Запуск задачи Запустить YARA-проверку. Приложение выполняет проверку файлов и объектов на наличие признаков целевых атак на IT-инфраструктуру организации с помощью баз YARA-правил, создаваемых пользователями Kaspersky Anti Targeted Attack Platform. YARA-правило – общедоступная классификация вредоносных приложений, содержащая сигнатуры признаков целевых атак и вторжений в IT-инфраструктуру организации, по которым Kaspersky Anti Targeted Attack Platform производит проверку файлов и объектов.
Для запуска YARA-проверки вам нужно подготовить YARA-файлы, которые описывают правила. При создании YARA-файлов учитывайте следующие требования:
yara
и yar
открытого стандарта описания индикаторов компрометации YARA версии 4.0.2.Специалисты "Лаборатории Касперского" рекомендуют создавать по одному правилу в одном YARA-файле. Такой подход облегчает чтение результатов проверки.
YARA-проверка может занять продолжительное время. В зависимости от размера диска, параметров задачи, количества объектов на диске YARA-проверка может длиться от нескольких минут до нескольких часов. При этом приложение не показывает индикатор выполнения. Прервать или отменить YARA-проверку невозможно. Рекомендуем дождаться результатов YARA-проверки.
Синтаксис команды
avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]
YARA-файлы |
|
|
Полный путь к YARA-файлу, по которому требуется выполнить поиск. Вы можете указать несколько YARA-файлов через пробел. Полный путь к YARA-файлу следует ввести без аргумента Например, |
|
Путь к папке с YARA-файлами, по которым требуется выполнять поиск. Например, |
Дополнительные параметры |
|
|
Быстрая YARA-проверка. Для каждого объекта приложение фиксирует в журнале одно вхождение обнаруженного маркера. При этом приложение скрывает дубликаты обнаруженных маркеров в журнале. Быстрая YARA-проверка позволяет сократить время проверки больших файлов. Если параметр не задан, приложение выполняет стандартную YARA-проверку. В этом режиме приложение записывает дубликаты обнаруженных маркеров в журнал. |
|
Ограничение уникальных сработавших правил, при превышении которого приложение прекращает YARA-проверку. Если значение параметра не задано или равно |
|
Ограничение длительности YARA-проверки в секундах. По истечении указанного времени приложение останавливает YARA-проверку. Если значение параметра не задано или равно |
|
Рекурсивная проверка вложенных папок при выборочной проверке ( |
|
Проверка памяти всех запущенных процессов. |
|
Выборочная проверка. Приложение проверяет папки, выбранные пользователем. Если значение параметра не задано, приложение выполняет YARA-проверку на всех локальных дисках, кроме сетевых, облачных и подключаемых дисках. |
|
Проверка памяти только для указанных процессов. Kaspersky Endpoint Security поддерживает символы |
|
Ограничение размера файлов для YARA-проверки. Приложение пропускает файлы большего размера. |
|
Исключение файлов и папок из YARA-проверки. Вы можете указать несколько значений через пробел. Доступны следующие значения:
Исключения необходимо задавать с параметром Пример:
|
|
Сохранение результатов YARA-проверки в файл в указанную папку. При этом приложение также показывает результаты YARA-проверки в командной строке. |
Коды возврата команды:
-1
– команда не поддерживается версией приложения, которое установлено на компьютере.0
– команда выполнена успешно.1
– команде не передан обязательный аргумент.2
– общая ошибка.4
– синтаксическая ошибка.5
– не найден один или несколько файлов с YARA-правилами из указанных в значении параметра.Вы можете просмотреть результаты выполнения YARA-проверки в консоли Kaspersky Anti Targeted Attack Platform. В консоли Kaspersky Security Center доступен только статус выполнения задачи.
Если команда была выполнена успешно (код 0
) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:
|
Смещение в объекте, для которого Kaspersky Endpoint Security выполняет YARA-проверку. |
|
Имя объекта, которое приложение проверяет. |
|
Имя правила, которое приложение использует для YARA-проверки. |