Présentation des règles YARA

Partager

Cet article est-il utile ?

Dernière mise à jour :

Présentation des règles YARA

PhishER utilise des règles basées sur la logique YARA (Yet Another Recursive/Ridiculous Acronym ou « Encore un autre acronyme récursif/ridicule ») afin de classer et d’étiqueter les messages transférés vers votre boîte de réception PhishER. YARA est un outil utilisé pour identifier et classer les exemples de programmes malveillants. Vous pouvez écrire des règles personnalisées en utilisant la logique YARA. Pour en savoir plus sur la création de règles dans PhishER, consultez notre article Comment créer des règles PhishER et les gérer. Pour vous aider à commencer avec les règles YARA, veuillez consulter notre liste de règles et de cas d’utilisation dans notre article Exemples d’utilisation pour les règles YARA.

Remarque :Actuellement, PhishER prend en charge la version 4.1.2 de YARA. Pour en savoir plus, consultez la documentation sur l’écriture des règles YARA (en anglais).

Utilisation de la logique YARA

Une règle YARA est une expression logique avec une description basée sur des modèles textuels ou binaires. Chaque règle commence par un identificateur de règle, et sa description contient les trois sections suivantes qui déterminent la façon dont elle fonctionne : les métadonnées, les chaînes et la condition.

Remarque :utilisez des caractères ASCII pour rédiger des règles personnalisées dans PhishER. Les règles PhishER ne peuvent pas contenir de caractères non-ASCII. Pour en savoir plus sur les caractères ASCII, consultez cette page Web consacrée au code ASCII.

Identificateur de règle

Toutes les règles YARA doivent commencer par la règle de mot-clé, suivie d’un identificateur, c’est-à-dire le nom unique donné à votre règle. L’identificateur est sensible à la casse, et il ne peut pas contenir d’espace, commencer par une valeur numérique, ni inclure l’un des mots-clés répertoriés dans la documentation sur l’écriture des règles YARA (en anglais).

Métadonnées

Deuxièmement, vous pouvez inclure une section meta (métadonnées) pour ajouter des commentaires ou des détails sur votre règle. Si plusieurs administrateurs rédigent ou modifient des règles YARA dans PhishER, il peut s’avérer utile pour eux d’utiliser la section meta (métadonnées) pour consigner les modifications.

Remarque :les informations fournies dans la section des métadonnées ne sont pas destinées à la détection des programmes malveillants.

Chaînes

La section strings (chaînes) sert à déclarer une variable et à définir sa valeur. Les variables sont décrites à l’aide du symbole $, suivi de leur nom. Elles sont sensibles à la casse et ne doivent pas contenir d’espace ni commencer par une valeur numérique.

Remarque :si votre règle comprend une variable globale, ajoutez des crochets doubles autour de sa valeur. Vous devez saisir la valeur telle qu’elle apparaît dans la liste de règles, sous Rules (Règles) > Global Variables (Variables globales) sur votre plateforme PhishER. Pour en savoir plus sur les variables globales, consultez la section Utilisation de variables globales de notre article Comment créer des règles PhishER et les gérer.

Condition

Dans la section condition, écrivez une expression à l’aide d’opérateurs logiques afin de préciser ce que votre règle doit détecter. Toutes les règles doivent contenir une section condition qui comprend l’ensemble de vos chaînes.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 15 sur 18

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance