YARA. YARA Taramasını Çalıştırma

YARA Taramasını Çalıştır görevini çalıştırma. Uygulama, Kaspersky Anti Targeted Attack Platform kullanıcıları tarafından oluşturulan YARA kuralları veritabanlarını kullanarak kurumsal BT altyapısına yönelik hedefli saldırıların göstergelerini bulmak için dosyaları ve nesneleri tarar. Bir YARA kuralı, Kaspersky Anti Targeted Attack Platform'un dosyaları ve nesneleri taramak için kullandığı hedefli saldırıların ve kurumsal BT altyapısına izinsiz girişlerin göstergelerinin imzalarını içeren, herkese açık bir kötü amaçlı yazılım sınıflandırmasıdır.

Bir YARA taraması çalıştırmak için kuralları tanımlayan YARA dosyaları hazırlamanız gerekir. YARA dosyalarını oluştururken aşağıdaki gereksinimleri göz önünde bulundurun:

Kaspersky Endpoint Security, güvenlik ihlali göstergelerini tanımlamak için YARA 4.0.2 açık standardına uygun yara veya yar uzantılarına sahip YARA dosyalarını destekler.
Görev için yalnızca YARA kurallarını içeren bir dosya belirtilebilir. YARA Taramasını Çalıştır görevi diğer kural türlerini desteklemez.
Kaspersky Endpoint Security'nin desteklemediği YARA dosyalarını eklediyseniz veya kurallar söz dizimi hataları içeriyorsa, görev ilgili hata mesajıyla iptal edilir.
Tek bir görevde kullanılan tüm YARA dosyalarının tanımlayıcıları benzersiz olmalıdır. Aynı tanımlayıcıya sahip YARA dosyaları olduğunda, bu görev yürütme sonuçlarını etkileyebilir.
Bir YARA taraması, YARA kurallarında açıklanan göstergelerle 128 eşleşmeden sonra iptal edilir. Bu, YARA tarama raporundaki girdilerin sayısını sınırlandırarak analiz edilmesini kolaylaştırmak ve çok fazla sayıda eşleşme oluşturabilecek kesin olmayan bir şekilde formüle edilmiş YARA kuralları nedeniyle raporda aşırı doluluk oluşmasını önlemek için gereklidir.

Kaspersky, YARA dosyası başına bir kural oluşturulmasını önerir. Bu, tarama sonuçlarını daha okunabilir hale getirir.

Komut söz dizimi

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA dosyaları

<full path to the YARA file>

Tarama için kullanmak istediğiniz YARA dosyasının tam yolu. Boşluklarla ayrılmış birden YARA dosyası belirtebilirsiniz. YARA dosyasının tam yolu, /path argümanı olmadan girilmelidir.

Örneğin, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Tarama için kullanmak istediğiniz YARA dosyalarının bulunduğu klasörün yolu.

Örneğin, /path=C:\Users\Admin\Desktop\YARA.

Gelişmiş ayarlar
`fastScan`	Hızlı YARA Taraması. Uygulama, her nesne için tespit edilen göstergenin bir olayını günlüğe kaydeder. Uygulama ayrıca günlükte tespit edilen göstergelerin kopyalarını da gizler. Hızlı YARA Taraması, büyük dosyaların daha hızlı taranmasını sağlar. Bu ayar belirtilmezse, uygulama standart bir YARA taraması gerçekleştirir. Bu modda, uygulama tespit edilen göstergelerin kopyalarını günlüğe kaydeder.
`maxRules=<maximum number of scan rules>`	Uygulamanın YARA taramasını durdurması için kaç benzersiz kuralın tetiklenmesi gerekir. Bu ayarın değeri belirtilmezse veya `0` belirtilirse, uygulama YARA taramasını sınırlama olmaksızın gerçekleştirir.
`timeOut=<stop scan after the specified time in seconds>`	Bir YARA taramasının saniye cinsinden ne kadar sürebileceği. Bu süre dolduğunda, uygulama YARA taramasını durdurur. Bu ayarın değeri belirtilmezse veya `0` belirtilirse, uygulama YARA taramasını sınırlama olmaksızın gerçekleştirir.
`recursive`	Bir Özel Tarama (`scanFolder`) gerçekleştirirken alt klasörleri özyinelemeli olarak tara.
`scanMemory`	Çalışan tüm işlemlerin belleğini tarayın.
`scanFolders <list of folders to be scanned>`	Özel Tarama. Uygulama, kullanıcı tarafından seçilen klasörleri tarar. Bu ayar belirtilmezse, uygulama ağ paylaşımları, bulut sürücüleri ve çıkarılabilir medya hariç tüm yerel disklerde bir YARA taraması gerçekleştirir.
`scanProcess <process name>`	Belleği yalnızca belirtilen işlemler için tarayın. Kaspersky Endpoint Security, bir maske girerken `*` ve `?` karakterlerini destekler.
`maxFileSize=<file size in bytes>`	YARA taraması için dosya boyutunu sınırlayın. Uygulama daha büyük dosyaları atlar.
`excludes <list of objects to be scanned>`	Dosyaları ve klasörleri YARA taramasının dışında tutun. Boşluklarla ayrılmış birden fazla değer belirtebilirsiniz. Aşağıdaki değerler kullanılabilir: Dosya adı Dosya yolu Dosya uzantısı Dosya yolunun maskesi İstisnalar, `scanFolders` parametresiyle belirtilmelidir. Örnek: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – uygulama `readme.txt` dosyasını, `C:\trusted` klasöründeki tüm dosyaları, ve C diskindeki kök klasörde bulunan xml uzantılı tüm dosyaları atlar.
`logFolder <path to the folder for saving the scan results in a TXT file>`	YARA taramasının sonuçlarını belirtilen klasördeki bir dosyaya kaydedin. Uygulama aynı zamanda YARA taramasının sonuçlarını komut satırına çıktı olarak verir.

Komut dönüş değerleri:

-1, bilgisayarda yüklü olan Kaspersky sürümü tarafından komutun desteklenmediği anlamına gelir.
0, komutun başarıyla yürütüldüğü anlamına gelir.
1, komuta zorunlu bir bağımsız değişkenin iletilmediği anlamına gelir.
2, genel bir hata oluştuğu anlamına gelir.
4, bir sözdizimi hatası olduğu anlamına gelir.
5 parametrede belirtilen YARA kurallarına sahip bir veya daha fazla dosyanın bulunamadığı anlamına gelir.

YARA taramasının sonuçlarını Kaspersky Anti Targeted Attack Platform konsolunda görüntüleyebilirsiniz. Kaspersky Security Center'da yalnızca görev durumu kullanılabilir.

Komut başarıyla yürütüldüyse (dönüş değeri 0) ve yol boyunca güvenlik ihlali göstergeleri algılandıysa, Kaspersky Endpoint Security aşağıdaki görev sonucu bilgilerini komut satırına gönderir:

`Offset`	Kaspersky Endpoint Security'nin YARA taraması gerçekleştirdiği nesnedeki sapma.
`Object Name`	Uygulamanın taradığı nesnenin adı.
`Rule Name`	Uygulamanın YARA taraması için kullandığı kuralın adı.

Sayfanın başına git