Работа с пользовательскими правилами YARA

Вы можете использовать правила YARA в качестве баз модуля YARA для проверки файлов и объектов, поступающих на Central Node, и для проверки хостов с компонентом Endpoint Agent.

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.

При работе в веб-интерфейсе приложения пользователи с ролью Старший сотрудник службы безопасности могут импортировать файл правил YARA в Kaspersky Anti Targeted Attack Platform через веб-интерфейс приложения.

Пользователи с ролями Аудитор и Сотрудник службы безопасности могут только просматривать правила YARA.

Просмотр таблицы правил YARA

Таблица пользовательских правил YARA содержит информацию о правилах YARA, используемых для проверки файлов, объектов и создания обнаружений, и отображается в разделе Пользовательские правила, подразделе YARA окна веб-интерфейса приложения.

В таблице содержится следующая информация:

• Создано – время создания правила.
•  – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

  По умолчанию обнаружениям, выполненным по загруженным правилам YARA, присваивается высокая степень важности.

• Тип – тип правила в зависимости от режима работы приложения и роли сервера, на котором оно было создано:
  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Имя – название правила.
• Файл – название файла, из которого было импортировано правило.
• Автор – имя пользователя, под учетной записью которого было импортировано правило.
• Серверы – имя сервера с ролью PCN или SCN, на который распространяется правило.

  Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

• Проверка трафика – состояние использования правила при потоковой проверке файлов и объектов, поступающих на Central Node:
  • Включено – правило используется.
  • Выключено – правило не используется.

Настройка отображения таблицы правил YARA

Вы можете настроить отображение столбцов, а также порядок их следования в таблице.

Чтобы настроить отображение таблицы:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. В заголовочной части таблицы нажмите на кнопку .

   Отобразится окно Настройка таблицы.

3. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

   Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

4. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку и переместите строку с параметром в нужное место.
5. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.
6. Нажмите на кнопку Применить.

Отображение таблицы будет настроено.

Импорт правил YARA

Чтобы импортировать правила YARA:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
2. Нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл правил YARA, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется, откроется окно Импорт правил YARA.

   Максимальный допустимый размер загружаемого файла – 20 МБ.

   В нижней части окна отображается отчет. В отчете содержится следующая информация:

   • Количество правил, которые могут быть успешно импортированы.
   • Количество правил, которые не будут импортированы (если такие есть).

     Для каждого правила, которое не может быть импортировано, указывается его название.

4. Установите флажок Проверка трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node.
5. При необходимости в поле Описание введите любую дополнительную информацию.

   Поле Важность недоступно для редактирования. По умолчанию обнаружениям, выполненным по загруженным правилам YARA, будет присвоена высокая степень важности.

6. В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правила.

   Поле отображается только когда вы используете режим распределенного решения и мультитенантности.

7. Нажмите на кнопку Сохранить.

Импортированные правила отобразятся в таблице YARA-правил.

Просмотр информации о правиле YARA

Чтобы просмотреть информацию о правиле YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

• Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
• Запустить YARA-проверку – по ссылке открывается окно создания задачи.
• Скачать – по ссылке скачивается файл с правилами YARA.
• Правило – имя правила, указанное в файле.
• Проверка трафика – использование правила при потоковой проверке файлов и объектов, поступающих на Central Node.
• Тип – тип правила в зависимости от роли сервера, на котором оно создано:
  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Важность – степень важности, которая присваивается обнаружению, выполненному по этому правилу.

  По умолчанию обнаружениям, выполненным по загруженным правилам YARA, присваивается высокая степень важности.

• Описание – любая дополнительная информация о правиле, которую вы указали.
• Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

Фильтрация и поиск правил YARA

Чтобы отфильтровать или найти правила YARA по требуемым критериям:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Выполните следующие действия в зависимости от критерия фильтрации:
   • По времени создания
     1. По ссылке Создано откройте окно настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • За все время, если вы хотите, чтобы приложение отображало в таблице правила, созданные за все время.
        • Прошедший час, если вы хотите, чтобы приложение отображало в таблице правила, созданные за предыдущий час.
        • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице правила, созданные за предыдущий день.
        • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице правила, созданные за указанный вами период.
     3. Если вы выбрали Пользовательский диапазон, выберите даты начала и конца периода и нажмите на кнопку Применить.
   • По имени правила
     1. По ссылке Правило откройте меню фильтрации.
     2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
     3. В поле ввода введите название правила или несколько символов из названия правила.
     4. Нажмите на кнопку Применить.
   • По имени файла
     1. По ссылке Файл откройте меню фильтрации.
     2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
     3. В поле ввода введите название файла или несколько символов из названия файла.
     4. Нажмите на кнопку Применить.
   • По имени пользователя, загрузившего файл с правилами
     1. По ссылке Автор откройте меню фильтрации.
     2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
     3. В поле ввода введите имя пользователя или несколько символов из имени пользователя.
     4. Нажмите на кнопку Применить.
   • По состоянию правила
     1. По ссылке Проверка трафика раскройте список настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Выключено.

В таблице отобразятся только правила, соответствующие заданным условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра правил YARA

Чтобы сбросить фильтрацию правил YARA по одному или нескольким условиям:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Нажмите на кнопку справа от того заголовка столбца таблицы правил, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу для каждого из условий.

Выбранные фильтры будут сброшены.

В таблице отобразятся только правила, соответствующие заданным условиям.

Включение и отключение использования правил YARA

Пользователи с ролью Старший сотрудник службы безопасности могут включить или отключить использование одного или нескольких правил, а также всех правил сразу.

При работе в режиме распределенного решения и мультитенантности вы можете включить или отключить использование правил YARA, которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно включение и отключение использования только правил, созданных на сервере PCN. В веб-интерфейсе SCN доступно включение и отключение использования только правил, созданных на сервере SCN.

Если на серверах PCN и SCN включено использование правил YARA с одинаковыми именами, при проверке файлов и объектов, поступающих на SCN, применяется правило, созданное на PCN.

Чтобы включить или отключить использование правила YARA при потоковой проверке файлов и объектов, поступающих на Central Node:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. В строке с нужным правилом в столбце Проверка трафика включите или отключите переключатель.

Использование правила при потоковой проверке файлов и объектов, поступающих на Central Node, будет включено или отключено.

Чтобы включить или отключить использование всех или нескольких правил YARA при потоковой проверке файлов и объектов, поступающих на Central Node:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
2. Установите флажки слева от правил, использование которых вы хотите включить или отключить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Включить или Отключить, чтобы включить или отключить использование всех правил.

Использование выбранных правил при потоковой проверке файлов и объектов, поступающих на Central Node, будет включено или отключено.

Удаление правил YARA

Чтобы удалить правило YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Выберите правило, которое вы хотите удалить.

   Откроется окно с информацией об этом правиле.

3. Нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Правило будет удалено.

Чтобы удалить все или несколько правил YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Установите флажки слева от правил, которые вы хотите удалить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Выбранные правила будут удалены.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления правила YARA недоступна.