Как управлять правилами YARA

Чтобы посмотреть все правила YARA, доступные для вашей учетной записи, в верхней части главной страницы Dr.Web vxCube нажмите Правила YARA. Откроется страница со списком правил. Для каждого правила в списке отображается следующая информация:

Тип правила (значок rule_user для пользовательского и rule_system для системного правила).

Имя. Имя правила.

Вредоносность. Степень вредоносности, заданная в правиле.

Теги. Теги, заданные в правиле.

Срабатывания. Общее количество раз, которое сработало это правило.

Последнее срабатывание. Дата последнего срабатывания. Если последний раз правило сработало в тот же день, когда вы просматриваете список, вместо даты указывается время.

Состояние. Текущее состояние правила (включено или выключено).

 

yara rules

Рисунок 8. Список правил YARA

На странице со списком правил YARA вы можете:

искать правила по имени и тегам;

фильтровать правила по типу (системные, пользовательские);

сортировать правила;

просматривать информацию о срабатываниях правила (имя файла, при анализе которого сработало правило, дата срабатывания, ОС);

изменять, удалять, включать и выключать правила.

Чтобы найти правило

Введите имя правила или тег (целиком или частично) в поле поиска, расположенном над списком правил справа.

Чтобы отфильтровать правила по типу

Справа от заголовка списка нажмите значок arr_dropdown_yara и выберите нужный вариант фильтра: Правила YARA: Все, Правила YARA: Системные или Правила YARA: Пользователь.

Чтобы отсортировать правила

Нажмите заголовок соответствующего столбца. Справа от заголовка столбца, по которому на данный момент сортируются правила, отображается значок arr_sort_up или arr_sort_down. Чтобы изменить направление сортировки, еще раз нажмите заголовок.

Чтобы просмотреть информацию о срабатываниях правила

Нажмите число в столбце Срабатывания для нужного вам правила. Откроется страница отчетов о срабатываниях для этого правила.

Чтобы изменить правило

Наведите курсор на строку с правилом и нажмите справа значок pen.

Чтобы удалить правило

Наведите курсор на строку с правилом и нажмите справа значок bin.

Чтобы включить или выключить правило

В строке с правилом переведите переключатель toogle_on в нужное положение.

Чтобы задать количество правил, отображаемых на одной странице

Выберите нужное значение (10, 25, 50 или 100) в выпадающем меню справа под списком.