Импорт YARA-правил

Kaspersky EDR Expert использует YARA-правила для проверки файлов, отправляемых в OSMP, и для проверки устройств.

Kaspersky EDR Expert импортирует YARA-правила из файлов, содержащих YARA-правила. Один файл может содержать несколько YARA-правил. Kaspersky EDR Expert анализирует файл, извлекает правила и добавляет их в список правил.

Список YARA-правил доступен в интерфейсе Консоли OSMP → Обнаружение и реагирование → Ресурсы и сервисы → YARA-правила.

Чтобы импортировать YARA-правила:

1. В главном окне приложения перейдите в раздел Обнаружение и реагирование → Ресурсы и сервисы → YARA-правила.

   Откроется список YARA-правил.

2. Нажмите на кнопку Импорт.
3. В открывшейся панели справа Импорт YARA-правил настройте следующие параметры:
   • Выберите Тенант.
   • Для всех YARA-правил по умолчанию задается Высокая Важность и изменить ее невозможно. Kaspersky EDR Expert присваивает это значение алерту, создаваемому в результате срабатывания YARA-правила.
   • Если Kaspersky EDR Expert должен использовать все импортированные правила для проверки файлов, отправляемых в OSMP, включите переключатель Проверка файлов.

     Любое правило также можно включить в список YARA-правил для проверки файлов на сервере позже путем включения переключателя в столбце Проверка файлов списка YARA-правил.

     Эта функция доступна только для корневого тенанта.

   • Укажите описание (необязательно).
4. Загрузите файл с YARA-правилами.

   При загрузке файла Kaspersky EDR Expert извлекает правила из файла и отображает информацию об извлеченных правилах.

5. Нажмите на кнопку Импорт.

Импортированные правила отобразятся в списке YARA-правил.

В начало