Сканирование YARA

YARA-проверка – это поиск сигнатур вредоносной активности на устройствах с помощью файлов YARA, скачанных вручную с помощью Консоли OSMP.

Для выполнения сканирования YARA необходимо следующее:

• Установленный на ваших устройствах Kaspersky Endpoint Security со встроенным агентом.
• Хотя бы одно правило в списке YARA-правил.

Чтобы выполнить YARA-проверку, выполните следующие действия:

1. Выберите действие по реагированию Сканирование YARA.

   Откроется панель Запустить сканирование YARA.

2. В раскрывающемся списке Правила выберите одно или несколько YARA-правил.

   Вы можете ввести название правила или несколько знаков из названия правила.

   Максимальное число правил, которые вы можете указать, – 200.

3. В раскрывающемся списке Область проверки выполните следующие действия:
   1. Выберите параметры и укажите из значения:
      • Оперативная память – для сканирования процессов, запущенных на момент выполнения реагирования.

        Этот вариант выбран по умолчанию, в группе параметров Проверить выбран параметр Все процессы.

        Если требуется выполнить сканирование отдельных процессов, в группе параметров Проверить выберите параметр Заданные процессы, а затем введите имя одного или нескольких процессов, которые необходимо проверить. Иначе будет выполнено сканирование всех процессов.

        Приложение не проверяет процессы с низким уровнем приоритета.

      • Точки автозапуска – для сканирования точек автозапуска, полученных от действия по реагированию Данные для расследования.

        Затем укажите тип проверки:

        • Быстрая проверка. Сканируются все точки автозапуска, за исключением COM-объектов.
        • Полная проверка. Сканируются все точки автозапуска, а также файлы, связанные с ними.

        Список поддерживаемых точек автозапуска

        Поддерживаются следующие типы точек автозапуска:

        • Logon
        • Shell
        • Office
        • Browsers
        • Scheduler
        • Services
        • Drivers
        • Cryptography
        • Debuggers
        • COM
        • SessionManager
        • Network
        • LSA
        • Applications
        • WMI
        • GroupPolicy
        • DriverLog
        • BootLog
        • Процесс
        • OsUpdate
        • Printer
        • Не указана
        • OsLoader
        • EfiLoader
      • Все локальные диски – для выполнения сканирования файлов, хранящихся во всех папках на локальных дисках.

        Сканирование всех локальных дисков может вызвать высокую нагрузку на устройство.

      • Заданные директории – для сканирования файлов, находящихся в указанной директории и всех вложенных в нее папках.

        В соответствующем поле необходимо указать полный путь к директории с подстановочным символом * в конце, чтобы включить подкаталоги, например, C:\Users\Administrator\Desktop\*.

   2. При необходимости в соответствующих полях укажите следующие параметры для выбранного варианта:
      • Максимальная продолжительность проверки (в часах)

        Значение по умолчанию – 23. По истечении указанного времени проверка останавливается, даже если некоторые правила не были применены для проверки устройств. Результат действия по реагированию содержит данные, актуальные на момент остановки проверки.

      • Исключения

        Укажите короткие имена процессов или маску файлов, которые вы хотите добавить в исключения из сканирования. Если на устройстве запущено несколько процессов с одинаковыми именами, приложение исключает все такие процессы из сканирования.

4. При необходимости настройте следующие параметры:
   • Укажите тенант.

     Если действие по реагированию выполнялось из списка YARA-правил и были выбраны правила, принадлежащие разным тенантам, поле Тенант не заполняется. Необходимо вручную указать тенант, для устройства которого требуется подвергнуть YARA-проверке.

   • Измените область действия по реагированию.

     По умолчанию в группе параметров Область действия выбран параметр Указанные активы и поле Активы содержит названия устройств, для ранее были установлены флажки. На этих устройствах будет выполняться YARA-проверка.

     Вы можете изменить устройства для проверки или выбрать вариант Все активы в группе параметров Область действия для проверки всех устройств, принадлежащих тенанту алерта или инцидента (и его дочерним тенантам).

   • В поле Описание напишите описание или комментарий к действию по реагированию.
5. Нажмите на кнопку Запустить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в сведениях алерта или инцидента.

В столбце Активы необходимо перейти по ссылке с количеством активов, для которых была запущена YARA-проверка. В открывшемся окне с выбранной вкладкой Результат вы можете просмотреть статус сканирования для каждого YARA-правила. Если при проверке будет найдена угроза, будет создан соответствующий алерт. Вы можете перейти к алерту из результатов выполнения действия по реагированию.

Если не удалось завершить действие по реагированию, отображается сообщение об ошибке с информацией о причине ошибки.

В начало