YARA. Executar verificação YARA

A executar a tarefa Executar verificação YARA. A aplicação verifica ficheiros e objetos em busca de indicadores de ataques dirigidos à infraestrutura de TI corporativa utilizando bases de dados de regras YARA criadas por utilizadores da Kaspersky Anti Targeted Attack Platform. Uma regra YARA é uma classificação de malware publicamente disponível que contém assinaturas de indicadores de ataques direcionados e intrusões em infraestruturas de TI corporativas que a Kaspersky Anti Targeted Attack Platform utiliza para verificar ficheiros e objetos.

Para executar uma verificação YARA, tem de preparar ficheiros YARA que descrevam regras. Ao criar ficheiros YARA, considere os seguintes requisitos:

O Kaspersky Endpoint Security suporta ficheiros com as extensões yara ou yar que aderem ao padrão aberto YARA 4.0.2 para a descrição de indicadores de compromisso.
Apenas um ficheiro com regras YARA pode ser especificado para a tarefa. A tarefa Executar verificação YARA não suporta outros tipos de regras.
Se tiver adicionado ficheiros YARA que o Kaspersky Endpoint Security não suporta, ou se as regras tiverem erros de sintaxe, a tarefa é abortada com a mensagem de erro correspondente.
Os identificadores de todos os ficheiros YARA utilizados numa única tarefa têm de ser únicos. Se existirem YARA files com o mesmo identificador, tal pode afetar os resultados da execução da tarefa.
Uma verificação YARA é abortada após 128 correspondências com indicadores descritos nas regras YARA. Isto é necessário para limitar o número de entradas no relatório de verificação YARA, para ser mais fácil de analisar e impedir o relatório de ficar demasiado longo devido a regras YARA formuladas de forma imprecisa que podem gerar uma série de correspondências.

A Kaspersky recomenda criar uma regra por ficheiro YARA. Isto torna os resultados da verificação mais legíveis.

Uma verificação YARA pode levar um tempo considerável. Dependendo do tamanho da unidade, das definições da tarefa e do número de objetos no disco, uma verificação YARA pode durar de alguns minutos a várias horas. A aplicação não apresenta um indicador de progresso. Não é possível parar ou cancelar uma verificação YARA. É aconselhável esperar até que os resultados da verificação YARA estejam disponíveis.

Sintaxe de comando

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA files

<full path to the YARA file>

Caminho completo para o ficheiro YARA que deseja usar para a verificação. Pode especificar vários ficheiros YARA separados por espaços. O caminho completo para o ficheiro YARA deve ser introduzido sem o argumento /path.

Por exemplo, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Caminho para a pasta com os YARA files que deseja utilizar para a verificação.

Por exemplo, /path=C:\Users\Admin\Desktop\YARA.

Definições avançadas
`fastScan`	Verificação rápida YARA. Para cada objeto, a aplicação regista uma ocorrência do indicador detetado. A aplicação também oculta duplicados de indicadores detetados no registo. A Verificação rápida YARA permite verificar ficheiros grandes mais rapidamente. Se esta definição não for especificada, a aplicação efetua uma verificação YARA padrão. Neste modo, a aplicação regista os duplicados dos indicadores detetados.
`maxRules=<maximum number of scan rules>`	Quantas regras únicas têm de ser acionadas para que a aplicação pare a verificação YARA. Se o valor desta definição não for especificado ou se `0` for especificado, a aplicação efetua a verificação YARA sem limitações.
`timeOut=<stop scan after the specified time in seconds>`	Quanto tempo uma verificação YARA pode demorar, em segundos. Quando este tempo acaba, a aplicação interrompe a verificação YARA. Se o valor desta definição não for especificado ou se `0` for especificado, a aplicação efetua a verificação YARA sem limitações.
`recursive`	Verificar recursivamente subpastas ao executar uma Verificação personalizada (`scanFolder`).
`scanMemory`	Verificar a memória de todos os processos em execução.
`scanFolders <list of folders to be scanned>`	Verificação personalizada. A aplicação verifiva as pastas selecionadas pelo utilizador. Se esta definição não for especificada, a aplicação executa uma verificação YARA de todos os discos locais, exceto partilhas de rede, unidades na nuvem e suportes amovíveis.
`scanProcess <process name>`	Verificar a memória somente em busca de processos especificados. O Kaspersky Endpoint Security suporta os caracteres `*` e `?` ao introduzir uma máscara.
`maxFileSize=<file size in bytes>`	Limite o tamanho do ficheiro para a verificação YARA. A aplicação ignora os ficheiros maiores.
`excludes <list of objects to be scanned>`	Excluir ficheiros e pastas da verificação YARA. Pode especificar vários valores separados por espaços. Estão disponíveis as seguintes valores: Nome do ficheiro Caminho do ficheiro Estensão do ficheiro Máscara do caminho do ficheiro As exclusões têm de ser especificadas com o parâmetro `scanFolders`. Exemplo: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – a aplicação ignora o ficheiro `readme.txt`, todos os ficheiros da pasta `C:\trusted` e todos os ficheiros com a extensão xml na pasta raiz do disco C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Guardar os resultados da verificação YARA num ficheiro na pasta especificada. A aplicação também apresenta os resultados da verificação YARA na linha de comandos.

Valores de retorno do comando:

-1 significa que o comando não suportado pela versão do Kaspersky Endpoint Agent instalada no computador.
0 significa que o comando foi executado com êxito.
1 significa que um argumento obrigatório não foi transmitido ao comando.
2 significa que ocorreu um erro geral.
4 significa que houve um erro de sintaxe.
5 significa que um ou mais ficheiros com regras YARA especificadas no parâmetro não foram encontrados.

Pode visualizar os resultados de uma verificação YARA na consola da Kaspersky Anti Targeted Attack Platform. Apenas o estado da tarefa está disponível no Kaspersky Security Center.

Se o comando for executado com êxito (valor de retorno 0) e tiverem sido detetados indicadores de comprometimento ao longo do caminho, o Kaspersky Endpoint Security envia as seguintes informações sobre os resultados da tarefa para a command line:

`Offset`	Deslvio no objeto para o qual o Kaspersky Endpoint Security está a executar uma verificação YARA.
`Object Name`	Nome do objeto que a aplicação está a verificar.
`Rule Name`	Nome da regra que a aplicação está a utilizar para a verificação YARA.

Topo da página