplikacja skanuje pliki i obiekty w poszukiwaniu wskaźników ukierunkowanych ataków na infrastrukturę informatyczną przedsiębiorstwa, wykorzystując do tego celu bazy reguł YARA utworzone przez użytkowników Kaspersky Anti Targeted Attack Platform. Reguła YARA jest publicznie dostępną klasyfikacją złośliwego oprogramowania zawierającą sygnatury wskaźników ukierunkowanych ataków i włamań do infrastruktury informatycznej przedsiębiorstwa, której Kaspersky Anti Targeted Attack Platform używa do skanowania plików i obiektów.

Aby uruchomić skanowanie YARA, należy przygotować pliki YARA opisujące reguły. Tworząc pliki YARA, należy wziąć pod uwagę następujące wymagania:

Kaspersky Endpoint Security obsługuje pliki YARA z rozszerzeniami yara lub yar, które są zgodne z otwartym standardem YARA 4.0.2 w zakresie opisu wskaźników naruszenia.
Dla zadania można określić tylko plik z regułami YARA. Zadanie Uruchom skanowanie YARA nie obsługuje innych typów reguł.
Jeśli dodano pliki YARA, których Kaspersky Endpoint Security nie obsługuje, lub reguły zawierają błędy składniowe, zadanie zostanie przerwane i wyświetlony zostanie odpowiedni komunikat o błędzie.
Identyfikatory wszystkich plików YARA używane w pojedynczym zadaniu muszą być unikatowe. Jeśli istnieją pliki YARA z takim samym identyfikatorem, mogą wpłynąć na wyniki wykonania zadania.
Skanowanie YARA jest przerywane po znalezieniu 128 elementów pasujących do wskaźników opisanych w regułach YARA. Jest to konieczne, aby ograniczyć liczbę wpisów w raporcie zadania skanowania YARA i ułatwić jego analizę, a także zapobiec przepełnieniu raportu nieprecyzyjnie sformułowanymi wskaźnikami zagrożenia YARA generującymi ogromną liczbę znalezionych elementów.

Kaspersky zaleca utworzenie jednej reguły na każdy plik YARA. Dzięki temu wyniki skanowania będą bardziej czytelne.

Składnia polecenia

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

Pliki YARA

<full path to the YARA file>

Pełna ścieżka do pliku YARA, którego chcesz użyć do skanowania. Możesz określić kilka plików YARA oddzielonych spacjami. Pełna ścieżka do pliku YARA musi zostać wprowadzona bez argumentu /path.

Na przykład, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Ścieżka do folderu z plikami YARA, których chcesz użyć do skanowania.

Na przykład, /path=C:\Users\Admin\Desktop\YARA.

Ustawienia zaawansowane
`fastScan`	Szybkie skanowanie YARA. Dla każdego obiektu aplikacja rejestruje jedno wystąpienie wykrytego wskaźnika. Aplikacja ukrywa również duplikaty wykrytych wskaźników w dzienniku. Szybkie skanowanie YARA umożliwia szybsze skanowanie dużych plików. Jeżeli to ustawienie nie zostanie określone, aplikacja wykona standardowe skanowanie YARA. W tym trybie aplikacja rejestruje duplikaty wykrytych wskaźników.
`maxRules=<maximum number of scan rules>`	Ile unikalnych reguł musi zostać uruchomionych, aby aplikacja zatrzymała skanowanie YARA. Jeżeli wartość tego ustawienia nie jest określona lub jeżeli `0` jest określony, aplikacja wykonuje skanowanie YARA bez ograniczeń.
`timeOut=<stop scan after the specified time in seconds>`	Ile czasu może zająć skanowanie YARA (w sekundach). Po upływie tego czasu aplikacja zatrzyma skanowanie YARA. Jeżeli wartość tego ustawienia nie jest określona lub jeżeli `0` jest określony, aplikacja wykonuje skanowanie YARA bez ograniczeń.
`recursive`	Rekurencyjnie skanuj podfoldery podczas wykonywania skanowania niestandardowego (`scanFolder`).
`scanMemory`	Przeskanuj pamięć wszystkich uruchomionych procesów.
`scanFolders <list of folders to be scanned>`	Skanowanie obiektów. Aplikacja skanuje foldery wybrane przez użytkownika. Jeśli to ustawienie nie zostanie określone, aplikacja przeprowadzi skanowanie YARA wszystkich dysków lokalnych z wyjątkiem udziałów sieciowych, dysków w chmurze i nośników wymiennych.
`scanProcess <process name>`	Skanuj pamięć tylko pod kątem określonych procesów. Kaspersky Endpoint Security obsługuje znaki `*` i `?` podczas wprowadzania maski.
`maxFileSize=<file size in bytes>`	Ogranicz rozmiar pliku dla skanowania YARA. Aplikacja pomija większe pliki.
`excludes <list of objects to be scanned>`	Wyklucz pliki i foldery ze skanowania YARA. Możesz podać kilka wartości oddzielonych spacjami. Dostępne są następujące wartości: Nazwa pliku Ścieżka pliku Rozszerzenie pliku Maska ścieżki pliku Wykluczenia muszą być określone za pomocą parametru `scanFolders`. Na przykład: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – aplikacja pomija plik `readme.txt`, wszystkie pliki z folderu `C:\trusted` oraz wszystkie pliki z rozszerzeniem xml w folderze głównym na dysku C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Zapisz wyniki skanowania YARA w pliku w określonym folderze. Aplikacja wyświetla również wyniki skanowania YARA w wierszu poleceń.

Wartości zwrotne polecenia:

-1 oznacza, że polecenie nie jest obsługiwane przez wersję aplikacji, która jest zainstalowana na komputerze.
0 oznacza, że polecenie zostało wykonane pomyślnie.
1 oznacza, że obowiązkowy argument nie został przekazany do polecenia.
2 oznacza, że wystąpił ogólny błąd.
4 oznacza, że wystąpił błąd składniowy.
5 oznacza, że nie znaleziono jednego lub więcej plików z regułami YARA określonymi w parametrze.

Wyniki skanowania YARA można wyświetlić w konsoli Kaspersky Anti Targeted Attack Platform. W Kaspersky Security Center dostępny jest tylko stan zadania.

Jeśli polecenie zostało wykonane pomyślnie (wartość zwrotna 0) i wykryto wskaźniki naruszeń bezpieczeństwa, Kaspersky Endpoint Security zwróci do wiersza poleceń następujące informacje o wyniku wykonania zadania:

`Offset`	Przesunięcie w obiekcie, dla którego Kaspersky Endpoint Security wykonuje skanowanie YARA.
`Object Name`	Nazwa obiektu, który aplikacja skanuje.
`Rule Name`	Nazwa reguły, której aplikacja używa do skanowania YARA.

Przejdź do góry