Die YARA-Signatur-Engine bietet Regeln, die auf die Erkennung von Angreiferwerkzeugen abzielen, und kann für Windows-, MacOS– und Linux-Agenten so konfiguriert werden, dass es ausführbare Dateien scannt, sobald sie auf die Festplatte geschrieben werden.
Sie ermöglicht die Erkennung bekannter Bedrohungen wie beispielsweise CobaltStrike, Bruteratel, Mimikatz, Metasploit, Sliver usw.