YARA. YARA-scan starten

De taak Run YARA Scan. Het programma scant bestanden en objecten op aanwijzingen voor gerichte aanvallen op de IT-infrastructuur van het bedrijf met behulp van databases met YARA-regels die zijn gemaakt door gebruikers van Kaspersky Anti Targeted Attack Platform. Een YARA-regel is een openbaar beschikbare classificatie van malware die kenmerken van indicatoren van gerichte aanvallen en inbreuken op de IT-infrastructuur van het bedrijf bevat die Kaspersky Anti Targeted Attack Platform gebruikt om bestanden en objecten te scannen.

Als u een YARA-scan wilt uitvoeren, moet u YARA-bestanden voorbereiden die regels beschrijven. Houd bij het maken van YARA-bestanden rekening met de volgende vereisten:

Kaspersky Endpoint Security ondersteunt YARA-bestanden met de yara of yar extensies die voldoen aan de open standaard YARA 4.0.2 voor het beschrijven van indicatoren voor compromissen.
Alleen een bestand met YARA-regels kan voor de taak worden opgegeven. De YARA-scan uitvoeren taak ondersteunt geen andere soorten regels.
Als u YARA-bestanden hebt toegevoegd die Kaspersky Endpoint Security niet ondersteunt, of als de regels syntaxisfouten bevatten, wordt de taak afgebroken met het bijbehorende foutbericht.
De ID's van alle IOC files gebruikt in een enkele taak moeten uniek zijn. Als er YARA-bestanden zijn met dezelfde ID, kan dit van invloed zijn op de resultaten van de taakuitvoering.
Een YARA-scan wordt afgebroken na 128 overeenkomsten met indicatoren die worden beschreven in de YARA-regels. Dit is nodig om het aantal items in het YARA-scanrapport te beperken om de analyse ervan te vergemakkelijken en om te voorkomen dat het rapport overloopt vanwege onnauwkeurig geformuleerde YARA-regels die een groot aantal overeenkomsten kunnen genereren.

Kaspersky raadt aan om één regel per YARA-bestand aan te maken. Hierdoor zijn de scanresultaten beter leesbaar.

Syntaxis van opdracht

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA-bestanden

<full path to the YARA file>

Volledig pad naar het YARA-bestand dat u wilt gebruiken voor het scannen. U kunt meerdere YARA-bestanden opgeven, gescheiden door spaties. Voer het volledige pad naar het YARA-bestand in, zonder het argument /path.

Bijvoorbeeld C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Pad naar de map met YARA-bestanden die u wilt gebruiken voor het scannen.

Bijvoorbeeld /path=C:\Users\Admin\Desktop\YARA.

Geavanceerde instellingen
`fastScan`	Snelle YARA-scan. Voor elk object registreert het programma één exemplaar van de gedetecteerde indicator. Het programma verbergt ook duplicaten van gedetecteerde indicatoren in het logboek. Met Snelle YARA-scan kunt u grote bestanden sneller scannen. Als deze instelling niet wordt opgegeven, voert het programma een standaard YARA-scan uit. In deze modus registreert het programma duplicaten van gedetecteerde indicatoren.
`maxRules=<maximum number of scan rules>`	Het aantal unieke regels dat moet worden geactiveerd voordat het programma de YARA-scan stopt. Als de waarde van deze instelling niet is opgegeven of als `0` is opgegeven, voert het programma de YARA-scan zonder beperkingen uit.
`timeOut=<stop scan after the specified time in seconds>`	Hoelang een YARA-scan kan duren, in seconden. Wanneer deze tijd om is, stopt het programma de YARA-scan. Als de waarde van deze instelling niet is opgegeven of als `0` is opgegeven, voert het programma de YARA-scan zonder beperkingen uit.
`recursive`	Submappen recursief scannen tijdens het uitvoeren van een Aangepaste Scan (`scanFolder`).
`scanMemory`	Scan het geheugen van alle actieve processen.
`scanFolders <list of folders to be scanned>`	Aangepaste Scan. Het programma scant mappen die door de gebruiker zijn geselecteerd. Als deze instelling niet is opgegeven, voert het programma een YARA-scan uit op alle lokale schijven, behalve gedeelde netwerkschijven, cloudstations en verwisselbare media.
`scanProcess <process name>`	Alleen geheugen scannen voor opgegeven processen. Kaspersky Endpoint Security biedt geen ondersteuning voor de tekens `*` en `?` bij de invoer van een masker.
`maxFileSize=<file size in bytes>`	Beperk de bestandsgrootte voor de YARA-scan. Het programma slaat grotere bestanden over.
`excludes <list of objects to be scanned>`	Sluit bestanden en mappen uit van de YARA-scan. U kunt meerdere waarden opgeven, gescheiden door spaties. De volgende waarden zijn beschikbaar: Bestandsnaam Het bestandspad Bestandsextensie Masker van het bestandspad Uitzonderingen moeten worden opgegeven met de `scanFolders` parameter. Voorbeeld: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – het programma slaat de `readme.txt` bestand over, alle bestanden van de `C:\trusted` map en alle bestanden met de extensie xml in de hoofdmap op schijf C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Sla de resultaten van de YARA-scan op in een bestand in de opgegeven map. Het programma voert ook de resultaten van de YARA-scan uit naar de opdrachtregel.

Resultaatwaarden opdracht:

-1 betekent dat de opdracht niet wordt ondersteund door de versie van eht programma dat op het apparaat is geïnstalleerd.
0 betekent dat de opdracht met succes is uitgevoerd.
1 betekent dat een verplicht argument niet is doorgegeven aan de opdracht.
2 betekent dat er zich een algemene fout heeft voorgedaan.
4 betekent dat er een syntaxfout was.
5 betekent dat een of meer bestanden met de opgegeven YARA-regels in de parameter niet zijn gevonden.

U kunt de resultaten van een YARA-scan bekijken in de console van Kaspersky Anti Targeted Attack Platform. Alleen de taakstatus is beschikbaar in Kaspersky Security Center.

Als de opdracht succesvol is uitgevoerd (returnwaarde 0) en Indicators of Compromise zijn gedetecteerd, geeft Kaspersky Endpoint Security de volgende taakresultaten weer op de opdrachtregel:

`Offset`	Offset in het object waarvoor Kaspersky Endpoint Security een YARA-scan uitvoert.
`Object Name`	Naam van het object dat het programma scant.
`Rule Name`	Naam van de regel die het programma gebruikt voor de YARA-scan.

Naar boven