Требования к YARA-файлам

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

При сканировании YARA учитывайте следующие требования и ограничения, связанные с YARA-файлами:

YARA-файлы – это файлы с расширением yara или yar, которые содержат YARA-правила.

YARA-правила представляют собой описание сигнатур целевых атак и вторжений в IT-инфраструктуру организации. По этим правилам Kaspersky Endpoint Agent производит проверку объектов. Если правило выполняется, анализатор выносит заключение о заражении с соответствующими подробностями в журнале.

• Kaspersky Endpoint Agent поддерживает YARA-файлы с расширением yara и yar открытого стандарта описания индикаторов компрометации YARA версии 4.0.2.
• В задаче сканирования YARA можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.
• Если при сканировании вы загрузите YARA-файлы, которые не поддерживаются Kaspersky Endpoint Agent или содержат синтаксические ошибки, запуск сканирования будет прерван с соответствующим уведомлением об ошибке.
• Идентификаторы всех YARA-файлов, которые используются в одной задаче сканирования YARA, должны быть уникальными. Наличие YARA-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.

Мы рекомендуем создавать по одному правилу в одном YARA-файле. Такой подход облегчает чтение результатов сканирования.