Exécuter une analyse Yara à la demande
Vous pouvez exécuter une analyse Yara de façon ponctuelle selon vos besoins. Pour cela, vous devez créer une tâche d'analyse Yara.
-
Choisissez le menu Réponses > Tâches manuelles et cliquez sur Créer une tâche.
-
Sélectionnez Analyse Yara.
Vous pouvez aussi ouvrir le panneau des tâches via les Logs agents en sélectionnant un log et en cliquant sur Tâches > Créer une tâche d'analyse Yara. -
Donnez un nom à votre tâche.
-
Cliquez sur Ajouter des unités d'analyse et sélectionnez les unités d'analyse que vous souhaitez inclure dans votre analyse Yara. Cliquez sur Suivant.
-
Cliquez sur Paramètres des logs pour déterminer le niveau de gravité et la destination des logs SES Evolution émis lors de l'analyse Yara.
- Dans la zone Paramètres de l'analyse de fichiers, choisissez Analyse par défaut pour exécuter une analyse récursive du dossier \\.\EsaRoots\SystemDrive et exclure les dossiers \\.\EsaRoots\SystemRoot, \\.\EsaRoots\ProgramFiles et \\.\EsaRoots\ProgramFilesX86, sinon choisissez Analyse personnalisée :
- Analyser le fichier image des processus en cours d'exécution : Vérifie si le fichier .exe des processus contient le schéma Yara recherché. Permet également d'arrêter sur les agents les processus malveillants identifiés lors de l'analyse Yara et/ou d'exclure de l'analyse les processus exécutés par les comptes Windows Administrateur et/ou Système.
- Extensions de fichiers : Limite l'analyse aux types d'extensions indiqués.
- Fichiers et dossiers inclus : Exécute l'analyse sur les fichiers et dossiers indiqués avec ou sans récursivité.
- Fichiers et dossiers exclus : Exclut de l'analyse les fichiers et dossiers indiqués avec ou sans récursivité. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
- Dans la zone Paramètres de l'analyse de processus, choisissez Analyse par défaut pour exécuter une analyse de la mémoire de tous les processus en cours d'exécution sur le poste de travail, sinon choisissez Analyse personnalisée :
- Interrompre le processus détecté : Arrête les processus malveillants identifiés lors de l'analyse Yara.
- Exclure les processus exécutés par : Exclut de l'analyse les processus exécutés avec les niveaux d'intégrité indiqués (Administrateur et/ou Système).
- Répertoire des processus exclus : Exclut de l'analyse les processus dont les exécutables se trouvent dans les répertoires indiqués. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
Vous pouvez également exporter les paramètres d'analyse au format JSON et les réimporter pour d'autres tâches.
-
Cliquez sur Suivant et cochez tous les agents sur lesquels vous souhaitez exécuter l'analyse Yara. Si besoin, utilisez les filtres pour afficher seulement les agents répondant à certains critères.
- Cliquez sur Exécuter la tâche.
La tâche s'affiche dans le panneau principal des tâches. - Sur chaque tâche, faites un clic droit pour effectuer les actions suivantes :
- Naviguer vers les logs agents correspondant à cette tâche,
- Retirer la tâche de la liste,
- Annuler la tâche en cours d'exécution sur les agents,
- Relancer la tâche en modifiant certains paramètres.
Vous pouvez également Supprimer les tâches terminées du panneau des tâches.
- Cliquez sur la flèche à gauche de la tâche pour afficher le détail des unités d'analyse qui la composent.
Cliquez sur Annuler la sélection pour annuler une unité d'analyse en cours d'exécution.