Создание задачи проверки хостов с помощью правил YARA

Вы можете проверять хосты компонентом Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:

• В разделе Задачи.

  В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты.

• В разделе Пользовательские правила, подразделе YARA.

  В этом случае создается задача для проверки хостов по выбранным правилам YARA.

Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Задачи:

1. В окне веб-интерфейса приложения выберите раздел Задачи.

   Откроется таблица задач.

2. Нажмите на кнопку Добавить и выберите Запустить YARA-проверку.

   Откроется окно создания задачи.

3. Задайте значения следующих параметров:
   1. Выбрать правила – имя правила. Вы можете ввести название правила или несколько знаков из названия правила и выбрать правило в списке.

      Вы можете добавить несколько правил.

   2. Проверить – область проверки. Выберите один из следующих вариантов:
      • ОЗУ, если вы хотите проверить процессы, запущенные на момент выполнения задачи.

        Приложение не проверяет процессы с низким уровнем приоритета.

      • Точки автозапуска, если вы хотите проверить точки автозапуска, полученные в результате выполнения задачи Собрать форензику.

        Для проверки точек автозапуска вам требуется указать хосты, для которых ранее была выполнена задача Собрать форензику.

      • Указанные директории, если вы хотите проверить файлы, хранящиеся в указанной папке и во всех вложенных папках на момент выполнения задачи.
      • Все локальные диски, если вы хотите проверить файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.

        Проверка всех локальных дисков может создать повышенную нагрузку на хост.

   3. Если вы выбрали ОЗУ, при необходимости выполните следующие действия:
      • В поле Процессы укажите короткие имена процессов или маску файлов, которые хотите проверить.

        Приложение проверяет все запущенные на хосте процессы с одинаковыми именами.

        Если поле Процессы не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения.

      • В поле Исключения укажите короткие имена процессов или маску файлов, которые хотите исключить из проверки.

        Если на хосте запущено несколько процессов с одинаковыми именами, приложение исключит из проверки все эти процессы.

   4. Если вы выбрали Точки автозапуска, в поле Тип проверки выберите тип проверки:
      • Быстрая.

        В этом случае проверяются все точки автозапуска, кроме COM-объектов.

      • Полная.

        В этом случае проверяются все точки автозапуска и связанные с ними файлы.

      Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Security для Windows, вне зависимости от выбранного параметра выполняется полная проверка.

   5. Если вы выбрали Указанные директории, выполните следующие действия:
      • В поле Указанные директории укажите путь к директории в формате C:\<имя директории>\*.
      • В поле Исключения укажите путь к директории в формате C:\<имя директории>\*.
   6. Максимальное время проверки – максимальное время проверки.

      По истечении указанного времени проверка завершится, даже если хосты были проверены не по всем правилам. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.

   7. Описание – описание задачи. Поле необязательно для заполнения.
   8. Задача для – область применения задачи:
      • Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
      • Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.

        Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

        

        Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

        

        Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

      • Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.

Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Пользовательские правила, подразделе YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.
2. Установите флажки слева от правил, с помощью которых вы хотите проверить хосты.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Запустить YARA-проверку.
4. Выполните шаг 3 инструкции, приведенной выше.

Создание задачи будет завершено. Задача запускается автоматически после создания.

Если по результатам проверки будут обнаружены угрозы, Kaspersky Anti Targeted Attack Platform создаст соответствующие алерты.

Для пользователей с ролью Аудитор создание задачи проверки хостов с помощью правил YARA недоступно.

У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.

См. также Работа с задачами Просмотр таблицы задач Просмотр информации о задаче Создание задачи получения файла Создание задачи сбора форензики Создание задачи получения ключа реестра Создание задачи получения метафайлов NTFS Создание задачи получения дампа памяти процесса Создание задачи получения образа диска Создание задачи получения дампа оперативной памяти Создание задачи завершения процесса Создание задачи управления службами Создание задачи выполнения приложения Создание задачи удаления файла Создание задачи помещения файла на карантин Создание задачи восстановления файла из карантина Создание копии задачи Удаление задач Фильтрация задач по времени создания Фильтрация задач по типу Фильтрация задач по имени Фильтрация задач по имени и пути к файлу Фильтрация задач по описанию Фильтрация задач по имени сервера Фильтрация задач по имени пользователя, создавшего задачу Фильтрация задач по состоянию обработки Сброс фильтра задач

В начало