Toutes les règles PhishER doivent suivre la logique des règles YARA (Yet Another Recursive/Ridiculous Acronym, encore un autre acronyme récursif/ridicule) pour le classement des messages. Dans votre plateforme PhishER, vous pouvez utiliser Basic Editor (Éditeur de base) pour créer des chaînes et des conditions pour vos règles YARA, plutôt que d’écrire la logique des règles manuellement.

Pour plus d’informations au sujet de l’écriture des règles YARA, consultez notre article Comment écrire les règles YARA.

Vous pouvez créer une chaîne en déclarant une variable puis en définissant la valeur de cette variable. Dans l’éditeur de base (Basic Editor), chaque nouvelle chaîne contient une variable prédéfinie pour laquelle vous devez entrer une variable.

Pour créer des chaînes avec Basic Editor (Éditeur de base), suivez les étapes suivantes :

1. Connectez-vous à votre plateforme PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New Rule (Nouvelle règle) situé dans le coin supérieur droit de la page pour ouvrir la page Rule Details (Détails de la règle).
4. Remplissez la partie supérieure de la page Rule Details (Détails de la règle). Pour plus d’informations au sujet des champs qui se trouvent sur cette page, consultez notre article Comment créer et gérer les règles PhishER.
5. Dans la section Create Strings (Créer des chaînes), entrez la valeur de la chaîne.
   Remarque :Les valeurs doivent comprendre des caractères ASCII uniquement. Pour plus d’informations au sujet des caractères ASCII, consultez la page Web ASCII.

   

6. (Facultatif) Si vous souhaitez utiliser une variable globale, cliquez sur le menu déroulant illustré d’un globe. Dans le menu déroulant qui s’ouvre, sélectionnez le nom de la variable globale que vous souhaitez utiliser. Pour plus d’informations au sujet des variables globales, consultez la section Utilisation des variables globales de notre article Comment créer et gérer les règles PhishER.

   

7. (Facultatif) Si vous souhaitez créer des chaînes supplémentaires, cliquez sur le bouton New String (Nouvelle chaîne). Puis, entrez les valeurs de cette nouvelle chaîne.
   Remarque :Vous pouvez créer jusqu’à cinq chaînes par règle.

   

Lorsque vous aurez créé au moins une chaîne, vous devrez créer les conditions de la règle. Pour plus d’informations, consultez la section suivante du présent article.

Lorsque vous aurez créé au moins une chaîne, vous devrez créer les conditions de votre règle. Les conditions vous permettent de préciser quels messages la règle doit affecter. Lorsque vous créez des conditions pour votre règle, vous pouvez choisir parmi trois options. Pour plus d’informations sur ces options, consultez la capture d’écran et la liste ci-dessous.

1. Match any of the defined strings (Correspond à n’importe laquelle des chaînes définies) : Sélectionnez cette option pour détecter les messages qui correspondent à n’importe laquelle des chaînes que vous avez définies.
2. Match all of the defined strings (Correspond à toutes les chaînes définies) : Sélectionnez cette option pour détecter les messages qui correspondent à toutes les chaînes que vous avez définies.
3. Custom conditions (Conditions personnalisées) : Sélectionnez cette option pour détecter les messages qui correspondent à vos conditions personnalisées. Pour plus d’informations au sujet des conditions personnalisées, consultez la sous-section ci-dessous.

Créer des conditions personnalisées avec Basic Editor (Éditeur de base)

Vous pouvez créer jusqu’à cinq conditions par règle. Pour créer des conditions personnalisées, écrivez des expressions en utilisant vos chaînes ainsi que des opérateurs logiques. Lorsque vous créez des conditions personnalisées, vous devez utiliser toutes les chaînes que vous avez créées pour la règle.

Pour créer une condition personnalisée, suivez les étapes ci-dessous :

1. À partir de la page Rule Details (Détails de la règle), créez les chaînes dont vous aurez besoin pour votre condition personnalisée.
2. Dans la page Create Conditions (Créer des conditions), sélectionnez Custom conditions (Conditions personnalisées).

   

3. Dans le menu déroulant Choose string (Choisir une chaîne), sélectionnez l’une des chaînes que vous avez créées.

   

4. Pour ajouter une autre chaîne à la condition, cliquez sur le menu déroulant Add (Ajouter).

   

5. Dans le menu déroulant Add (Ajouter), sélectionnez l’une des options énumérées ci-dessous :
   • and : Sélectionnez cette option si la règle doit détecter les messages qui correspondent aux deux chaînes.
   • or : Sélectionnez cette option si la règle doit détecter les messages qui correspondent à l’une ou l’autre des chaînes ou aux deux chaînes.
   • and not : Sélectionnez cette option si la règle doit détecter les messages qui correspondent à la chaîne existante, mais pas à la chaîne qui est ajoutée.
6. Après avoir sélectionné une option du menu déroulant Add (Ajouter), le menu déroulant Choose string (Choisir une chaîne) s’affiche. Dans ce menu déroulant, sélectionnez une chaîne.

   

7. Répétez les étapes 4 à 6 jusqu’à ce que vous ayez ajouté toutes les chaînes dont vous avez besoin pour la condition.

Après avoir créé votre première condition, vous pourrez créer un maximum de quatre conditions supplémentaires pour votre règle. Pour créer une nouvelle condition, suivez les étapes ci-dessous :

1. Pour ajouter une autre condition, cliquez sur le menu déroulant New Condition Group (Nouveau groupe de conditions).

   

2. Dans le menu déroulant, sélectionnez l’une des options énumérées ci-dessous :
   • and : Sélectionnez cette option si la règle doit détecter les messages qui correspondent aux deux conditions.
   • or : Sélectionnez cette option si la règle doit détecter les messages qui correspondent à l’une ou l’autre des conditions ou aux deux conditions.
   • and not : Sélectionnez cette option si la règle doit détecter les messages qui correspondent à la condition existante, mais pas à la condition qui est ajoutée.
3. Dans la section de la nouvelle condition, sélectionnez les chaînes nécessaires à votre condition, puis sélectionnez la manière dont elles doivent être mises en relation les unes avec les autres.
4. Répétez les étapes 1 à 3 jusqu’à ce que vous ayez ajouté toutes les conditions dont vous avez besoin pour la règle.
5. Cliquez sur Save Rule (Enregistrer la règle) pour enregistrer la règle.

Pour voir un exemple de conditions personnalisées, consultez la capture d’écran et les informations ci-dessous :

Dans cette capture d’écran, on a créé les trois chaînes suivantes : « .pdf », « .htm » et « .exe ». Les trois chaînes ont été utilisées pour créer deux conditions personnalisées qui doivent être remplies pour que la règle détecte un message. Pour qu’un message soit détecté par cette règle, il doit comprendre « .pdf » et « .htm », ou comprendre uniquement « .exe ».