YARA. Spuštění kontroly YARA

Spuštění úlohy Spustit kontrolu YARA. Aplikace kontroluje soubory a objekty, zda neobsahují indikátory cílených útoků na podnikovou IT infrastrukturu pomocí databází pravidel YARA vytvořených uživateli platformy Kaspersky Anti Targeted Attack Platform. Pravidlo YARA je veřejně dostupná klasifikace malwaru, která obsahuje signatury indikátorů cílených útoků a narušení podnikové IT infrastruktury, kterou Kaspersky Anti Targeted Attack Platform používá ke kontrole souborů a objektů.

Chcete-li spustit kontrolu YARA, musíte připravit soubory YARA, které popisují pravidla. Při vytváření souborů YARA zvažte následující požadavky:

Kaspersky Endpoint Security podporuje soubory YARA s příponou yara nebo yar, které dodržují otevřený standard YARA 4.0.2 pro popis indikátorů narušení.
Pro úlohu lze zadat pouze soubor s pravidly YARA. Úloha Spustit kontrolu YARA nepodporuje jiné typy pravidel.
Pokud jste přidali soubory YARA, které Kaspersky Endpoint Security nepodporuje, nebo pokud pravidla obsahují chyby syntaxe, úloha bude přerušena s příslušnou chybovou zprávou.
Identifikátory všech souborů YARA používaných v jedné úloze musí být jedinečné. Pokud neexistují žádné soubory YARA se stejným identifikátorem, může to mít vliv na výsledky provádění úlohy.
Kontrola YARA je přerušena po 128 shodách s indikátory popsanými v pravidlech YARA. Je to nutné k omezení počtu položek ve zprávě o kontrole YARA, aby se usnadnila analýza a aby byla zpráva chráněna před přetečením z důvodu nepřesně formulovaných pravidel YARA, což může generovat velké množství shod.

Kaspersky doporučuje vytvořit jedno pravidlo pro každý soubor YARA. Výsledky kontroly jsou tak čitelnější.

Syntaxe příkazu

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

Soubory YARA

<full path to the YARA file>

Úplná cesta k souboru YARA, který chcete použít pro kontrolu. Můžete zadat více souborů YARA oddělených mezerami. Úplnou cestu k souboru YARA je nutné zadat bez argumentu /path.

Například C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Cesta ke složce se soubory YARA, které chcete použít pro kontrolu.

Například /path=C:\Users\Admin\Desktop\YARA.

Rozšířené nastavení
`fastScan`	Rychlá kontrola YARA. U každého objektu aplikace protokoluje jeden výskyt zjištěného indikátoru. Aplikace také v protokolu skryje duplikáty zjištěných indikátorů. Rychlá kontrola YARA umožňuje rychlejší kontrolu velkých souborů. Není-li toto nastavení zadáno, aplikace provede standardní kontrolu YARA. V tomto režimu aplikace protokoluje duplikáty zjištěných indikátorů.
`maxRules=<maximum number of scan rules>`	Kolik jedinečných pravidel se musí spustit, aby aplikace zastavila kontrolu YARA. Pokud není zadaná hodnota tohoto nastavení nebo pokud je zadána hodnota `0`, aplikace provede kontrolu YARA bez omezení.
`timeOut=<stop scan after the specified time in seconds>`	Jak dlouho může kontrola YARA trvat (v sekundách). Po uplynutí této doby aplikace zastaví kontrolu YARA. Pokud není zadaná hodnota tohoto nastavení nebo pokud je zadána hodnota `0`, aplikace provede kontrolu YARA bez omezení.
`recursive`	Rekurzivní kontrola podsložky při provádění vlastní kontroly (`scanFolder`).
`scanMemory`	Kontrola paměti všech spuštěných procesů.
`scanFolders <list of folders to be scanned>`	Vlastní kontrola, Aplikace kontroluje složky vybrané uživatelem. Pokud toto nastavení není zadáno, aplikace provede kontrolu YARA všech místních disků kromě síťových sdílených položek, cloudových jednotek a vyměnitelných médií.
`scanProcess <process name>`	Kontrola paměti pouze pro zadané procesy. Při zadávání masky podporuje aplikace Kaspersky Endpoint Security znaky `*` a `?`.
`maxFileSize=<file size in bytes>`	Omezení velikosti souboru kontroly YARA. Aplikace přeskakuje větší soubory.
`excludes <list of objects to be scanned>`	Vyloučení souborů a složek z kontroly YARA. Můžete zadat více hodnot oddělených mezerami. K dispozici jsou následující hodnoty: Název souboru Cesta k souboru Přípona souboru Maska cesty k souboru Výjimky je třeba specifikovat s parametrem `scanFolders`. Příklad: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – aplikace přeskočí soubor `readme.txt`, všechny soubory ze složky `C:\trusted` a všechny soubory s příponou xml v kořenové složce na disku C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Uložení výsledků kontroly YARA do souboru v zadané složce. Aplikace také odesílá výsledky kontroly YARA do příkazového řádku.

Návratové hodnoty příkazů:

-1 znamená, že příkaz není podporován verzí aplikace, která je v počítači nainstalována.
0 znamená, že příkaz byl úspěšně proveden.
1 znamená, že příkazu nebyl předán povinný argument.
2 znamená, že došlo k obecné chybě.
4 znamená, že došlo k chybě syntaxe.
5 znamená, že nebyl nalezen jeden nebo více souborů s pravidly YARA zadanými v parametru.

Výsledky kontroly YARA si můžete prohlédnout v konzole Kaspersky Anti Targeted Attack Platform. V aplikaci Kaspersky Security Center je k dispozici pouze stav úlohy.

Pokud byl příkaz úspěšně proveden (návratová hodnota 0) a přitom byly detekovány indikátory narušení, aplikace Kaspersky Endpoint Security odesílá na příkazový řádek následující informace o výsledku úlohy:

`Offset`	Posun v objektu, u kterého Kaspersky Endpoint Security provádí kontrolu YARA.
`Object Name`	Název objektu, který aplikace kontroluje.
`Rule Name`	Název pravidla, které aplikace používá pro kontrolu YARA.

Začátek stránky