Para clasificar los mensajes, todas las reglas de PhishER deben seguir la lógica de las reglas YARA (Yet Another Recursive/Ridiculous Acronym). En su plataforma PhishER, puede utilizar el editor básico para crear cadenas y condiciones para sus reglas YARA en lugar de escribir toda la lógica de las reglas YARA manualmente.

Para obtener más información sobre la escritura de reglas YARA, visite nuestro artículo Cómo escribir reglas YARA.

Puede crear una cadena estableciendo una variable y un valor para esa variable. En el editor básico, cada nueva cadena contiene una variable predeterminada y debe introducir un valor para esa variable.

Para crear cadenas en el editor básico, siga los pasos que se indican a continuación:

1. Inicie sesión en la plataforma PhishER.
2. En la barra lateral en el lado izquierdo de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
3. Haga clic en el botón New Rule (Nueva regla) en la esquina superior derecha para abrir la página Rule Details (Detalles de la regla).
4. Complete la sección superior de la página Rule Details (Detalles de la regla). Para obtener más información sobre los campos de esta página, consulte el artículo Cómo crear y gestionar reglas de PhishER.
5. En el apartado Create Strings (Crear cadenas), introduzca un valor para la cadena.
   Nota:Los valores solo deben incluir caracteres ASCII. Para obtener más información sobre los caracteres ASCII, consulte esta página web sobre ASCII.

   

6. (Opcional) Si desea utilizar una variable global, haga clic en el icono desplegable del mundo. En el menú desplegable que se abre, seleccione el nombre de la variable global que desea utilizar. Para obtener más información sobre las variables globales, consulte el apartado Uso de las variables globales en el artículo Cómo crear y gestionar reglas de PhishER.

   

7. (Opcional) Si desea crear cadenas adicionales, haga clic en el botón New String (Nueva cadena). Después, introduzca los valores de las nuevas cadenas.
   Nota:Puede crear hasta cinco cadenas por regla.

   

Cuando haya creado al menos una cadena, tendrá que crear condiciones para la regla. Consulte a continuación el apartado de este artículo para obtener más información.

Después de crear al menos una cadena, podrá crear condiciones para la regla. Las condiciones le permiten especificar qué mensajes quiere que se vean afectados por la regla. Cuando cree condiciones para la regla, podrá escoger entre tres opciones. Para obtener más información sobre estas opciones, consulte la captura de pantalla y la lista a continuación:

1. Match any of the defined strings (Coincidencia con cualquiera de las cadenas definidas): seleccione esta opción para detectar los mensajes que coinciden con alguna de las cadenas que ha definido.
2. Match all of the defined strings (Coincidencia con todas las cadenas definidas): seleccione esta opción para detectar los mensajes que coinciden con todas las cadenas que ha definido.
3. Custom Conditions (Condiciones personalizadas): seleccione esta opción para detectar los mensajes que coinciden con las condiciones personalizadas por usted. Para obtener más información sobre condiciones personalizadas, visite a continuación el subapartado de este artículo.

Creación de condiciones personalizadas en el editor básico

Puede crear hasta cinco condiciones personalizadas por regla. Para crear condiciones personalizadas, escriba expresiones a partir de sus cadenas y operadores lógicos. Cuando cree condiciones personalizadas, deberá utilizar todas las cadenas que haya creado para la regla.

Para crear una condición personalizada, siga los pasos que se indican a continuación:

1. En la página Rule Details (Detalles de la regla), cree las cadenas que necesite para la condición personalizada.
2. En el apartado Create Conditions (Crear condiciones) de la página, seleccione Custom conditions (Condiciones personalizadas).

   

3. Seleccione una de las cadenas que ha creado en el menú desplegable Choose string (Seleccionar cadena).

   

4. Para añadir otra cadena a la condición, haga clic en el menú desplegable Add (Añadir).

   

5. En el menú desplegable Add (Añadir), seleccione una de las opciones que se muestran a continuación:
   • and (y): seleccione esta opción si la regla debe detectar mensajes que coincidan con ambas cadenas.
   • or (o): seleccione esta opción si la regla debe detectar mensajes que coincidan con cualquiera de las cadenas o con ambas.
   • and not (y no): seleccione esta opción si la regla debe detectar mensajes que coincidan con la cadena existente, pero que no coincidan con la cadena que se va a añadir.
6. Después de seleccionar una opción del menú desplegable Add (Añadir), se mostrará el menú desplegable Choose string (Seleccionar cadena). Seleccione una cadena de este menú desplegable.

   

7. Repita los pasos del 4 al 6 hasta que haya añadido todas las cadenas que necesite para la condición.

Después de haber creado su primera condición, podrá crear hasta cuatro condiciones adicionales para la regla. Para crear una nueva condición, siga los pasos que se indican a continuación:

1. Para añadir otra condición, haga clic en el menú desplegable New Condition Group (Nuevo grupo de condiciones).

   

2. En el menú desplegable, seleccione una de las opciones que se muestran a continuación:
   • and (y): seleccione esta opción si la regla debe detectar mensajes que coincidan con ambas condiciones.
   • or (o): seleccione esta opción si la regla debe detectar mensajes que coincidan con una o ambas condiciones.
   • and not (y no): seleccione esta opción si la regla debe detectar mensajes que coincidan con la condición existente, pero que no coincidan con la condición que se va a añadir.
3. En el apartado de nueva condición, seleccione las cadenas necesarias para su condición e indique cómo deben relacionarse entre sí.
4. Repita los pasos del 1 al 3 hasta que haya añadido todas las condiciones que necesite para la regla.
5. Haga clic en Save Rule (Guardar regla) para guardar la regla.

Para ver un ejemplo de condiciones personalizadas, consulte la captura de pantalla y la información que se muestran a continuación:

En esta captura de pantalla, se crearon tres cadenas: «.pdf», «.htm» y «.exe». Las tres cadenas se utilizaron para crear dos condiciones personalizadas que deben cumplirse para que la regla detecte un mensaje. Para que la detección funcione, este tendría que incluir tanto «.pdf» como «.htm» o incluir solo «.exe».