# Работа с YARA-правилами в KATA

Вы можете загружать собственные YARA правила в KATA для проверки файлов и объектов, поступающих на Central Node, и для проверки хостов с компонентом Endpoint Agent.

> Только пользователи с ролью **Старший сотрудник службы безопасности** могут импортировать, удалять, скачивать IOC-файлы, включать и отключать поиск по IOC-файлам и настраивать расписание поиска.
Пользователи с ролью **Сотрудник службы безопасности** и **Аудитор** могут только просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер

## Добавление YARA правил
Для добавления новых правил YARA необходимо авторизоваться в интерфейсе KATA под УЗ с ролью **Старший сотрудник службы безопасности** и перейти в раздел **Пользовательские правила --> YARA** и нажать **Импортировать** и выбрать необходимое правило для импорта   
> Максимальный допустимый размер загружаемого файла – 20 МБ.  

<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/SllidXdALE3jGGmy-image-1765819832829.png"
  style="width: 90%; border: 2px solid rgb(0, 168, 142);">

После выбора необходимого файла появится окно импорта, в котором:  
* Можно включить проверку трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node;
* Добавить описание;
* Количество правил, которые могут быть успешно импортированы;
* Количество правил, которые не будут импортированы (если такие есть).
Для каждого правила, которое не может быть импортировано, указывается его название.

После добавления правило отобразиться в новой записью в разделе **Пользовательские правила --> YARA**  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/Ok9xv2kbYc7hESO6-image-1765819901207.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">

Нажав на правило можно ознакомиться с содержанием правила, включить/выключить проверку, скачать или удалить данное правило  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/BXJ6palTHPTv9Mcm-image-1765819952884.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">

Также можно найти алерты связанные с выбранным правилом и создать задачу проверки по данному YARA-правилу нажав **Запустить YARA-проверку**

## Создание задачи YARA-проверки

> Необходима лицензия, поддерживающая функционал KEDR Expert

При необходимости вы можете проверять хосты из раздела Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:
* **В разделе Задачи.**
В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты;  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/ho4kgF1fys6UNvbq-image-1765820127048.png"
  style="width: 90%; border: 2px solid rgb(0, 168, 142);">
* **В разделе Пользовательские правила --> YARA**, выбрав необходимое правило и нажав **Запустить YARA-проверку**
В этом случае создается задача для проверки хостов по выбранным правилам YARA.  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/ctv7gj5szPrCQWDe-image-1765820179549.png"
  style="width: 60%; border: 2px solid rgb(0, 168, 142);">

При использовании любого из способов откроется окно создания задачи.   
В данном меню вы можете указать следующие параметры:  
* Выбрать необходимые правила YARA для проверки. Можно выбрать сразу несколько;  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/xg67cxR9PloUNQ3o-image-1765820251352.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">
* Указать область проверки:
    * **ОЗУ** - при необходимости проверить процессы, запущенные на момент выполнения задачи. Укажите необходимые короткие имена процессов или маску файлов, которые хотите проверить, а также исключения проверки при необходимости. Можно использовать маски * и ?;  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/Woocg2ZHnqDQgV31-image-1765824004483.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">
    > Если поле **Процессы** не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле **Исключения**.
    * **Точки автозапуска** - при необходимости проверить точки автозапуска, полученные в результате выполнения задачи **Собрать форензику**  
    Для данной   области задайте тип проверки. **Быстрая** - проверяются все точки автозапуска, кроме COM-объектов. **Полная** - проверяются все точки автозапуска и связанные с ними файлы.  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/vv7icWvTmbJemMPQ-image-1765824348750.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">
    * **Указанные директории** - при необходимости проверить файлы в указанной папке и во всех вложенных папках. Задайте путь вида C:\<имя директории>\\. Можно использовать маски * и ? для указания директории проверки и исключения;
    * **Все локальные диски** - при необходимости проверить файлы, хранящиеся во всех папках локальных дисков. Можно использовать маски * и ? для указания директорий исключения.   
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/phc4PKarprXOLHhq-image-1765824391512.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">
    > Проверка всех локальных дисков может создать повышенную нагрузку на хост.

* Максимальное время проверки. В случае, если проверка не будет пройдена за указанный срок, то она будет принудительно завершена. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки. 
* **Описание** – описание задачи. Поле необязательно для заполнения.
* **Задача для** – область применения задачи
    * **Всех хостов**, если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант;
    * **Выбранных серверов** - справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.
    > Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.
    * **Выбранных хостов**, если вы хотите выполнить задачу на выбранных хостах,  перечислите эти хосты в соответствующем поле.  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/N3IDemezvxXlQCgK-image-1765824492606.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">

После указания необходимых параметров нажмите **Добавить** для запуска задачи 

Нажав на созданную задачу можно ознакомиться с результатом её выполнения   
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/zsNzqsEpz9US5UaS-image-1765824541228.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">

## Просмотр алертов

Просматривать алерты связанные с YARA правилами можно двумя способами:
* Выбрав необходимое правило в разделе **Пользовательские правила --> YARA** и нажав **Найти алерты**   
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/9MD05tlMg1qze8Kr-image-1765824616137.png"
  style="width: 70%; border: 2px solid rgb(0, 168, 142);">
* Перейти в раздел **Алерты** и задать соответствующий фильтр на столбец **Технологии**  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/XXz6ct51KOoIrE5v-image-1765824663665.png"
  style="width: 90%; border: 2px solid rgb(0, 168, 142);">
 
При использовании любого из способов будет использоваться раздел **Алерты**.  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/jb9DMzdpC6NgyuI0-image-1765824702631.png"
  style="width: 80%; border: 2px solid rgb(0, 168, 142);"> 

Нажав на алерт (свободное пространство в строке) можно подробнее ознакомиться с его содержанием и возможными действиями по реагированию  
<img 
  src="https://antiapt-community.ru/uploads/images/gallery/2025-12/hBgxt8KjsOuiMS0q-image-1765824770108.png"
  style="width: 80%; border: 2px solid rgb(0, 168, 142);">