Le moteur Signatures – YARA propose des règles qui visent à détecter les outils des attaquants, et il peut être configuré pour scanner les exécutables dès leur écriture sur le disque pour les agents Windows, MacOS et Linux.
Il permet la détection des menaces connues, comme par exemple CobaltStrike, Bruteratel, Mimikatz, Metasploit, Sliver...