YARA-Regeln-Aufgabe ausführen

Prozedur

1. Navigieren Sie in der Trend Vision One Konsole zu Agentic SIEM & XDR → Forensics.
2. Klicken Sie auf den Namen des Arbeitsbereichs, der die Endpunkte enthält, die Sie triagieren möchten.
3. Wählen Sie einen oder mehrere Endpunkte aus der Liste aus. Die ausgewählten Endpunkte müssen alle dasselbe Betriebssystem verwenden.
4. Klicken Sie auf Run YARA Rules.

   Hinweis Sie können diese Antwort auch über das Kontextmenü in XDR Data Explorer, Workbench und Observed Attack Techniques ausführen.

5. Konfigurieren Sie die Aufgabe.
   1. Verwenden Sie die Optionsfelder, um entweder vorhandene YARA-Regeln auszuwählen oder neue Regeln hochzuladen.
      • Wählen Sie Select rules:
        1. Klicken Sie auf Select YARA rules.
        2. Anhalten bei einer Datei, um deren Details anzuzeigen.

           Wichtig YARA-Regeldetails sind nur sichtbar für und . Siehe Traffic Light Protocol (TLP) für Details.

        3. Wählen Sie die Regeln aus.
        4. Klicken Sie auf Weiter.
        Um neue YARA-Regeln zur Liste hinzuzufügen:
        1. Gehen Sie zu YARA Rules auf der Response Scripts-Registerkarte des Reaktionsmanagements.
        2. Klicken Sie auf Add YARA rules, um eine Datei hochzuladen und die Syntax der Regeln zu überprüfen.
      • Wählen Sie Upload rules:
        1. Klicken Sie auf Upload file.
        2. Wählen Sie eine Datei im YARA- oder TXT-Format aus, die kleiner als 1 MB ist.

        Tipp Verwenden Sie Companion, um YARA-Regeln zu erstellen, indem Sie auf Generate YARA Rules () klicken.

   2. Wählen Sie den Zieltyp aus und geben Sie die zugehörigen Einstellungen an:
      • Für Prozess-Ziele geben Sie einen Process name an. Wenn Sie keinen Prozessnamen angeben, durchsucht Forensics alle Prozesse. Das Durchsuchen aller Prozesse kann mehrere Minuten dauern.
      • Für Datei-Ziele:
        1. Nehmen Sie unter Dateispeicherort eine Eingabe vor.
        2. Wählen Sie ein File size aus.
        3. Wählen Sie ein Scan setting aus.

           Wichtig Das Auswählen von Scan all files and subfolders könnte Leistungsprobleme verursachen.

   3. Validieren Sie Ihre YARA-Regeln, indem Sie auf Validate YARA rules klicken.
   4. Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
   5. Klicken Sie auf Erstellen.
   6. Fügen Sie den Bestätigungscode in Multi-factor authentication (MFA) required ein und klicken Sie auf Absenden.
      Wenn die Authentifizierung erfolgreich ist, erscheint die Aufgabe im Response ManagementTask List.

      Tipp Für Antwortaufgaben, die über das Kontextmenü in XDR Data Explorer erstellt wurden, klicken Sie auf das View details in Forensics-Symbol () im Response ManagementTask List, um direkt zu Forensics → Query Results zu gelangen.

6. Überwachen Sie den Aufgabenstatus.
   1. Klicken Sie im Arbeitsbereich, der die Endpunkte enthält, die Sie triagieren, auf View Query Results
   2. Wählen Sie YARA.
   3. Suchen Sie die Aufgabe über das Menü Task name.
   4. Zeigen Sie den Aufgabenstatus an.
      • Wird ausgeführt (): Trend Vision One hat den Befehl gesendet und wartet auf eine Antwort.
      • In Warteschlange (): Der Verwaltungsserver hat den Befehl in die Warteschlange gestellt, weil der Agent offline war.
      • Erfolgreich (): Der Befehl wurde erfolgreich ausgeführt.
      • Nicht erfolgreich (): Beim Versuch, den Befehl an den Verwaltungsserver zu senden, ist ein Fehler oder ein Zeitüberschreitung aufgetreten, der Agent ist seit mehr als 24 Stunden offline oder die Befehlsausführung hat die Zeit überschritten.
   5. Wenn die Aufgabe erfolgreich ist:
      1. Klicken Sie auf das Symbol, um das Fenster Download File zu öffnen.
      2. Kopieren und behalten Sie das Passwort.
      3. Klicken Sie auf Herunterladen, um die Aufgabenarchivdatei zu erhalten.