Работа с YARA-правилами в KATA
Вы можете загружать загружать собственные YARA правила в KATA для проверки файлов и объектов, поступающих на Central Node, и для проверки хостов с компонентом Endpoint Agent.
Только пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы, включать и отключать поиск по IOC-файлам и настраивать расписание поиска. Пользователи с ролью Сотрудник службы безопасности и Аудитор могут только просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер
Добавление YARA правил
Для добавления новых правил YARA необходимо авторизоваться в интерфейсе KATA под УЗ с ролью Старший сотрудник службы безопасности и перейти в раздел Пользовательские правила --> YARA и нажать Импортировать и выбрать необходимое правило для импорта
Максимальный допустимый размер загружаемого файла – 20 МБ.
СКРИН окна добавления YARA Import
После выбора необходимого файла появится окно импорта, в котором:
- Можно включить проверку трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node;
- Добавить описание;
- Количество правил, которые могут быть успешно импортированы;
- Количество правил, которые не будут импортированы (если такие есть). Для каждого правила, которое не может быть импортировано, указывается его название.
После добавления правило отобразиться в новой записью в разделе Пользовательские правила --> YARA
СКРИН окна добавления YARA Add
Нажав на правило можно ознакомиться с содержанием правила, включить/выключить проверку, скачать или удалить данное правило
СКРИН окна добавления YARA Properties
Также можно найти алерты связанные с выбранным правилом и создать задачу проверки по данному YARA-правилу нажав Запустить YARA-проверку
Создание задачи YARA-проверки
Необходима лицензия, поддерживающая функционал KEDR Expert
При необходимости вы можете проверять хосты из раздела Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:
- В разделе Задачи.
В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты;
СКРИН окна добавления Task Add - В разделе Пользовательские правила --> YARA, выбрав необходимое правило и нажав Запустить YARA-проверку
В этом случае создается задача для проверки хостов по выбранным правилам YARA.
СКРИН окна добавления YARA Task Add
При использовании любого из способов откроется окно создания задачи.
В данном меню вы можете указать следующие параметры:
-
Выбрать необходимые правила YARA для проверки. Можно выбрать сразу несколько;
СКРИН окна добавления Scan Rule -
Указать область проверки:
- ОЗУ - при необходимости проверить процессы, запущенные на момент выполнения задачи. Укажите необходимые короткие имена процессов или маску файлов, которые хотите проверить, а также исключения проверки при необходимости. Можно использовать маски * и ?;
СКРИН окна добавления Scan RAM
Если поле Процессы не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения.
- Точки автозапуска - при необходимости проверить точки автозапуска, полученные в результате выполнения задачи Собрать форензику
Для данной области задайте тип проверки. Быстрая - проверяются все точки автозапуска, кроме COM-объектов. Полная - проверяются все точки автозапуска и связанные с ними файлы.
СКРИН окна добавления Scan Autostart Point - Указанные директории - при необходимости проверить файлы в указанной папке и во всех вложенных папках. Задайте путь вида C:<имя директории>\. Можно использовать маски * и ? для указания директории проверки и исключения;
- Все локальные диски - при необходимости проверить файлы, хранящиеся во всех папках локальных дисков. Можно использовать маски * и ? для указания директорий исключения.
СКРИН окна добавления Scan All
Проверка всех локальных дисков может создать повышенную нагрузку на хост.
- ОЗУ - при необходимости проверить процессы, запущенные на момент выполнения задачи. Укажите необходимые короткие имена процессов или маску файлов, которые хотите проверить, а также исключения проверки при необходимости. Можно использовать маски * и ?;
-
Максимальное время проверки. В случае, если проверка не будет пройдена за указанный срок, то она будет принудительно завершена. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.
-
Описание – описание задачи. Поле необязательно для заполнения.
-
Задача для – область применения задачи
- Всех хостов, если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант;
- Выбранных серверов - справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.
Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.
- Выбранных хостов, если вы хотите выполнить задачу на выбранных хостах, перечислите эти хосты в соответствующем поле.
СКРИН окна добавления Scan Full Task После указания необходимых параметров нажмите Добавить для запуска задачи
Нажав на созданную задачу можно ознакомиться с результатом её выполнения
СКРИН окна добавления Scan Task Result
Просмотр алертов
Просматривать алерты связанные с YARA правилами можно двумя способами:
- Выбрав необходимое правило в разделе Пользовательские правила --> YARA и нажав Найти алерты
СКРИН окна добавления Search Alerts - Перейти в раздел Алерты и задать соответствующий фильтр на столбец Технологии
СКРИН окна добавления YARA Alert Filter
При использовании любого из способов будет использоваться раздел Алерты.
СКРИН окна добавления YARA Alerts
Нажав на алерт (свободное пространство в строке) можно подробнее ознакомиться с его содержанием и возможными действиями по реагированию
СКРИН окна добавления Sample Alert