YARA. Se execută Scanarea YARA

Executarea activității Execută scanarea YARA. Aplicația scanează fișierele și obiectele pentru depistarea indicatorilor atacurilor țintite asupra infrastructurii IT corporative, folosind bazele de date cu regulile YARA create de utilizatorii Kaspersky Anti Targeted Attack Platform. O regulă YARA este o clasificare disponibilă public a programelor malware care conține semnături ale indicatorilor atacurilor și intruziunilor vizate în infrastructura IT corporativă pe care Kaspersky Anti Targeted Attack Platform o folosește pentru a scana fișiere și obiecte.

Pentru a executa o scanare YARA, trebuie să pregătești fișierele YARA care descriu regulile. Când creezi fișiere YARA, ține cont de următoarele cerințe:

Kaspersky Endpoint Security acceptă fișierele YARA cu extensiile yara sau yar, care aderă la standardul deschis YARA 4.0.2 pentru descrierea indicatorilor de compromitere.
Numai un fișier cu reguli YARA poate fi specificat pentru activitate. Activitatea Execută scanarea YARA nu acceptă alte tipuri de reguli.
Dacă ai adăugat fișiere YARA pe care Kaspersky Endpoint Security nu le acceptă sau dacă regulile conțin erori de sintaxă, activitatea este anulată cu mesajul de eroare corespunzător.
Identificatorii tuturor fișierelor YARA utilizate într-o activitate unică trebuie să fie unici. Dacă există fișiere YARA cu același identificator, acest lucru ar putea afecta rezultatele executării activității.
O scanare YARA este anulată după 128 de potriviri cu indicatorii descriși în regulile YARA. Acest lucru este necesar pentru a limita numărul de intrări în raportul de scanare YARA pentru a facilita analiza și pentru a proteja raportul împotriva debordării din cauza regulilor YARA formulate imprecis, care pot genera un număr mare de potriviri.

Kaspersky recomandă crearea unei reguli pentru fiecare fișier YARA. Acest lucru face rezultatele scanării mai lizibile.

O scanare YARA poate dura mult timp. În funcție de dimensiunea unității, setările activităților și numărul de obiecte de pe disc, o scanare YARA poate dura de la câteva minute până la câteva ore. Aplicația nu afișează un indicator de progres. Nu este posibilă oprirea sau revocarea unei scanări YARA. Se recomandă să așteptați până când sunt disponibile rezultatele unei scanări YARA.

Sintaxa de comandă

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA files

<full path to the YARA file>

Calea completă către fișierul YARA pe care doriți să îl utilizați pentru scanare. Puteți specifica mai multe fișiere YARA separate prin spații. Calea completă către fișierul YARA trebuie introdusă fără argumentul /path.

De exemplu, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Calea către directorul cu fișiere YARA pe care doriți să le utilizați pentru scanare.

De exemplu, /path=C:\Users\Admin\Desktop\YARA.

Setări avansate
`fastScan`	Scanare YARA rapidă. Pentru fiecare obiect, aplicația înregistrează în jurnal o apariție a indicatorului detectat. Aplicația ascunde, de asemenea, duplicatele indicatorilor detectați în jurnal. Funcția Scanare YARA rapidă permite scanarea mai rapidă a fișierelor mari. Dacă această setare nu este specificată, aplicația efectuează o scanare YARA standard. În acest mod, aplicația înregistrează duplicate ale indicatorilor detectați.
`maxRules=<maximum number of scan rules>`	Câte reguli unice trebuie să fie declanșate pentru ca aplicația să oprească scanarea YARA. Dacă valoarea acestei setări nu este specificată sau dacă este specificat `0`, aplicația efectuează scanarea YARA fără limitări.
`timeOut=<stop scan after the specified time in seconds>`	Cât timp poate dura o scanare YARA, în secunde. Când expiră acest timp, aplicația oprește scanarea YARA. Dacă valoarea acestei setări nu este specificată sau dacă este specificat `0`, aplicația efectuează scanarea YARA fără limitări.
`recursive`	Scanează recursiv subdirectoarele atunci când efectuezi o Scanare personalizată (`scanFolder`).
`scanMemory`	Scanează memoria tuturor proceselor care se execută.
`scanFolders <list of folders to be scanned>`	Scanare particularizată. Aplicația scanează directoarele selectate de utilizator. Dacă această setare nu este specificată, aplicația efectuează o scanare YARA a tuturor discurilor locale, cu excepția partajărilor în rețea, a unităților cloud și a suporturilor amovibile.
`scanProcess <process name>`	Scanează memoria numai pentru procesele specificate. Kaspersky Endpoint Security acceptă caracterele `*` și `?` la introducerea unei măști.
`maxFileSize=<file size in bytes>`	Limiteazăi dimensiunea fișierului pentru scanarea YARA. Aplicația omite fișierele mai mari.
`excludes <list of objects to be scanned>`	Exclude fișierele și directoarele de la scanarea YARA. Poți specifica mai multe valori separate prin spații. Sunt disponibile următoarele valori: Nume fișier Cale fișier Extensia fișierului Masca căii fișierului Excluderile trebuie specificate cu parametrul `scanFolders`. Exemplu: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – aplicația omite fișierul `readme.txt`, toate fișierele din directorul `C:\trusted` și toate fișierele cu extensia xml din directorul rădăcină de pe discul C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Salvează rezultatele scanării YARA într-un fișier din directorul specificat. Aplicația trimite, de asemenea, rezultatele scanării YARA în linia de comandă.

Valori returnate de comandă:

-1 înseamnă că comanda nu este acceptată de versiunea aplicației instalată pe computer;
0 înseamnă că comanda a fost executată cu succes;
1 înseamnă că un argument obligatoriu nu a fost transmis comenzii;
2 înseamnă că a apărut o eroare generală;
4 înseamnă că a apărut o eroare de sintaxă;
5 înseamnă că unul sau mai multe fișiere cu reguli YARA specificate în parametru nu au fost găsite.

Poți vizualiza rezultatele unei scanări YARA în consola Kaspersky Anti Targeted Attack Platform. În Kaspersky Security Center este disponibilă numai starea sarcinii.

Dacă comanda a fost executată cu succes (valoare returnată 0) și indicatori de compromitere au fost detectați pe parcurs, Kaspersky Endpoint Security exportă următoarele informații despre rezultatul activității în linia de comandă:

`Offset`	Offset în obiectul pentru care Kaspersky Endpoint Security efectuează o scanare YARA.
`Object Name`	Numele obiectului pe care îl scanează aplicația.
`Rule Name`	Numele regulii pe care o folosește aplicația pentru scanarea YARA.

Începutul paginii