YARA. Spuštění kontroly YARA

Spuštění úlohy Spustit kontrolu YARA. Aplikace kontroluje soubory a objekty, zda neobsahují indikátory cílených útoků na podnikovou IT infrastrukturu pomocí databází pravidel YARA. Pravidla YARA jsou popisy signatur cílených útoků a narušení podnikové infrastruktury IT, které Kaspersky Endpoint Security používá ke kontrole objektů.

Chcete-li spustit kontrolu YARA, musíte připravit soubory YARA, které popisují pravidla. Při vytváření souborů YARA zvažte následující požadavky:

Kaspersky Endpoint Security podporuje soubory YARA s příponou .YARA nebo .YAR, které dodržují otevřený standard YARA 4.2.3 pro popis indikátorů narušení.
Pro úlohu lze zadat pouze soubory s pravidly YARA. Úloha Spustit kontrolu YARA nepodporuje jiné typy pravidel.
Pokud jste přidali soubory YARA, které Kaspersky Endpoint Security nepodporuje, nebo pokud pravidla obsahují chyby syntaxe, úloha bude přerušena s příslušnou chybovou zprávou.
Identifikátory všech souborů YARA používaných v jedné úloze musí být jedinečné. Pokud neexistují žádné soubory YARA se stejným identifikátorem, může to mít vliv na výsledky provádění úlohy.
Kontrola YARA je přerušena po 128 shodách s indikátory popsanými v pravidlech YARA. Je to nutné k omezení počtu položek ve zprávě o kontrole YARA, aby se usnadnila analýza a aby byla zpráva chráněna před přetečením z důvodu nepřesně formulovaných pravidel YARA, což může generovat velké množství shod.

Kaspersky doporučuje vytvořit jedno pravidlo pro každý soubor YARA. Výsledky kontroly jsou tak čitelnější.

Kontrola YARA může trvat dlouho. V závislosti na velikosti jednotky, nastavení úlohy a počtu objektů na disku může kontrola YARA trvat od několika minut až po několik hodin. Aplikace nezobrazuje indikátor průběhu. Zastavit ani zrušit kontrolu YARA nelze. Doporučujeme vám počkat, až budou k dispozici její výsledky.

Syntaxe příkazu

avp.com YARA <full path to the YARA file>|/path=<path to the folder with YARA files> [<advanced settings>]

Soubory YARA

<full path to the YARA file>

Úplná cesta k souboru YARA, který chcete použít pro kontrolu. Můžete zadat cesty k více souborům YARA odděleným mezerami.

Povinný argument, pokud není zadána hodnota /path=<path to the folder with YARA files>.

Příklad:

C:\Users\Admin\Desktop\YARA\file1.yar C:\Users\Admin\Desktop\YARA\file2.yar

/path=<path to the folder with YARA files>

Úplná cesta ke složce se soubory YARA, které chcete použít pro kontrolu.

Povinný argument, pokud není zadána hodnota <full path to the YARA file>.

Příklad:

/path=C:\Users\Admin\Desktop\YARA

Rozšířené nastavení
`/fastScan=<on\|off>`	Rychlá kontrola YARA. U každého objektu aplikace protokoluje jeden výskyt zjištěného indikátoru. Aplikace také v protokolu skryje duplikáty zjištěných indikátorů. Rychlá kontrola YARA umožňuje rychlejší kontrolu velkých souborů. Není-li toto nastavení zadáno, aplikace provede standardní kontrolu YARA. V tomto režimu aplikace protokoluje duplikáty zjištěných indikátorů.
`/maxRules=<maximum number of scan rules>`	Limit počtu jedinečných aktivovaných pravidel, při jehož dosažení aplikace zastaví kontrolu YARA. Pokud není zadaná hodnota tohoto nastavení nebo pokud je zadána hodnota `0`, aplikace provede kontrolu YARA bez omezení.
`/timeOut=<stop scan after the specified time in seconds>`	Limit délky trvání kontroly YARA v sekundách. Po uplynutí této doby aplikace zastaví kontrolu YARA. Pokud není zadaná hodnota tohoto nastavení nebo pokud je zadána hodnota `0`, aplikace provede kontrolu YARA bez omezení.
`/recursive=<on\|off>`	Tento argument spouští rekurzivní kontrolu podsložek v rámci vlastní kontroly `/scanFolders`.
`/scanFolders=<list of folders to be scanned>`	Tento argument spustí kontrolu souborů v zadaném seznamu složek YARA. Můžete zadat více hodnot oddělených mezerami. Při zadávání masky cesty ke složce podporuje aplikace Kaspersky Endpoint Security znaky `*` a `?`. Pokud toto nastavení není zadáno, aplikace provede kontrolu YARA všech místních disků kromě síťových sdílených položek, cloudových jednotek a vyměnitelných médií.
`/scanMemory=<on\|off>`	Kontrola paměti všech spuštěných procesů.
`/scanProcess=<process name>`	Kontrola paměti pouze pro uvedené procesy. Zadejte úplné cesty ke spustitelným souborům procesů oddělené mezerami. Můžete také zadat masku pomocí znaků `*` a `?`.
`/maxSize=<file size in bytes>`	Limit velikosti souboru pro kontrolu YARA. Aplikace přeskakuje větší soubory.
`/includes=<list of objects to be scanned>`>	Úprava rozsahu kontroly. Můžete zadat více hodnot oddělených mezerami. K dispozici jsou následující hodnoty: Název souboru Přípona souboru Rozsah kontroly je třeba specifikovat s parametrem `/scanFolders`. Příklad: `/scanFolders C:\. /includes=.exe .dll` – aplikace kontroluje všechny soubory s příponami EXE a DLL na disku C.
`/excludes=<list of objects to be scanned>`	Vyloučení souborů z kontroly YARA. Můžete zadat více hodnot oddělených mezerami. K dispozici jsou následující hodnoty: Cesta k souboru Maska cesty k souboru Výjimky je třeba specifikovat s parametrem `/scanFolders`. Příklad: `/scanFolders C:\. /excludes readme.txt C:\trusted\. *.xml` – aplikace přeskočí soubor readme.txt, všechny soubory ze složky C:\trusted a všechny soubory s příponou XML v kořenové složce na disku C.
`/scanAutoruns=<on\|off>`	Kontrola YARA objektů bodu automatického spouštění.
`/excludeAutoruns=<list of autorun point areas to skip>`	Objekty bodu automatického spuštění jsou z rozsahu kontroly vyloučeny. Zadejte úplné cesty ke spustitelným souborům procesů oddělené mezerami. Můžete také zadat masku pomocí znaků `*` a `?`.
`/logFolder=<path to the folder for saving the scan results in a TXT file>`	Pokud zadáte cestu ke složce, aplikace uloží výsledky kontroly v zadané cestě do souboru s názvem yara_<název počítače>_<čas dokončení kontroly>.txt. Pokud zadáte cestu ke konkrétnímu souboru TXT, aplikace uloží výsledky kontroly do tohoto souboru. Například: `/logFolder=C:\test` nebo `/logFolder=C:\test\abc.txt`. Výsledky kontroly jsou výstupem do příkazového řádku bez ohledu na to, zda je zadána možnost `/logFolder`.

Návratové hodnoty příkazů:

-1 znamená, že příkaz není podporován verzí aplikace, která je v počítači nainstalována.
0 – příkaz byl úspěšně proveden.
1 znamená, že příkazu nebyl předán povinný argument.
2 znamená, že došlo k obecné chybě.
4 znamená, že došlo k chybě syntaxe.
5: Jeden nebo více souborů pravidel YARA uvedených v argumentu nebylo možné najít.

Pokud byl příkaz úspěšně proveden (návratová hodnota 0) a přitom byly detekovány indikátory narušení, aplikace Kaspersky Endpoint Security odesílá na příkazový řádek následující informace o výsledku úlohy:

`Started at <time>` `Finished at <time>`	Čas zahájení a čas dokončení kontroly.
`Host name: <computer name>`	Název počítače, na kterém byl objekt zjištěn.
`Result: <error>`	Kód chyby pro chybu, ke které došlo při provádění úlohy. Pokud se nevyskytnou žádné chyby, výstup aplikace je `0x00000000`.
`Comment: <comment text>`	Popis chyby pro chybu, ke které došlo při provádění úlohy. Například `Operation timeout`.
`Object Name:` nebo `Process:` (při kontrole paměti procesu)	Název objektu nebo procesu, u kterého bylo aktivováno pravidlo YARA.
`Md5: <md5 hash>` `Sha256: <sha256 hash>`	Hodnota hash objektu, u kterého bylo aktivováno pravidlo YARA.
`Rule Name`	Název aktivovaného pravidla YARA.
`Meta:` `Author: <author>` `Date: <date>` `Description: <description>`	Metadata jsou určena v pravidlu YARA.
`Detects:` `Offset : String name : String data` `<offset> : <string name> : <string data>`	V rámci objektu byly nalezeny shody, které splňují podmínky pravidla YARA: Posun v paměti procesu nebo souboru, kde byla detekována shoda (`Offset`). Název odpovídajícího řetězce v pravidle YARA (`String name`). Odpovídající řetězec v paměti procesu nebo souboru (`String data`).

Začátek stránky