Toutes les règles PhishER doivent suivre la logique des règles YARA (Yet Another Recursive/Ridiculous Acronym, soit « Encore un autre acronyme récursif/ridicule ») pour catégoriser les messages. Au sein de votre plateforme PhishER, vous pouvez utiliser l’éditeur de base pour créer des chaînes et des conditions pour vos règles YARA plutôt que d’écrire manuellement toute la logique des règles YARA.

Pour plus d’informations concernant l’écriture des règles YARA, consultez notre article Comment écrire des règles YARA.

Vous pouvez créer une chaîne en déclarant une variable et en définissant une valeur pour celle-ci. Dans l’éditeur de base, chaque nouvelle chaîne contient une variable prédéfinie pour laquelle vous devez saisir une valeur.

Pour créer des chaînes dans l’éditeur de base, procédez comme suit :

1. Connectez-vous à votre plateforme PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New Rule (Nouvelle règle) dans l’angle supérieur droit de la page afin d’ouvrir la page Rule Details (Détails de la règle).
4. Remplissez la section supérieure de la page Rule Details (Détails de la règle). Pour plus d’informations sur les champs de cette page, consultez notre article Comment créer des règles PhishER et les gérer.
5. Dans la section Create Strings (Créer des chaînes), saisissez la valeur de la chaîne.
   Remarque :les valeurs ne doivent utiliser que des caractères ASCII. Pour plus d’informations sur les caractères ASCII, consultez la page Web consacrée au code ASCII.

   

6. (Facultatif) Si vous souhaitez utiliser une variable globale, cliquez sur l’icône en forme de globe terrestre pour afficher le menu déroulant. Dans le menu déroulant, sélectionnez le nom de la variable globale que vous souhaitez utiliser. Pour en savoir plus sur les variables globales, consultez la section Utilisation de variables globales de notre article Comment créer des règles PhishER et les gérer.

   

7. (Facultatif) Si vous souhaitez créer des chaînes supplémentaires, cliquez sur le bouton New String (Nouvelle chaîne). Saisissez ensuite des valeurs pour les nouvelles chaînes.
   Remarque :vous pouvez créer jusqu’à cinq chaînes pour chaque règle.

   

Une fois que vous avez créé au moins une chaîne, vous devez créer les conditions de votre règle. Pour plus d’informations, consultez ci-dessous la section correspondante de cet article.

Lorsque vous avez créé au moins une chaîne, vous pouvez créer des conditions pour que votre règle s’applique. Les conditions vous permettent de spécifier les messages qui seront affectés par votre règle. Lorsque vous créez les conditions d’application de votre règle, vous pouvez choisir entre trois options. Pour en savoir plus sur ces options, consultez la capture d’écran et la liste ci-dessous :

1. Match any of the defined strings (Correspondance avec n’importe laquelle des chaînes définies) : sélectionnez cette option pour détecter les messages correspondant à l’une de vos chaînes définies.
2. Match all of the defined strings (Correspondance avec toutes les chaînes définies) : sélectionnez cette option pour détecter les messages correspondant à toutes vos chaînes définies.
3. Custom Conditions (Conditions personnalisées) : sélectionnez cette option pour détecter les messages correspondant à vos conditions personnalisées. Pour en savoir plus sur les conditions personnalisées, consultez ci-dessous la sous-section correspondante de cet article.

Création de conditions personnalisées dans l’éditeur de base

Vous pouvez créer jusqu’à cinq conditions personnalisées pour chaque règle. Pour créer des conditions personnalisées, écrivez des expressions à l’aide de vos chaînes et d’opérateurs logiques. Lorsque vous créez des conditions personnalisées, vous devez utiliser toutes les chaînes que vous avez créées pour la règle.

Pour créer une condition personnalisée, procédez comme suit :

1. Sur la page Rule Details (Détails de la règle), créez les chaînes dont vous avez besoin pour votre condition personnalisée.
2. Dans la section Create Conditions (Créer les conditions) de la page, sélectionnez Custom conditions (Conditions personnalisées).

   

3. Dans le menu déroulant Choose string (Choisir une chaîne), sélectionnez une des chaînes que vous avez créées.

   

4. Pour ajouter une autre chaîne à la condition, cliquez sur le menu déroulant Add (Ajouter).

   

5. Dans le menu déroulant Add (Ajouter), sélectionnez une des options répertoriées ci-dessous :
   • and (et) : sélectionnez cette option si la règle doit détecter les messages qui correspondent aux deux chaînes.
   • or (ou) : sélectionnez cette option si la règle doit détecter les messages qui correspondent à l’une des deux chaînes ou aux deux.
   • and not (et pas) : sélectionnez cette option si la règle doit détecter les messages qui correspondent à la chaîne existante, mais pas à la chaîne ajoutée.
6. Une fois que vous avez sélectionné une option dans le menu déroulant Add (Ajouter), le menu Choose string (Choisir une chaîne) apparaît. Sélectionnez alors une chaîne dans ce menu déroulant.

   

7. Répétez les étapes 4 à 6 jusqu’à ce que vous ayez ajouté toutes les chaînes dont vous avez besoin dans la condition.

Lorsque vous avez créé votre première condition, vous pouvez en ajouter quatre autres pour mettre au point votre règle. Pour créer une autre condition, procédez comme suit :

1. Pour ajouter une autre condition, cliquez sur le menu déroulant New Condition Group (Nouveau groupe de conditions).

   

2. Dans le menu déroulant, sélectionnez une des options répertoriées ci-dessous :
   • and (et) : sélectionnez cette option si la règle doit détecter les messages qui correspondent aux deux conditions.
   • or (ou) : sélectionnez cette option si la règle doit détecter les messages qui correspondent à l’une des deux conditions ou aux deux.
   • and not (et pas) : sélectionnez cette option si la règle doit détecter les messages qui correspondent à la condition existante, mais pas à la condition que vous ajoutez.
3. Dans la section relative à la nouvelle condition, sélectionnez les chaînes nécessaires pour la nouvelle condition, puis sélectionnez la relation appropriée entre les deux conditions.
4. Répétez les étapes 1 à 3 jusqu’à ce que vous ayez ajouté toutes les conditions nécessaires pour la règle.
5. Cliquez alors sur Save Rule (Enregistrer la règle) pour sauvegarder votre règle.

Consultez la capture d’écran et les informations ci-dessous pour voir un exemple de conditions personnalisées :

Dans cette capture d’écran, les trois chaînes suivantes ont été créées : « .pdf », « .htm » et « .exe ». Les trois chaînes ont été utilisées pour créer deux conditions personnalisées, qui doivent être remplies pour que la règle détecte un message. Pour être détecté par cette règle, un message doit inclure à la fois « .pdf » et « .htm » ou uniquement « .exe ».