YARA. YARA-Untersuchung ausführen

Start der Aufgabe YARA-Untersuchung ausführen. Das Programm untersucht Dateien und Objekte auf Indikatoren für gezielte Angriffe gegen die IT-Infrastruktur des Unternehmens. Die Untersuchung erfolgt anhand von Datenbanken mit YARA-Regeln, die von Kaspersky Anti Targeted Attack Platform-Benutzern erstellt wurden. Eine YARA-Regel ist eine öffentlich verfügbare Schadsoftware-Klassifikation, die Signaturen von Indikatoren für gezielte Angriffe und für das Eindringen in die IT-Infrastruktur eines Unternehmens enthält. Diese Signaturen werden von Kaspersky Anti Targeted Attack Platform zur Untersuchung von Dateien und Objekten verwendet.

Um eine YARA-Untersuchung auszuführen, müssen Sie YARA-Dateien mit Regelbeschreibungen vorbereiten. Beim Erstellen von YARA-Dateien sind die folgenden Anforderungen zu beachten:

Kaspersky Endpoint Security unterstützt YARA-Dateien mit den Erweiterungen yara oder yar, die dem offenen Standard YARA 4.0.2 zur Beschreibung von Kompromittierungsindikatoren entsprechen.
Für die Aufgabe kann nur eine Datei mit YARA-Regeln angegeben werden. Die Aufgabe YARA-Untersuchung ausführen unterstützt keine anderen Regeltypen.
Wenn Sie YARA-Dateien hinzugefügt haben, die von Kaspersky Endpoint Security nicht unterstützt werden, oder wenn die Syntax der Regeln fehlerhaft ist, wird die Aufgabe mit einer Fehlermeldung abgebrochen.
Die Identifikatoren aller YARA-Dateien, die in einer einzelnen Aufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von YARA-Dateien mit dem gleichen Identifikator kann sich auf die Ergebnisse der Aufgabenausführung auswirken.
Eine YARA-Untersuchung wird nach 128 Übereinstimmungen mit den in YARA-Regeln beschriebenen Indikatoren abgebrochen. Dies ist erforderlich, um die Anzahl der Einträge im Bericht der YARA-Untersuchungsaufgabe zu begrenzen. Dadurch wird die Analyse vereinfacht und es wird verhindert, dass der Bericht aufgrund ungenau formulierter YARA-Regeln zu groß wird. Solche Regeln könnten zu einer sehr hohen Anzahl von Übereinstimmungen führen.

Kaspersky empfiehlt, jeweils eine Regel pro YARA-Datei zu erstellen. Dies verbessert die Lesbarkeit der Untersuchungsergebnisse.

Eine YARA-Untersuchung kann relativ zeitaufwendig sein. Je nach Laufwerksgröße, Aufgabeneinstellungen und Anzahl der Objekte auf dem Datenträger kann eine YARA-Untersuchung mehrere Minuten oder sogar Stunden dauern. Das Programm zeigt den Fortschritt der Untersuchung nicht an. Eine YARA-Untersuchung kann nicht beendet oder abgebrochen werden. Es wird empfohlen, abzuwarten, bis die Ergebnisse einer YARA-Untersuchung verfügbar sind.

Befehlssyntax

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA-Dateien

<full path to the YARA file>

Vollständiger Pfad der YARA-Datei, die Sie zur Untersuchung verwenden möchten. Sie können mehrere durch Leerzeichen getrennte YARA-Dateien angeben. Der vollständige Pfad der YARA-Datei muss ohne das Argument /path angegeben werden.

Beispiel: C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Pfad des Ordners mit den YARA-Dateien, die Sie zur Untersuchung verwenden möchten.

Beispiel: /path=C:\Users\Admin\Desktop\YARA.

Erweiterte Einstellungen
`fastScan`	Schnelle YARA-Untersuchung. Das Programm protokolliert das Vorkommen eines gefundenen Indikators für jedes Objekt nur einmal. Außerdem blendet das Programm Duplikate von gefundenen Indikatoren im Protokoll aus. Mit der schnellen YARA-Untersuchung können große Dateien schneller untersucht werden. Wenn diese Einstellung nicht angegeben ist, führt das Programm eine standardmäßige YARA-Untersuchung durch. In diesem Modus protokolliert das Programm Duplikate der gefundenen Indikatoren.
`maxRules=<maximum number of scan rules>`	Anzahl der eindeutigen Regeln, die ausgelöst werden müssen, damit das Programm die YARA-Untersuchung beendet. Wenn der Wert dieser Einstellung nicht angegeben ist oder wenn `0` angegeben ist, führt das Programm die YARA-Untersuchung ohne Einschränkungen durch.
`timeOut=<stop scan after the specified time in seconds>`	Zulässige Dauer einer YARA-Untersuchung (in Sekunden). Nach Ablauf dieses Zeitraums beendet das Programm die YARA-Untersuchung. Wenn der Wert dieser Einstellung nicht angegeben ist oder wenn `0` angegeben ist, führt das Programm die YARA-Untersuchung ohne Einschränkungen durch.
`recursive`	Unterordner rekursiv untersuchen, wenn eine benutzerdefinierte Untersuchung (`scanFolder`) ausgeführt wird.
`scanMemory`	Den Speicher aller laufenden Prozesse untersuchen.
`scanFolders <list of folders to be scanned>`	Benutzerdefinierte Untersuchung Das Programm untersucht die vom Benutzer ausgewählten Ordner. Wenn diese Einstellung nicht angegeben ist, führt das Programm eine YARA-Untersuchung aller lokalen Laufwerke durch, unter Ausnahme von Netzwerkfreigaben, Cloud-Laufwerken und Wechseldatenträgern.
`scanProcess <process name>`	Arbeitsspeicher nur für die angegebenen Prozessen untersuchen. Kaspersky Endpoint Security unterstützt die Zeichen `*` und `?` bei der Eingabe einer Maske.
`maxFileSize=<file size in bytes>`	Dateigröße für die YARA-Untersuchung begrenzen. Größere Dateien werden vom Programm übersprungen.
`excludes <list of objects to be scanned>`	Dateien und Ordner von der YARA-Untersuchung ausschließen. Sie können mehrere durch Leerzeichen getrennte Werte angeben. Die folgenden Werte sind verfügbar: Dateiname Dateipfad Dateierweiterung Maske des Dateipfads Ausnahmen müssen mit dem Parameter `scanFolders` angegeben werden. Beispiel: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – Das Programm überspringt die Datei `readme.txt`, alle Dateien aus dem Ordner `C:\trusted` und alle Dateien mit der Erweiterung xml im Stammordner von Datenträger C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Ergebnisse der YARA-Untersuchung in einer Datei im angegebenen Ordner speichern. Das Programm gibt die Ergebnisse der YARA-Untersuchung auch in der Befehlszeile aus.

Rückgabewerte des Befehls:

-1 bedeutet: Die auf dem Computer installierte Version des Programms unterstützt den Befehl nicht.
0 bedeutet: Der Befehl wurde erfolgreich ausgeführt.
1 bedeutet: Dem Befehl wurde kein obligatorisches Argument übergeben.
2 bedeutet: Ein allgemeiner Fehler ist aufgetreten.
4 bedeutet: Ein Syntaxfehler ist aufgetreten.
5 bedeutet: Eine oder mehrere Dateien mit den im Parameter angegebenen YARA-Regeln wurden nicht gefunden.

Die Ergebnisse einer YARA-Untersuchung können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform einsehen. In Kaspersky Security Center ist nur der Aufgabenstatus verfügbar.

Wenn der Befehl erfolgreich ausgeführt wurde (Rückgabewert 0) und dabei Kompromittierungsindikatoren erkannt wurden, gibt Kaspersky Endpoint Security die folgenden Informationen zu den Aufgabenergebnissen an die Befehlszeile aus:

`Offset`	Offset im Objekt, für das Kaspersky Endpoint Security eine YARA-Untersuchung durchführt.
`Object Name`	Name des Objekts, das vom Programm untersucht wird.
`Rule Name`	Name der Regel, die das Programm für die YARA-Untersuchung verwendet.

Nach oben