Импорт YARA-правил

Open Single Management Platform использует YARA-правила для проверки файлов, отправляемых в Open Single Management Platform, и для проверки устройств.

Open Single Management Platform импортирует YARA-правила из файла, содержащего YARA-правила. Один файл может содержать несколько YARA-правил. Open Single Management Platform анализирует файл, извлекает правила и добавляет их в список правил.

Список YARA-правил доступен в интерфейсе Консоли OSMP → Обнаружение и реагирование → Ресурсы и сервисы → YARA-правила.

Чтобы импортировать YARA-правила:

1. В главном окне приложения перейдите в раздел Обнаружение и реагирование → Ресурсы и сервисы → YARA-правила.

   Откроется список YARA-правил.

2. Нажмите на кнопку Импорт.
3. В открывшейся панели справа Импорт YARA-правил настройте следующие параметры:
   • Выберите Тенант.
   • В поле Важность любого YARA-правила по умолчанию задано значение Высокая и это значение невозможно изменить. Open Single Management Platform присваивает это значение алерту, создаваемому в результате срабатывания YARA-правила.
   • Если вы хотите, чтобы приложение Open Single Management Platform использовало все импортированные правила для проверки файлов, отправляемых в Open Single Management Platform, включите переключатель Проверка файлов.

     Вы также можете включить любое правило в список YARA-правил для проверки файлов позже, включив переключатель в столбце Проверка файлов списка YARA-правил.

     Эта функция доступна только для корневого тенанта.

   • Укажите описание (необязательно).
4. Загрузите файл с YARA-правилами.

   При загрузке файла Open Single Management Platform извлекает правила из файла и отображает информацию об извлеченных правилах.

5. Нажмите на кнопку Импорт.

Импортированные правила отобразятся в списке YARA-правил.

В начало