Exécuter une analyse Yara à la demande

Vous pouvez exécuter une analyse Yara de façon ponctuelle selon vos besoins. Pour cela, vous devez créer une tâche Yara.

  1. Choisissez le menu Tâches et cliquez sur Créer une tâche.
    Vous pouvez aussi ouvrir le panneau des tâches via les Logs agents en sélectionnant un log et en cliquant sur Créer une tâche.

  2. Donnez un nom à votre tâche.

  3. Cliquez sur Ajouter une unité d'analyse et sélectionnez les unités d'analyse que vous souhaitez inclure dans votre analyse Yara.

  4. Cliquez sur Sélectionnez des agents et cochez tous les agents sur lesquels vous souhaitez exécuter l'analyse Yara, puis cliquez sur Valider. Si besoin, utilisez les filtres pour afficher seulement les agents répondant à certains critères.

  5. Cliquez sur Paramètres des logs pour déterminer le niveau de gravité et la destination des logs SES Evolution émis lors de l'analyse Yara.

  6. Dans la zone Paramètres de l'analyse des fichiers, choisissez Analyse par défaut pour exécuter une analyse récursive du dossier \\.\EsaRoots\SystemDrive et exclure les dossiers \\.\EsaRoots\SystemRoot, \\.\EsaRoots\ProgramFiles et \\.\EsaRoots\ProgramFilesX86, sinon choisissez Analyse personnalisée :
    • Analyser le fichier image des processus en cours d'exécution : Vérifie si le fichier .exe des processus contient le schéma Yara recherché. Permet également d'arrêter sur les agents les processus malveillants identifiés lors de l'analyse Yara et/ou d'exclure de l'analyse les processus exécutés par les comptes Windows Administrateur et/ou Système.
    • Fichiers et dossiers inclus : Exécute l'analyse sur les fichiers et dossiers indiqués avec ou sans récursivité.
    • Fichiers et dossiers exclus : Exclut de l'analyse les fichiers et dossiers indiqués avec ou sans récursivité. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
  7. Dans la zone Paramètres de l'analyse des processus, choisissez Analyse par défaut pour exécuter une analyse de la mémoire de tous les processus en cours d'exécution sur le poste de travail, sinon choisissez Analyse personnalisée :
    • Interrompre le processus détecté : Arrête les processus malveillants identifiés lors de l'analyse Yara.
    • Exclure les processus exécutés par : Exclut de l'analyse les processus exécutés avec les niveaux d'intégrité indiqués (Administrateur et/ou Système).
    • Répertoire des processus exclus : Exclut de l'analyse les processus dont les exécutables se trouvent dans les répertoires indiqués. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
      Vous pouvez également exporter les paramètres d'analyse au format JSON et les réimporter pour d'autres tâches.
  8. Cliquez sur Exécuter la tâche.
    La tâche s'affiche dans le panneau principal des tâches.
  9. Sur chaque tâche, cliquez sur les icônes suivantes pour effectuer des actions :
    Affiche dans le panneau des logs agents les logs correspondant à cette tâche.
    Retire de la liste les tâches
    Annule la tâche en cours d'exécution sur les agents.

    Vous pouvez également Supprimer les tâches terminées du panneau des tâches.

  10. Cliquez sur la flèche à gauche de la tâche pour afficher le détail des unités d'analyse qui la composent.
    Cliquez sur Annuler la sélection pour annuler une unité d'analyse en cours d'exécution.