Импорт правил YARA
Чтобы импортировать правила YARA:
- В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
- Нажмите на кнопку Загрузить.
Откроется окно выбора файлов.
- Выберите файл правил YARA, который вы хотите загрузить, и нажмите на кнопку Открыть.
Окно выбора файлов закроется, откроется окно Импорт правил YARA.
Максимальный допустимый размер загружаемого файла – 20 МБ.
В нижней части окна отображается отчет. В отчете содержится следующая информация:
- Количество правил, которые могут быть успешно импортированы.
- Количество правил, которые не будут импортированы (если такие есть).
Для каждого правила, которое не может быть импортировано, указывается его название.
- Установите флажок Проверка трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node.
- При необходимости в поле Описание введите любую дополнительную информацию.
Поле Важность недоступно для редактирования. По умолчанию обнаружениям, выполненным по загружаемым правилам YARA, будет присвоена высокая степень важности.
- В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правила. На серверах, не отмеченных флажком, проверка с помощью загружаемых правил выполняться не будет. Если снят флажок в строке тенанта (первая строка списка), то серверы этого тенанта, добавляемые в дальнейшем, также не будут проверяться с помощью загружаемых правил.
Блок параметров Область применения отображается только когда вы используете режим распределенного решения и мультитенантности.
- Нажмите на кнопку Сохранить.
Импортированные правила отобразятся в таблице YARA-правил.