YARA. Ejecución de YARA Scan

Ejecutando la tarea Ejecutar análisis YARA. La aplicación analiza archivos y objetos en busca de indicadores de ataques dirigidos a la infraestructura de TI corporativa utilizando bases de datos de reglas YARA creadas por usuarios de Kaspersky Anti Targeted Attack Platform. Una regla YARA es una clasificación de malware disponible públicamente que contiene firmas de indicadores de ataques dirigidos e intrusiones en la infraestructura de TI corporativa que utiliza Kaspersky Anti Targeted Attack Platform para analizar archivos y objetos.

Para ejecutar un análisis YARA, debe preparar archivos YARA que describan las reglas. Al crear archivos YARA, tenga en cuenta los siguientes requisitos:

Kaspersky recomienda crear una regla por archivo YARA. Esto hace que los resultados del análisis sean más legibles.

Sintaxis del comando

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

Archivos de YARA

 

<full path to the YARA file>

Ruta completa al archivo de YARA que desea utilizar para analizar. Puede especificar varios archivos de YARA separados por espacios. La ruta completa al archivo de YARA debe ingresarse sin el argumento /path.

Por ejemplo, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Ruta a la carpeta con archivos de YARA que desea usar para analizar.

Por ejemplo, /path=C:\Users\Admin\Desktop\YARA.

La configuración avanzada

 

fastScan

Análisis YARA rápido. Para cada objeto, la aplicación registra una aparición del indicador detectado. La aplicación también oculta duplicados de indicadores detectados en el registro. El análisis YARA rápido permite analizar archivos grandes más rápido.

Si no se especifica esta configuración, la aplicación realiza un análisis YARA estándar. En este modo, la aplicación registra duplicados de indicadores detectados.

maxRules=<maximum number of scan rules>

Cuántas reglas únicas deben activarse para que la aplicación detenga el análisis YARA.

Si no se especifica el valor de esta configuración o si se especifica 0, la aplicación realiza el análisis YARA sin limitaciones.

timeOut=<stop scan after the specified time in seconds>

Cuánto tiempo puede tomar un análisis YARA, en segundos. Cuando se agota este tiempo, la aplicación detiene el análisis YARA.

Si no se especifica el valor de esta configuración o si se especifica 0, la aplicación realiza el análisis YARA sin limitaciones.

recursive

Analizar subcarpetas de forma recursiva al realizar un análisis personalizado (scanFolder).

scanMemory

Analizar la memoria de todos los procesos en ejecución.

scanFolders <list of folders to be scanned>

Análisis personalizado. La aplicación analiza las carpetas seleccionadas por el usuario.

Si no se especifica esta configuración, la aplicación realiza un análisis YARA de todos los discos locales, excepto los recursos compartidos de red, las unidades de nube y los medios extraíbles.

scanProcess <process name>

Analizar la memoria solo para los procesos especificados. Kaspersky Endpoint Security admite los caracteres * y ? al ingresar una máscara.

maxFileSize=<file size in bytes>

Limitar el tamaño del archivo para el análisis YARA. La aplicación omite los archivos más grandes.

excludes <list of objects to be scanned>

Excluir archivos y carpetas del análisis de YARA. Puede especificar varios valores separados por espacios. Estos son los valores disponibles:

  • Nombre de archivo
  • Ruta de archivo
  • Extensión de archivos
  • Máscara de la ruta del archivo

Las exclusiones deben especificarse con el parámetro scanFolders.

Ejemplo:

scanFolders C:\*.* excludes readme.txt C:\trusted\*.* *.xml: la aplicación omite el archivo readme.txt, todos los archivos de la carpeta C:\trusted y todos los archivos con la extensión xml en la carpeta raíz del disco C.

logFolder <path to the folder for saving the scan results in a TXT file>

Guarde los resultados del análisis de YARA en un archivo de la carpeta especificada. La aplicación también envía los resultados del análisis YARA a la línea de comandos.

Valores de retorno del comando:

Puede ver los resultados de un análisis YARA en la consola de Kaspersky Anti Targeted Attack Platform. Solo el estado de la tarea está disponible en Kaspersky Security Center.

Si el comando se ejecutó con éxito (valor de retorno 0) y se detectaron indicadores de compromiso en el camino, Kaspersky Endpoint Security envía la siguiente información del resultado de la tarea a la línea de comandos:

Offset

Desplazamiento en el objeto para el cual Kaspersky Endpoint Security está realizando un análisis YARA.

Object Name

Nombre del objeto que la aplicación está analizando.

Rule Name

Nombre de la regla que utiliza la aplicación para el análisis YARA.

Inicio de página