创建任务以使用 YARA 规则扫描主机
您可以使用 YARA 规则扫描具有 Endpoint Agent 组件的主机。为此,您必须创建一个启动 YARA 扫描任务。您可以创建任务:
- 在任务部分。
在这种情况下,在创建任务时,您必须选择要用于扫描主机的 YARA 规则。
- 在自定义规则部分,YARA子部分。
在这种情况下,将创建一个任务来使用选定的 YARA 规则扫描主机。
要使用 YARA 规则创建扫描具有 Kaspersky Endpoint Agent 组件的主机的任务,请在任务部分:
- 在应用程序 Web 界面窗口中选择任务部分。
这将打开任务表。
- 单击添加并选择启动 YARA 扫描。
这将打开任务创建窗口。
- 配置以下设置:
- 选择规则是规则的名称。您可以输入规则名称或规则名称中的字符序列,然后在列表中选择规则。
您可以添加多个规则。
- 扫描是扫描范围。选择以下选项之一:
- 内存,如果您想扫描任务执行时正在运行的进程。
应用程序不扫描低优先级的进程。
- 自动运行点,如果您想扫描从进行取证任务获取的自动运行点。
要扫描自动运行点,您必须指定之前为其运行过进行取证的主机。
- 指定目录,如果您想要扫描在任务执行时位于指定文件夹及其所有嵌套文件夹中的文件。
- 所有本地磁盘,如果您希望扫描任务执行时存储在本地磁盘上所有文件夹中的文件。
扫描所有本地磁盘可能会导致主机负载过高。
- 内存,如果您想扫描任务执行时正在运行的进程。
- 如果您选择了内存,必要时请执行以下操作:
- 在进程字段中,输入要扫描的进程的短名称或文件掩码。
应用程序扫描主机上运行的所有具有相同名称的进程。
如果进程字段留空,应用程序将扫描任务执行时正在运行的所有进程,除了 PID 小于 10 的进程和排除项字段中所列的进程。
- 在排除项字段中,输入要从扫描中排除的进程的短名称或文件掩码。
如果主机上正在运行多个具有相同名称的进程,应用程序将从扫描中排除所有此类进程。
- 在进程字段中,输入要扫描的进程的短名称或文件掩码。
- 如果您选择了自动运行点,在扫描类型字段中,选择扫描类型:
- 快速。
在这种情况下,将扫描除 COM 对象之外的所有自动运行点。
- 全盘。
在这种情况下,将扫描所有自动运行点以及与其相关的文件。
如果您使用 Kaspersky Endpoint Security for Windows 作为 Endpoint Agent 组件,则无论选择的设置如何,都会执行完整扫描。
- 快速。
- 如果您选择了指定目录:
- 在指定目录字段中,以 C:\<目录名称>\* 格式指定目录路径。
- 在排除项字段中,以 C:\<目录名称>\* 格式指定目录路径。
- 最大扫描持续时间是最大扫描持续时间。
当该时间过去后,即使未应用某些规则来扫描主机,扫描也会停止。任务报告包含扫描停止时的最新结果。
- 描述是任务描述。该字段是可选的。
- 任务所有者 — 任务范围:
- 选择规则是规则的名称。您可以输入规则名称或规则名称中的字符序列,然后在列表中选择规则。
若要创建使用 YARA 规则在自定义规则部分的YARA子部分中扫描 Kaspersky Endpoint Agent for Windows 主机的任务:
- 在应用程序 Web 界面窗口中,选择自定义规则部分的YARA子部分。
- 选择扫描主机时要使用的规则左侧的复选框。
控制面板出现在窗口的下部。
- 单击启动 YARA 扫描。
- 执行上述说明的步骤 3。
任务创建完成。任务创建后自动运行。
如果扫描检测到任何威胁,Kaspersky Anti Targeted Attack Platform 会创建相应的警报。
具有安全审计员角色的用户无法创建使用 YARA 规则扫描主机的任务。
具有安全官角色的用户无权访问任务。