YARA：YARA スキャンの実行

YARA スキャンの実行タスクを実行します。本製品は、Kaspersky Anti Targeted Attack Platform のユーザーが作成した YARA ルールのデータベースを使用して、ファイルとオブジェクトをスキャンし、組織の IT インフラストラクチャに対する標的型攻撃のインジケーターを探します。YARA ルールは、Kaspersky Anti Targeted Attack Platform がファイルやオブジェクトをスキャンするために使用する、標的型攻撃や組織の IT インフラストラクチャへの侵入を示すインジケーターのシグネチャを含むマルウェアの分類であり、誰でも使用することができます。

YARA スキャンを実行するには、ルールを記述した YARA ファイルを準備する必要があります。YARA ファイルを作成する際は、次の要件を考慮してください：

Kaspersky Endpoint Security は、侵害インジケーターを記述するための YARA 4.0.2 オープン標準に準拠した yara または yar の拡張子の YARA ファイルをサポートしています。
タスクには YARA ルールを含む 1 つのファイルのみを指定できます。YARA スキャンの実行タスクは、その他のルール種別をサポートしていません。
Kaspersky Endpoint Security でサポートされていない YARA ファイルを追加した場合、またはルールに構文エラーが含まれている場合、対応するエラーメッセージが表示されてタスクが中止されます。
単一のタスクで使用されるすべての YARA ファイルの識別子は一意である必要があります。同じ識別子を持つ YARA ファイルが存在した場合、タスクの実行結果に影響を与えることがあります。
YARA ルールに記述されたインジケーターとの一致が 128 個に達すると、YARA スキャンは中止されます。この動作は、YARA スキャンレポート内の項目数を制限して、分析を容易にし、レポートのオーバーフローを防ぐために必要です。YARA ルールの定式化が不正確だと、膨大な数の一致が生成される可能性があるためです。

1 つの YARA ファイルに 1 つのルールを作成することを推奨します。こうすることで、スキャン結果が読みやすくなります。

コマンド構文

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA ファイル

<full path to the YARA file>

スキャンに使用する YARA ファイルの完全パス。スペースで区切って複数の YARA ファイルを指定することができます。YARA ファイルの完全パスは引数「/path」なしで入力する必要があります。

例：「C:\Users\Admin\Desktop\YARA\file1.yar」。

/path=<path to the folder with YARA files>

スキャンに使用する YARA ファイルのあるフォルダーのパス。

例：「/path=C:\Users\Admin\Desktop\YARA」。

詳細設定
`fastScan`	簡易版 YARA スキャン。オブジェクトごとに、検知されたインジケーターの 1 回の出現がログに記録されます。検知されたインジケーターの重複はログには表示されません。簡易版 YARA スキャンでは、サイズの大きいファイルを迅速にスキャンできます。この設定が指定されていない場合、標準の YARA スキャンが実行されます。このモードでは、検知されたインジケーターの重複がログに記録されます。
`maxRules=<maximum number of scan rules>`	YARA スキャンを停止するために本製品に適用する必要がある一意のルールの数。この設定の値が指定されていない場合、または `0` が指定されている場合、制限なしで YARA スキャンが実行されます。
`timeOut=<stop scan after the specified time in seconds>`	YARA スキャンに費やすことができる時間（秒単位）。この時間が経過すると、YARA スキャンが停止します。この設定の値が指定されていない場合、または `0` が指定されている場合、制限なしで YARA スキャンが実行されます。
`recursive`	オブジェクトスキャンの実行時にサブフォルダーを再帰的にスキャンします（`scanFolder`）。
`scanMemory`	実行中のすべてのプロセスのメモリをスキャンします。
`scanFolders <list of folders to be scanned>`	オブジェクトスキャンユーザーが選択したフォルダーがスキャンされます。この設定が指定されていない場合、ネットワーク共有、クラウドドライブ、リムーバブルメディアを除くすべてのローカルドライブの YARA スキャンが実行されます。
`scanProcess <process name>`	指定されたプロセスのみメモリをスキャンします。Kaspersky Endpoint Security はマスクの入力時の文字「`*`」および「`?`」をサポートします。
`maxFileSize=<file size in bytes>`	YARA スキャンのファイルサイズを制限します。それよりもサイズの大きいファイルはスキップされます。
`excludes <list of objects to be scanned>`	YARA スキャンからファイルとフォルダーを除外します。スペースで区切って複数の値を指定することができます。次の値が使用可能です：ファイル名ファイルパスファイルの拡張子ファイルパスのマスク除外リストは、`scanFolders` パラメータで指定する必要があります。例： `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – ドライブ C のルートフォルダーにある `readme.txt` ファイル、`C:\trusted` フォルダーのすべてのファイル、および xml 拡張子のすべてのファイルがスキップされます。
`logFolder <path to the folder for saving the scan results in a TXT file>`	YARA スキャンの結果を、指定されたフォルダー内のファイルに保存します。YARA スキャンの結果はコマンドラインにも出力されます。

コマンド戻り値：

-1：コンピューターにインストールされているバージョンの製品ではコマンドがサポートされていません。
0：コマンドが正常に実行されました。
1：必要な引数がコマンドに渡されていません。
2：一般的なエラーが発生しました。
4：構文エラーがあります。
5：パラメータで指定された YARA ルールを含む 1 つまたは複数のファイルが見つかりませんでした。

YARA スキャンの結果は、Kaspersky Anti Targeted Attack Platform コンソールで確認できます。Kaspersky Security Center では、タスクのステータスのみを確認できます。

コマンドが正常に実行され（戻り値が 0）、侵害インジケーターが検出された場合、Kaspersky Endpoint Security は次のタスク結果の情報をコマンドラインに出力します：

`Offset`	Kaspersky Endpoint Security が YARA スキャンを実行するオブジェクトのオフセット。
`Object Name`	スキャンするオブジェクトの名前。
`Rule Name`	YARA スキャンに使用するルールの名前。

ページのトップに戻る