YARA. YARA-scan starten

De taak Run YARA Scan. Het programma scant bestanden en objecten op aanwijzingen voor gerichte aanvallen op de IT-infrastructuur van het bedrijf met behulp van databases met YARA-regels. YARA-regels zijn beschrijvingen van kenmerken van gerichte aanvallen en inbraken in de IT-infrastructuur van het bedrijf die Kaspersky Endpoint Security gebruikt om objecten te scannen.

Als u een YARA-scan wilt uitvoeren, moet u YARA-bestanden voorbereiden die regels beschrijven. Houd bij het maken van YARA-bestanden rekening met de volgende vereisten:

Kaspersky Endpoint Security ondersteunt YARA-bestanden met de extensies .YARA en .YAR die voldoen aan de open YARA 4.2.3-standaard voor het beschrijven van indicatoren van compromis.
Alleen bestanden met YARA-regels kan voor de taak worden opgegeven. De YARA-scan uitvoeren taak ondersteunt geen andere soorten regels.
Als u YARA-bestanden hebt toegevoegd die Kaspersky Endpoint Security niet ondersteunt, of als de regels syntaxisfouten bevatten, wordt de taak afgebroken met het bijbehorende foutbericht.
De ID's van alle IOC files gebruikt in een enkele taak moeten uniek zijn. Als er YARA-bestanden zijn met dezelfde ID, kan dit van invloed zijn op de resultaten van de taakuitvoering.
Een YARA-scan wordt afgebroken na 128 overeenkomsten met indicatoren die worden beschreven in de YARA-regels. Dit is nodig om het aantal items in het YARA-scanrapport te beperken om de analyse ervan te vergemakkelijken en om te voorkomen dat het rapport overloopt vanwege onnauwkeurig geformuleerde YARA-regels die een groot aantal overeenkomsten kunnen genereren.

Kaspersky raadt aan om één regel per YARA-bestand aan te maken. Hierdoor zijn de scanresultaten beter leesbaar.

Een YARA-scan kan veel tijd in beslag nemen. Afhankelijk van de grootte van de schijf, de taakinstellingen en het aantal objecten op de schijf, kan een YARA-scan enkele minuten tot enkele uren duren. Het programma toont geen voortgangsindicator. Het is niet mogelijk om een YARA-scan te stoppen of te annuleren. U wordt geadviseerd te wachten tot de resultaten van een YARA-scan beschikbaar zijn.

Syntaxis van opdracht

avp.com YARA <full path to the YARA file>|/path=<path to the folder with YARA files> [<advanced settings>]

YARA-bestanden

<full path to the YARA file>

Volledig pad naar het YARA-bestand dat u wilt gebruiken voor het scannen. U kunt paden naar meerdere YARA-bestanden opgeven, gescheiden door spaties.

Vereist argument als de /path=<path to the folder with YARA files> waarde is niet opgegeven.

Voorbeeld:

C:\Users\Admin\Desktop\YARA\file1.yar C:\Users\Admin\Desktop\YARA\file2.yar

/path=<path to the folder with YARA files>

Volledige pad naar een map met YARA-bestanden die u wilt gebruiken voor de scan.

Vereist argument als de <full path to the YARA file> waarde is niet opgegeven.

Voorbeeld:

/path=C:\Users\Admin\Desktop\YARA

Geavanceerde instellingen
`/fastScan=<on\|off>`	Snelle YARA-scan. Voor elk object registreert het programma één exemplaar van de gedetecteerde indicator. Het programma verbergt ook duplicaten van gedetecteerde indicatoren in het logboek. Met Snelle YARA-scan kunt u grote bestanden sneller scannen. Als deze instelling niet wordt opgegeven, voert het programma een standaard YARA-scan uit. In deze modus registreert het programma duplicaten van gedetecteerde indicatoren.
`/maxRules=<maximum number of scan rules>`	Limiet voor het aantal unieke geactiveerde regels waarbij het programma de YARA-scan stopt zodra dit aantal wordt bereikt. Als de waarde van deze instelling niet is opgegeven of als `0` is opgegeven, voert het programma de YARA-scan zonder beperkingen uit.
`/timeOut=<stop scan after the specified time in seconds>`	Limiet van de duur van de YARA-scan in seconden. Wanneer deze tijd om is, stopt het programma de YARA-scan. Als de waarde van deze instelling niet is opgegeven of als `0` is opgegeven, voert het programma de YARA-scan zonder beperkingen uit.
`/recursive=<on\|off>`	Dit argument start een recursieve scan van submappen in de `/scanFolders` Aangepaste Scan.
`/scanFolders=<list of folders to be scanned>`	Dit argument start een YARA-scan van bestanden in de opgegeven lijst met mappen. U kunt meerdere waarden opgeven, gescheiden door spaties. Kaspersky Endpoint Security biedt geen ondersteuning voor de tekens `*` en `?` bij het invoeren van een padmasker. Als deze instelling niet is opgegeven, voert het programma een YARA-scan uit op alle lokale schijven, behalve gedeelde netwerkschijven, cloudstations en verwisselbare media.
`/scanMemory=<on\|off>`	Scan het geheugen van alle actieve processen.
`/scanProcess=<process name>`	Geheugen aleen scannen op de opgegeven processen. Geef door spaties gescheiden volledige paden op naar uitvoerbare bestanden van processen. U kunt ook `*` en `?` tekens om een masker in te voeren.
`/maxSize=<file size in bytes>`	Bestandsgrootte-limiet voor de YARA-scan. Het programma slaat grotere bestanden over.
`/includes=<list of objects to be scanned>`>	Scanbereik bewerken. U kunt meerdere waarden opgeven, gescheiden door spaties. De volgende waarden zijn beschikbaar: Bestandsnaam Bestandsextensie Scanbereik moet worden opgegeven met de `/scanFolders` parameter. Voorbeeld: `/scanFolders C:\. /includes=.exe .dll` – het programma scant alle bestanden met de extensie .EXE en .DLL op schijf C.
`/excludes=<list of objects to be scanned>`	Bestanden uitsluiten van de YARA-scan. U kunt meerdere waarden opgeven, gescheiden door spaties. De volgende waarden zijn beschikbaar: Het bestandspad Masker van het bestandspad Uitzonderingen moeten worden opgegeven met de `/scanFolders` parameter. Voorbeeld: `/scanFolders C:\. /excludes readme.txt C:\trusted\. *.xml` – het programma slaat de readme.txt bestand over, alle bestanden van de C:\trusted map en alle bestanden met de extensie xml in de hoofdmap op schijf C.
`/scanAutoruns=<on\|off>`	YARA scant automatisch gestarte puntobjecten.
`/excludeAutoruns=<list of autorun point areas to skip>`	Automatisch uitgevoerde puntobjecten worden uitgesloten van het scanbereik. Geef door spaties gescheiden volledige paden op naar uitvoerbare bestanden van processen. U kunt ook `*` en `?` tekens om een masker in te voeren.
`/logFolder=<path to the folder for saving the scan results in a TXT file>`	Als u een pad naar een map opgeeft, slaat het programma de scanresultaten op het opgegeven pad op in een bestand met de naam yara_<computer name> _<scan completion time> .txt. Als u een pad naar een specifiek TXT-bestand opgeeft, slaat het programma de scanresultaten in dat bestand op. Bijvoorbeeld: `/logFolder=C:\test` of `/logFolder=C:\test\abc.txt`. Scanresultaten worden naar de opdrachtregel uitgevoerd, ongeacht of de `/logFolder` optie is opgegeven.

Resultaatwaarden opdracht:

-1 betekent dat de opdracht niet wordt ondersteund door de versie van eht programma dat op het apparaat is geïnstalleerd.
0 – de opdracht is succesvol voltooid.
1 betekent dat een verplicht argument niet is doorgegeven aan de opdracht.
2 betekent dat er zich een algemene fout heeft voorgedaan.
4 betekent dat er een syntaxfout was.
5: Een of meer YARA-regels die in het argument zijn opgegeven kon niet worden gevonden.

Als de opdracht succesvol is uitgevoerd (returnwaarde 0) en Indicators of Compromise zijn gedetecteerd, geeft Kaspersky Endpoint Security de volgende taakresultaten weer op de opdrachtregel:

`Started at <time>` `Finished at <time>`	Begintijd en voltooiingstijd van een scan.
`Host name: <computer name>`	De naam van de computer waarop het object is gedetecteerd.
`Result: <error>`	Foutcode voor de fout die is opgetreden tijdens het uitvoeren van de taak. Als er geen fouten zijn, voert het programma uit `0x00000000`.
`Comment: <comment text>`	Foutbeschrijving voor de fout die is opgetreden tijdens het uitvoeren van de taak. Bijvoorbeeld `Operation timeout`.
`Object Name:` of `Process:` (tijdens het scannen van het procesgeheugen)	De naam van het object of proces waarvoor de YARA-regel is geactiveerd.
`Md5: <md5 hash>` `Sha256: <sha256 hash>`	Hashes van het object waarvoor de YARA-regel is geactiveerd.
`Rule Name`	De naam van de geactiveerde YARA-regel.
`Meta:` `Author: <author>` `Date: <date>` `Description: <description>`	Metagegevens opgegeven in de YARA-regel.
`Detects:` `Offset : String name : String data` `<offset> : <string name> : <string data>`	Gevonden overeenkomsten binnen het object die voldoen aan de voorwaarden van de YARA-regel: Offset in het procesgeheugen of bestand waar een overeenkomst is gevonden (`Offset`). De naam van de overeenkomende tekenreeks in de YARA-regel (`String name`). De overeenkomende tekenreeks in het procesgeheugen of bestand (`String data`).

Naar boven