Entender las reglas YARA

Compartir

¿Este artículo es útil?

Última actualización:

Descripción general de reglas YARA

PhishER utiliza reglas con la lógica Yet Another Recursive/Ridiculous Acronym (Otro acrónimo recurrente y ridículo) o YARA, por sus siglas en inglés, para disponer y etiquetar los mensajes que se reenvían a su bandeja de entrada de PhishER. YARA es una herramienta utilizada para identificar y clasificar muestras de malware. Puede escribir reglas personalizadas utilizando la lógica YARA. Para obtener información general sobre la creación de reglas en PhishER, consulte nuestro artículo Crear y administrar reglas de PhishER. Para comenzar con las reglas YARA, consulte nuestra lista de casos de uso y reglas comunes en nuestro artículo Casos de uso para las reglas YARA.

Nota: PhishER actualmente es compatible con la versión 4.1.2 de YARA. Para más información, consulte la documentación Escribir reglas YARA.

Usar la lógica YARA

Una regla YARA es una expresión lógica con una descripción basada en patrones textuales o binarios. Una regla comienza con un identificador de regla y la descripción de una regla contiene tres secciones: la meta, las cadenas y la condición. Estas secciones determinan cómo funciona una regla.

Nota: Utilice los caracteres del Código estándar estadounidense para el intercambio de información (American Standard Code for Information Interchange, ASCII) para escribir reglas personalizadas en PhishER. No puede crear una regla de PhishER que contenga caracteres que no sean del ASCII. Para obtener más información sobre los caracteres del ASCII, visite esta página web del ASCII.

Identificador de regla

Inicie cada regla YARA usando la regla de palabra clave seguida de un identificador. Un identificador es un nombre único para su regla. Los identificadores de reglas distinguen entre mayúsculas y minúsculas, no pueden incluir espacios ni comenzar con un valor numérico, y no pueden incluir ninguna de las palabras clave enumeradas en la documentación Escribir reglas YARA de YARA.

Meta

A continuación, puede incluir una sección meta para agregar comentarios o detalles sobre su regla. Si tiene varios administradores que escriben o editan las reglas YARA en PhishER, puede ser útil usar la sección meta como un registro de cambios interno.

Nota: La información provista en la sección meta no se usa para ninguna variación de detección de malware.

Cadenas

En la sección strings (cadenas), declare una variable y establezca su valor. Cada variable se indica con el signo $ seguido del nombre de la variable. Las variables distinguen entre mayúsculas y minúsculas y no pueden incluir espacios ni comenzar con un valor numérico.

Nota: Si utiliza una variable global en su regla, ingrese el valor de la variable global entre corchetes dobles. Debe ingresar el valor tal como se muestra en la lista de reglas en Rules > Global Variables (Reglas > Variables globales) en su plataforma PhishER. For more information about global variables, see the Using Global Variables section of our How to Create and Manage PhishER Rules article.

Condición

En la sección condition (condición), escriba una expresión usando operadores lógicos para indicar qué le gustaría que detectara su regla. Cada regla debe tener una sección condition (condición) y la condición debe incluir todas sus cadenas.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 15 de 18

¿No encuentra lo que busca?

Contacte a soporte