Просмотр информации о правиле YARA

Чтобы просмотреть информацию о правиле YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

• Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
• Запустить YARA-проверку – по ссылке открывается окно создания задачи.
• Скачать – по ссылке скачивается файл с правилами YARA.
• Правило – имя правила, указанное в файле.
• Проверка трафика – использование правила при потоковой проверке файлов и объектов, поступающих на Central Node.
• Тип – тип правила в зависимости от роли сервера, на котором оно создано:
  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Важность – степень важности, которая присваивается обнаружению, выполненному по этому правилу.

  По умолчанию обнаружениям, выполненным по загруженным правилам YARA, присваивается высокая степень важности.

• Описание – любая дополнительная информация о правиле, которую вы указали.
• Область применения – имена серверов с компонентом Central Node, на которых применяется правило.