Kaspersky Anti Targeted Attack (KATA) Platform

Создание задачи проверки хостов с помощью правил YARA

21 мая 2024

ID 247376

Вы можете проверять хосты компонентом Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:

  • В разделе Задачи.

    В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты.

  • В разделе Пользовательские правила, подразделе YARA.

    В этом случае создается задача для проверки хостов по выбранным правилам YARA.

Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Задачи:

  1. В окне веб-интерфейса приложения выберите раздел Задачи.

    Откроется таблица задач.

  2. Нажмите на кнопку Добавить и выберите Запустить YARA-проверку.

    Откроется окно создания задачи.

  3. Задайте значения следующих параметров:
    1. Выбрать правила – имя правила. Вы можете ввести название правила или несколько знаков из названия правила и выбрать правило в списке.

      Вы можете добавить несколько правил.

    2. Проверить – область проверки. Выберите один из следующих вариантов:
      • ОЗУ, если вы хотите проверить процессы, запущенные на момент выполнения задачи.

        Приложение не проверяет процессы с низким уровнем приоритета.

      • Точки автозапуска, если вы хотите проверить точки автозапуска, полученные в результате выполнения задачи Собрать форензику.

        Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, эта функция доступна только при интеграции с Kaspersky Endpoint Agent 3.13 и выше.

        Для проверки точек автозапуска вам требуется указать хосты, для которых ранее была выполнена задача Собрать форензику.

      • Указанные директории, если вы хотите проверить файлы, хранящиеся в указанной папке и во всех вложенных папках на момент выполнения задачи.
      • Все локальные диски, если вы хотите проверить файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.

        Проверка всех локальных дисков может создать повышенную нагрузку на хост.

    3. Если вы выбрали ОЗУ, при необходимости выполните следующие действия:
      • В поле Процессы укажите короткие имена процессов или маску файлов, которые хотите проверить.

        Приложение проверяет все запущенные на хосте процессы с одинаковыми именами.

        Если поле Процессы не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения.

      • В поле Исключения укажите короткие имена процессов или маску файлов, которые хотите исключить из проверки.

        Если на хосте запущено несколько процессов с одинаковыми именами, приложение исключит из проверки все эти процессы.

    4. Если вы выбрали Точки автозапуска, в поле Тип проверки выберите тип проверки:
      • Быстрая.

        В этом случае проверяются все точки автозапуска, кроме COM-объектов.

      • Полная.

        В этом случае проверяются все точки автозапуска и связанные с ними файлы.

      Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Security для Windows, вне зависимости от выбранного параметра выполняется полная проверка.

    5. Если вы выбрали Указанные директории, выполните следующие действия:
      • В поле Указанные директории укажите путь к директории в формате C:\<имя директории>\*.
      • В поле Исключения укажите путь к директории в формате C:\<имя директории>\*.
    6. Максимальное время проверки – максимальное время проверки.

      По истечении указанного времени проверка завершится, даже если хосты были проверены не по всем правилам. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.

    7. Описание – описание задачи. Поле необязательно для заполнения.
    8. Задача для – область применения задачи:
      • Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
      • Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.

        Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

      • Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.

        Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, задача проверки хостов с Kaspersky Endpoint Agent по правилам YARA может быть назначена только на хосты с приложением Kaspersky Endpoint Agent для Windows версии 3.12 и выше. При одновременном назначении задачи на хосты с Kaspersky Endpoint Agent 3.12 и более ранними версиями приложения задача выполняется только на хостах с Kaspersky Endpoint Agent 3.12.

Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Пользовательские правила, подразделе YARA:

  1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.
  2. Установите флажки слева от правил, с помощью которых вы хотите проверить хосты.

    В нижней части окна отобразится панель управления.

  3. Нажмите на кнопку Запустить YARA-проверку.
  4. Выполните шаг 3 инструкции, приведенной выше.

Создание задачи будет завершено. Задача запускается автоматически после создания.

Если по результатам проверки будут обнаружены угрозы, Kaspersky Anti Targeted Attack Platform создаст соответствующие обнаружения.

Для пользователей с ролью Аудитор создание задачи проверки хостов с помощью правил YARA недоступно.

У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.

См. также

Работа с задачами

Просмотр таблицы задач

Просмотр информации о задаче

Создание задачи получения файла

Создание задачи сбора форензики

Создание задачи получения ключа реестра

Создание задачи получения метафайлов NTFS

Создание задачи получения дампа памяти процесса

Создание задачи получения образа диска

Создание задачи получения дампа оперативной памяти

Создание задачи завершения процесса

Создание задачи управления службами

Создание задачи выполнения приложения

Создание задачи удаления файла

Создание задачи помещения файла на карантин

Создание задачи восстановления файла из карантина

Создание копии задачи

Удаление задач

Фильтрация задач по времени создания

Фильтрация задач по типу

Фильтрация задач по имени

Фильтрация задач по имени и пути к файлу

Фильтрация задач по описанию

Фильтрация задач по имени сервера

Фильтрация задач по имени пользователя, создавшего задачу

Фильтрация задач по состоянию обработки

Сброс фильтра задач

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!