О сканировании YARA в Kaspersky Endpoint Agent
28 ноября 2023
ID 225454
Сканирование YARA – это процесс, в ходе выполнения которого Kaspersky Endpoint Agent использует YARA-файлы (файлы описания сигнатур открытого стандарта YARA) для поиска сигнатур вредоносной активности на устройствах. Сканирование выполняется рекурсивно на локальных дисках. Сканирование сетевых, подключаемых и облачных ресурсов не поддерживается.
Kaspersky Endpoint Agent поддерживает следующие типы сканирования YARA:
- Сканирование по YARA-файлам с помощью командной строки – групповые или локальные задачи, которые создаются и настраиваются через интерфейс командной строки. Для запуска задач используются YARA-файлы, подготовленные пользователем.
- Сканирование по YARA-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform – пользователи программы могут использовать YARA-файлы для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также для проверки компьютеров с установленным компонентом Kaspersky Endpoint Agent.
Типы сканирования отличаются возможностями управления и доступными для настройки параметрами. Описание каждого типа сканирования YARA представлено в следующей таблице.
Типы сканирования YARA
Тип сканирования | Описание |
---|---|
Сканирование по YARA-файлам с помощью командной строки | Сканирование запускается вручную через интерфейс командной строки, без интеграции со сторонними системами. Для запуска сканирования используются YARA-файлы, подготовленные пользователем. Параметры сканирования не зависят от настроек в параметрах политик. Результаты сканирования доступны немедленно после завершения сканирования в командной строке. |
Сканирование YARA по YARA-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform | YARA-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание YARA-сканирования компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Управление сканированием через командную строку не предусмотрено. Автоматических действий при срабатывании YARA-правил не предусмотрено. Параметры сканирования не зависят от политик Kaspersky Endpoint Agent. |