Создание задачи проверки хостов с помощью правил YARA
12 августа 2024
ID 247376
Вы можете проверять хосты компонентом Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:
- В разделе Задачи.
В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты.
- В разделе Пользовательские правила, подразделе YARA.
В этом случае создается задача для проверки хостов по выбранным правилам YARA.
Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Задачи:
- В окне веб-интерфейса приложения выберите раздел Задачи.
Откроется таблица задач.
- Нажмите на кнопку Добавить и выберите Запустить YARA-проверку.
Откроется окно создания задачи.
- Задайте значения следующих параметров:
- Выбрать правила – имя правила. Вы можете ввести название правила или несколько знаков из названия правила и выбрать правило в списке.
Вы можете добавить несколько правил.
- Проверить – область проверки. Выберите один из следующих вариантов:
- ОЗУ, если вы хотите проверить процессы, запущенные на момент выполнения задачи.
Приложение не проверяет процессы с низким уровнем приоритета.
- Точки автозапуска, если вы хотите проверить точки автозапуска, полученные в результате выполнения задачи Собрать форензику.
Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, эта функция доступна только при интеграции с Kaspersky Endpoint Agent 3.13 и выше.
Для проверки точек автозапуска вам требуется указать хосты, для которых ранее была выполнена задача Собрать форензику.
- Указанные директории, если вы хотите проверить файлы, хранящиеся в указанной папке и во всех вложенных папках на момент выполнения задачи.
- Все локальные диски, если вы хотите проверить файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.
Проверка всех локальных дисков может создать повышенную нагрузку на хост.
- ОЗУ, если вы хотите проверить процессы, запущенные на момент выполнения задачи.
- Если вы выбрали ОЗУ, при необходимости выполните следующие действия:
- В поле Процессы укажите короткие имена процессов или маску файлов, которые хотите проверить.
Приложение проверяет все запущенные на хосте процессы с одинаковыми именами.
Если поле Процессы не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения.
- В поле Исключения укажите короткие имена процессов или маску файлов, которые хотите исключить из проверки.
Если на хосте запущено несколько процессов с одинаковыми именами, приложение исключит из проверки все эти процессы.
- В поле Процессы укажите короткие имена процессов или маску файлов, которые хотите проверить.
- Если вы выбрали Точки автозапуска, в поле Тип проверки выберите тип проверки:
- Быстрая.
В этом случае проверяются все точки автозапуска, кроме COM-объектов.
- Полная.
В этом случае проверяются все точки автозапуска и связанные с ними файлы.
Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Security для Windows, вне зависимости от выбранного параметра выполняется полная проверка.
- Быстрая.
- Если вы выбрали Указанные директории, выполните следующие действия:
- В поле Указанные директории укажите путь к директории в формате C:\<имя директории>\*.
- В поле Исключения укажите путь к директории в формате C:\<имя директории>\*.
- Максимальное время проверки – максимальное время проверки.
По истечении указанного времени проверка завершится, даже если хосты были проверены не по всем правилам. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.
- Описание – описание задачи. Поле необязательно для заполнения.
- Задача для – область применения задачи:
- Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
- Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.
Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.
- Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, задача проверки хостов с Kaspersky Endpoint Agent по правилам YARA может быть назначена только на хосты с приложением Kaspersky Endpoint Agent для Windows версии 3.12 и выше. При одновременном назначении задачи на хосты с Kaspersky Endpoint Agent 3.12 и более ранними версиями приложения задача выполняется только на хостах с Kaspersky Endpoint Agent 3.12.
- Выбрать правила – имя правила. Вы можете ввести название правила или несколько знаков из названия правила и выбрать правило в списке.
Чтобы создать задачу проверки хостов с компонентом Endpoint Agent с помощью правил YARA в разделе Пользовательские правила, подразделе YARA:
- В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.
- Установите флажки слева от правил, с помощью которых вы хотите проверить хосты.
В нижней части окна отобразится панель управления.
- Нажмите на кнопку Запустить YARA-проверку.
- Выполните шаг 3 инструкции, приведенной выше.
Создание задачи будет завершено. Задача запускается автоматически после создания.
Если по результатам проверки будут обнаружены угрозы, Kaspersky Anti Targeted Attack Platform создаст соответствующие обнаружения.
Для пользователей с ролью Аудитор создание задачи проверки хостов с помощью правил YARA недоступно.
У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.