ビュー:

[YARA rule] では、すべての実行中のプロセスを列挙して、YARAルールの指定されたセットに基づいてメモリを検索します。YARAルールでは、512MB未満のメモリを消費するプロセスを検索します。

YARAルールの詳細については、http://plusvic.github.io/yara/を参照してください。

YARAファイルには、テキストまたはバイナリパターンで不正プログラムを記述するルールが含まれています。Trend Micro Endpoint Sensorでは、YARAルールを使用して、エージェントで実行中のプロセスを監視および調査します。YARAを使用することで、プロセスの全体的なメモリ容量を確認できます。

アップロードするすべてのYARAファイルで次の形式が使用されていることを確認します。

rule ExampleRule
{
     strings:
          $my_test_string1 = "Behavior Inject DLL" wide
          $my_test_string2 = "Behavior Inject DLL"
                                
     condition:
          $my_test_string1 or $my_test_string2
}

<Trend Micro Endpoint Sensorサーバのインストールパス>\CmdTool\YARA\フォルダにある「YARAツール」を使用して、無効なYARAルールをトラブルシューティングします。

詳細については、無効なYARAルールのトラブルシューティングを参照してください。

注:

  • YARAファイルの最大サイズは1024KBです。

  • Trend Micro Endpoint Sensorでは、合計10件のYARAファイルを保存できます。この制限に到達すると、新しいファイルのアップロード時に古いYARAファイルは削除されます。

  • 一度アップロードされると、YARAファイルはすべての今後の調査で利用可能になります。調査を始める前に、YARAファイルが選択されていることを確認してください。