YARA. Esecuzione della scansione YARA

Esecuzione dell'attività Esegui scansione YARA. L'applicazione esegue la scansione di file e oggetti alla ricerca di indicatori di attacchi mirati nell'infrastruttura IT aziendale utilizzando i database delle regole YARA creati dagli utenti di Kaspersky Anti Targeted Attack Platform. Una regola YARA è una classificazione del malware disponibile pubblicamente che contiene firme di indicatori di attacchi mirati e intrusioni nell'infrastruttura IT aziendale utilizzati da Kaspersky Anti Targeted Attack Platform per eseguire la scansione di file e oggetti.

Per eseguire una scansione YARA, è necessario preparare i file YARA che descrivono le regole. Durante la creazione dei file YARA, considerare i seguenti requisiti:

Kaspersky Endpoint Security supporta i file YARA con le estensioni yara o yar, che sono conformi allo standard aperto YARA 4.0.2 per la descrizione degli indicatori di compromissione.
Per l'attività può essere specificato solo un file con regole YARA. L'attività Esegui scansione YARA non supporta altri tipi di regole.
Se sono stati aggiunti file YARA che Kaspersky Endpoint Security non supporta o se le regole contengono errori di sintassi, l'attività viene interrotta e viene visualizzato il messaggio di errore corrispondente.
Gli identificatori di tutti i file YARA utilizzati in una singola attività Scansione IOC devono essere univoci. Se sono presenti file YARA con lo stesso identificatore, potrebbe influire sui risultati dell'esecuzione dell'attività.
Una scansione YARA viene interrotta dopo 128 corrispondenze con gli indicatori descritti nelle regole YARA. Ciò è necessario per limitare il numero di voci nel rapporto di scansione YARA, in modo da semplificare l'analisi e proteggere il rapporto dall'overflow a causa di regole YARA formulate in modo impreciso che possono generare un elevato numero di corrispondenze.

Kaspersky consiglia di creare una regola per ogni file YARA. Questo rende i risultati della scansione più leggibili.

Sintassi del comando

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

File YARA

<full path to the YARA file>

Percorso completo del file YARA che si desidera utilizzare per la scansione. È possibile specificare più file YARA separati da spazi. Il percorso completo del file YARA deve essere inserito senza l'argomento /path.

Ad esempio, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Percorso della cartella con i file YARA che si desidera utilizzare per la scansione.

Ad esempio, /path=C:\Users\Admin\Desktop\YARA.

Impostazioni avanzate
`fastScan`	Scansione YARA rapida. Per ogni oggetto, l'applicazione registra un'occorrenza dell'indicatore rilevato. L'applicazione nasconde inoltre i duplicati degli indicatori rilevati nel registro. Scansione YARA rapida consente di eseguire più rapidamente la scansione di file di grandi dimensioni. Se questa impostazione non viene specificata, l'applicazione esegue una scansione YARA standard. In questa modalità, l'applicazione registra i duplicati degli indicatori rilevati.
`maxRules=<maximum number of scan rules>`	Quante regole univoche devono essere attivate affinché l'applicazione arresti la scansione YARA. Se il valore di questa impostazione non è specificato o seviene specificato `0`, l'applicazione esegue la scansione YARA senza limitazioni.
`timeOut=<stop scan after the specified time in seconds>`	Quanto tempo può richiedere una scansione YARA, in secondi. Allo scadere di questo tempo, l'applicazione arresta la scansione YARA. Se il valore di questa impostazione non è specificato o seviene specificato `0`, l'applicazione esegue la scansione YARA senza limitazioni.
`recursive`	Scansione ricorsiva delle sottocartelle durante l'esecuzione di una Scansione personalizzata (`scanFolder`).
`scanMemory`	Scansione della memoria di tutti i processi in esecuzione.
`scanFolders <list of folders to be scanned>`	Scansione personalizzata. L'applicazione esegue la scansione delle cartelle selezionate dall'utente. Se questa impostazione non viene specificata, l'applicazione esegue una scansione YARA di tutti i dischi locali ad eccezione delle condivisioni di rete, delle unità cloud e dei supporti rimovibili.
`scanProcess <process name>`	Esegue la scansione della memoria solo per i processi specificati. Kaspersky Endpoint Security supporta i caratteri `*` e `?` quando si inserisce una maschera:
`maxFileSize=<file size in bytes>`	Limita le dimensioni del file per la scansione YARA. L'applicazione ignora i file di grandi dimensioni.
`excludes <list of objects to be scanned>`	Esclude file e cartelle dalla scansione YARA. È possibile specificare più valori separati da spazi. Sono disponibili i seguenti valori: Nome file Percorso del file Estensione file Maschera del percorso del file Le esclusioni devono essere specificate con il parametro `scanFolders`. Esempio: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml`: l'applicazione ignora il file `readme.txt`, tutti i file della cartella `C:\trusted` e tutti i file con estensione xml nella cartella radice sul disco C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Salvare i risultati della scansione YARA in un file nella cartella specificata. Inoltre, l'applicazione invia i risultati della scansione YARA alla riga di comando.

Valori restituiti dal comando:

-1 indica che il comando non è supportato dalla versione dell'applicazione installata nel computer.
0 indica che il comando è stato eseguito correttamente.
1 indica che un argomento obbligatorio non è stato passato al comando.
2 indica che si è verificato un errore generale.
4 indica la presenza di un errore di sintassi.
5 significa che uno o più file con le regole YARA specificate nel parametro non sono stati trovati.

È possibile visualizzare i risultati di una scansione YARA nella console Kaspersky Anti Targeted Attack Platform. Solo lo stato delle attività è disponibile in Kaspersky Security Center.

Se il comando è stato eseguito correttamente (valore restituito 0) e sono stati rilevati indicatori di compromissione sul percorso, Kaspersky Endpoint Security restituisce le seguenti informazioni sui risultati dell'attività alla riga di comando:

`Offset`	Offset nell'oggetto per cui Kaspersky Endpoint Security sta eseguendo una scansione YARA.
`Object Name`	Nome dell'oggetto che sta eseguendo la scansione dell'applicazione.
`Rule Name`	Nome della regola utilizzata dall'applicazione per la scansione YARA.

Inizio pagina