Comprendre les règles YARA

Partager

C’est article est-il utile?

Dernière mise à jour :

Présentation des règles YARA

PhishER utilise des règles selon la logique YARA (Yet Another Recursive/Ridiculous Acronym, encore un autre acronyme récursif/ridicule) pour classer et étiqueter les messages qui sont transférés dans votre boîte de réception PhishER. YARA est un outil qui sert à identifier et à classer les échantillons de maliciels. Vous pouvez écrire des règles personnalisées à l’aide de la logique YARA. Pour des informations générales concernant la création de règles dans PhishER, consultez notre article Comment créer et gérer les règles PhishER. Pour vous aider à démarrer avec les règles YARA, consultez notre liste des cas d’utilisation les plus courants dans notre article Cas d’utilisation pour les règles YARA.

Remarque :PhishER prend actuellement en charge la version 4.1.2 de YARA. Pour plus d’informations, consultez la documentation de YARA Écriture des règles YARA.

Utiliser la logique YARA

Une règle YARA est une expression logique dont la description se base sur des schémas textuels ou binaires. Une règle commence avec un identifiant de règle. La description de la règle comprend trois sections : la section « meta », la section « strings » (chaînes) et la section « condition ». Ces sections déterminent le fonctionnement de la règle.

Remarque :Utilisez les caractères ASCII pour écrire les règles personnalisées dans PhishER. Vous ne pouvez pas créer de règle PhishER contenant des caractères non-ASCII. Pour en apprendre davantage au sujet des caractères ASCII, consultez la page Web ASCII.

Identifiant de règle

Commencez chaque règle YARA avec le mot clé « rule » suivi d’un identifiant. L’identifiant est le nom unique de votre règle. Les identifiants de règles sont sensibles à la casse, ne doivent inclure aucun espace, ne doivent pas commencer par une valeur numérique et ne doivent inclure aucun des mots clés énumérés dans la documentation YARA Écriture des règles YARA.

Meta

Vous devez ensuite ajouter une section « meta » dans laquelle vous ajouterez des commentaires ou des informations au sujet de votre règle. Si plusieurs administrateurs différents écrivent ou modifient les règles YARA dans PhishER, il peut être pratique d’utiliser la section « meta » pour la journalisation interne des modifications.

Remarque :L’information fournie dans la section « meta » n’est pas utilisée pour la détection des maliciels.

Strings

La section « strings » (chaînes) permet de déclarer une variable et de définir sa valeur. Chaque variable est identifiée par le symbole $ suivi du nom de la variable. Les variables sont sensibles à la casse et ne doivent comprendre aucun espace ni commencer par une valeur numérique.

Remarque :Si votre règle utilise une variable globale, inscrivez la valeur de la variable globale entre deux accolades. Vous devez inscrire la valeur telle qu’elle apparaît dans la liste de règles de la section Règles > Variables globales de votre plateforme PhishER. Pour plus d’informations au sujet des variables globales, consultez la section Utilisation des variables globales de notre article Comment créer et gérer les règles PhishER.

Condition

Dans la section « condition », utilisez des opérateurs logiques pour écrire une expression indiquant ce que vous souhaitez que votre règle détecte. Chaque règle doit avoir une section « condition » qui doit inclure toutes vos chaînes.

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 15 sur 18

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance