Сканирование YARA

Сканирование YARA – это поиск сигнатур вредоносной активности на устройствах с помощью файлов YARA, скачанных вручную с помощью Консоли OSMP.

Для выполнения сканирования YARA у вас должно быть:

• Установленный на ваших устройствах Kaspersky Endpoint Security со встроенным агентом.
• Хотя бы одно правило в списке YARA-правил.

Чтобы выполнить сканирование YARA:

1. Выберите действие по реагированию Сканирование YARA.

   Откроется панель Запустить сканирование YARA.

2. В раскрывающемся списке Правила выберите одно или несколько YARA-правил.

   Вы можете ввести название правила или несколько знаков из названия правила.

   Максимальное число правил, которые вы можете указать, – 200.

3. В раскрывающемся списке Область проверки выполните следующие действия:
   1. Выберите параметры и укажите из значения:
      • Оперативная память – для сканирования процессов, запущенных на момент выполнения реагирования.

        Этот вариант выбран по умолчанию, в группе параметров Проверить выбран параметр Все процессы.

        Если вы хотите выполнить сканирование определенных процессов, в группе параметров Проверить выберите параметр Заданные процессы, а затем введите имя одного или нескольких процессов, которые нужно проверить. Иначе будет выполнено сканирование всех процессов.

        Приложение не проверяет процессы с низким уровнем приоритета.

      • Точки автозапуска сканируют точки автозапуска, полученных от действия по реагированию Данные для расследования.

        Укажите тип проверки:

        • Быстрая проверка. Сканируются все точки автозапуска, за исключением COM-объектов.
        • Полная проверка. Сканируются все точки автозапуска, а также файлы, связанные с ними.

        Список поддерживаемых точек автозапуска

        Поддерживаются следующие типы точек автозапуска:

        • Logon
        • Shell
        • Office
        • Browsers
        • Scheduler
        • Services
        • Drivers
        • Cryptography
        • Debuggers
        • COM
        • SessionManager
        • Network
        • LSA
        • Applications
        • WMI
        • GroupPolicy
        • DriverLog
        • BootLog
        • Процесс
        • OsUpdate
        • Printer
        • Не указана
        • OsLoader
        • EfiLoader
      • Все локальные диски – для выполнения сканирования файлов, хранящихся во всех папках на локальных дисках.

        Сканирование всех локальных дисков может вызвать высокую нагрузку на устройство.

      • Заданные директории – для сканирования файлов, находящихся в указанной директории и всех вложенных в нее папках.

        Вам нужно указать полный путь к директории в соответствующем поле, добавив маску * в конце, чтобы включить поддиректории, например, C:\Users\Administrator\Desktop\*.

   2. При необходимости в соответствующих полях укажите следующие параметры для выбранного параметра:
      • Максимальная продолжительность проверки (в часах)

        Значение по умолчанию – 23. По истечении указанного времени проверка останавливается, даже если некоторые правила не были применены для проверки устройств. Результат действия по реагированию содержит данные, актуальные на момент остановки проверки.

      • Исключения

        Укажите короткие имена процессов или маску файлов, которые вы хотите добавить в исключения из сканирования. Если на устройстве запущено несколько процессов с одинаковыми именами, приложение исключает все такие процессы из сканирования.

4. При необходимости настройте следующие параметры:
   • Укажите тенант.

     Если вы выполнили действие по реагированию из списка YARA-правил и выбрали правила, принадлежащие разным тенантам, поле Тенант будет пусто. Вам нужно вручную указать тенант, для устройств которого вы хотите выполнить сканирование YARA.

   • Измените область действия по реагированию.

     По умолчанию в группе параметров Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы ранее установили флажки. На этих устройствах будет выполняться сканирование YARA.

     Вы можете изменить устройства для проверки или выбрать вариант Все активы в группе параметров Область действия для проверки всех устройств, принадлежащих тенанту алерта или инцидента и его дочерним тенантам.

     Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
     Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   • В поле Описание напишите описание или комментарий к действию по реагированию.
5. Нажмите на кнопку Запустить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

В столбце Активы нужно перейти по ссылке с количеством активов, для которых было запущено сканирование YARA. В открывшемся окне с выбранной вкладкой Результат вы можете просмотреть статус сканирования для каждого YARA-правила. Если при сканировании будет обнаружена угроза, будет создан соответствующий алерт. Вы можете перейти к алерту из результатов выполнения действия по реагированию.

Если не удалось завершить действие по реагированию, отображается сообщение об ошибке с информацией о причине ошибки.

В начало