YARA. YARA-vizsgálat futtatása

A YARA-vizsgálati feladat futtatása. Az alkalmazás a Kaspersky Anti Targeted Attack Platform felhasználói által létrehozott YARA-szabály-adatbázisok segítségével vizsgálja a fájlokat és objektumokat a vállalati IT-infrastruktúra elleni célzott támadásokra utaló jelzéseket keresve. A YARA-szabály a rosszindulatú szoftverek nyilvánosan elérhető osztályozása, amely a Kaspersky Anti Targeted Attack Platform által a fájlok és objektumok átvizsgálásához használt, célzott támadásokra és a vállalati IT-infrastruktúrába való behatolásra utaló jeleket tartalmazó aláírásokat tartalmaz.

A YARA-vizsgálat futtatásához elő kell készítenie a szabályokat leíró YARA-fájlokat. A YARA-fájlok létrehozásakor vegye figyelembe a következő követelményeket:

A Kaspersky Endpoint Security támogatja a yara vagy yar kiterjesztésű olyan YARA-fájlokat, amelyek megfelelnek a YARA 4.0.2 nyílt szabványnak a fertőzöttségi mutatók leírására.
A feladathoz csak YARA-szabályokat tartalmazó fájl adható meg. A YARA-vizsgálat futtatása feladat nem támogat más szabálytípusokat.
Ha a Kaspersky Endpoint Security által nem támogatott YARA-fájlokat adott hozzá, vagy a szabályok szintaktikai hibákat tartalmaznak, a feladat a megfelelő hibaüzenettel megszakad.
Az egy feladatban használt összes YARA-fájl azonosítójának egyedinek kell lennie. Ha ugyanolyan azonosítóval rendelkező YARA-fájlok vannak, az befolyásolhatja a feladatvégrehajtás eredményeit.
A YARA-vizsgálat a YARA-szabályokban leírt indikátorokkal való 128 egyezés után megszakad. Erre a YARA vizsgálati jelentésben szereplő bejegyzések számának korlátozása céljából van szükség, hogy a rendszer megkönnyítse a jelentés elemzését, és hogy megóvja a jelentést a túlcsordulástól a pontatlanul megfogalmazott YARA-szabályok miatt, amelyek rengeteg találatot generálhatnak.

A Kaspersky YARA-fájlonként egy szabály létrehozását javasolja. Ez olvashatóbbá teszi a vizsgálat eredményeit.

A parancs szintaxisa

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA-fájlok

<full path to the YARA file>

A vizsgálathoz használni kívánt YARA-fájl teljes elérési útja. Több YARA-fájlt is megadhat szóközökkel elválasztva. Az YARA-fájl teljes elérési útját a /path argumentum nélkül kell megadni.

Például: C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

A vizsgálathoz használni kívánt YARA-fájlokat tartalmazó mappa elérési útja.

Például: /path=C:\Users\Admin\Desktop\YARA.

Speciális beállítások
`fastScan`	Gyors YARA-vizsgálat. Az alkalmazás minden objektumnál naplózza az észlelt indikátor egy előfordulását. Az alkalmazás az észlelt indikátorok ismétlődéseit elrejti a naplóban. A Gyors YARA-vizsgálat lehetővé teszi a nagyméretű fájlok gyorsabb vizsgálatát. Ha ez a beállítás nincs megadva, az alkalmazás szabványos YARA-vizsgálatot hajt végre. Ebben a módban az alkalmazás az észlelt indikátorok ismétlődéseit naplózza.
`maxRules=<maximum number of scan rules>`	Ennyi egyedi szabálynak kell aktiválódnia ahhoz, hogy az alkalmazás leállítsa a YARA-vizsgálatot. Ha ennek a beállításnak az értéke nincs megadva, vagy ha `0` van megadva, az alkalmazás a YARA-vizsgálatot korlátozások nélkül végzi el.
`timeOut=<stop scan after the specified time in seconds>`	Ennyi ideig tarthat egy YARA-vizsgálat (másodpercekben). Ha ez az idő lejár, az alkalmazás leállítja a YARA-vizsgálatot. Ha ennek a beállításnak az értéke nincs megadva, vagy ha `0` van megadva, az alkalmazás a YARA-vizsgálatot korlátozások nélkül végzi el.
`recursive`	Almappák rekurzív vizsgálata egyéni vizsgálat végrehajtásakor (`scanFolder`).
`scanMemory`	Vizsgálja meg az összes futó folyamat memóriáját.
`scanFolders <list of folders to be scanned>`	Egyéni vizsgálat. Az alkalmazás megvizsgálja a felhasználó által kiválasztott mappákat. Ha ez a beállítás nincs megadva, az alkalmazás YARA-vizsgálatot végez az összes helyi lemezen, kivéve a hálózati megosztásokat, a felhőmeghajtókat és a cserélhető adathordozókat.
`scanProcess <process name>`	Memória vizsgálata csak a megadott folyamatoknál. A Kaspersky Endpoint Security támogatja a `*` és `?` karaktereket egy maszk megadásakor.
`maxFileSize=<file size in bytes>`	Fájlméret korlátozása a YARA-vizsgálatnál. Az alkalmazás kihagyja a nagyobb fájlokat.
`excludes <list of objects to be scanned>`	Fájlok és mappák kizárása a YARA-vizsgálatból. Több értéket is megadhat szóközökkel elválasztva. A következő értékek állnak rendelkezésre: Fájlnév A fájl elérési útja Fájlkiterjesztés A fájl elérési útjának maszkja A kizárásokat a `scanFolders` paraméterrel kell megadni. Példa: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – az alkalmazás kihagyja a `readme.txt` fájlokat, az összes fájlt a `C:\trusted` mappában, és minden xml kiterjesztésű fájlt a C: lemez gyökérmappájában.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Mentse a YARA-vizsgálat eredményét egy fájlba a megadott mappában. Az alkalmazás a YARA-vizsgálat eredményeit a parancssorban is megjeleníti.

A parancs visszatérési értékei:

A -1 azt jelenti, hogy a parancsot nem támogatja a számítógépre telepített alkalmazás verziója.
A 0 azt jelenti, hogy a parancs sikeresen végre lett hajtva.
Az 1 azt jelenti, hogy egy kötelező argumentum nem lett átadva a parancsnak.
A 2 azt jelenti, hogy általános hiba történt.
A 4 azt jelenti, hogy szintaktikai hiba történt.
Az 5 azt jelenti, hogy egy vagy több, a paraméterben megadott YARA-szabályokkal rendelkező fájl nem található.

A Kaspersky Anti Targeted Attack Platform konzolon megtekintheti a YARA-vizsgálat eredményeit. Csak a feladat állapota érhető el a Kaspersky Security Center alkalmazásban.

Ha a parancs végrehajtása sikeres volt (a visszaadott érték 0), és a Kaspersky Endpoint Security közben biztonsági sérülési indikátorokat észlelt, akkor a következő feladateredmény-adatokat küldi vissza a parancssorba:

`Offset`	Az objektumban lévő ofszet, amelyre a Kaspersky Endpoint Security YARA-vizsgálatot végez.
`Object Name`	Az alkalmazás által vizsgált objektum neve.
`Rule Name`	Az alkalmazás által a YARA-vizsgálathoz használt szabály neve.

Oldal tetejére