Tutte le regole di PhishER devono seguire la logica delle regole YARA (Yet Another Recursive/Ridiculous Acronym) per classificare i messaggi. Nella piattaforma PhishER puoi utilizzare lo strumento Basic Editor (Editor di base) per creare stringhe e condizioni relative alle tue regole YARA anziché scrivere manualmente tutta la logica delle regole YARA.

Per maggiori informazioni su come scrivere le regole YARA, leggi il nostro articolo Come scrivere le regole YARA.

Puoi creare una stringa dichiarando una variabile e impostando poi un valore per tale variabile. Nel Basic Editor (Editor di base) ogni nuova stringa contiene una variabile preimpostata e devi inserire un valore per tale variabile.

Per creare una stringa nel Basic Editor (Editor di base), procedi come descritto di seguito:

1. Accedi alla piattaforma PhishER.
2. Nella barra laterale sul lato sinistro della pagina, seleziona la scheda Rules (Regole) per aprire la pagina Rules List (Elenco regole).
3. Fai clic sul pulsante New Rule (Nuova regola) nell’angolo in alto a destra della pagina per aprire la pagina Rule Details (Dettagli regola).
4. Completa la sezione superiore della pagina Rule Details (Dettagli regola). Per maggiori informazioni sui campi visualizzati in questa pagina, leggi il nostro articolo Come creare e gestire le regole di PhishER.
5. Nella sezione Create Strings (Crea stringhe), inserisci un valore per la stringa.
   Nota:i valori possono includere solo caratteri ASCII. Per maggiori informazioni sui caratteri ASCII, visita questa pagina web ASCII.

   

6. (Facoltativo) Se preferisci utilizzare una variabile globale, fai clic sull’icona a discesa a forma di globo. Da questo menu a discesa, seleziona il nome della variabile globale che desideri utilizzare. Per maggiori informazioni sulle variabili globali, consulta la sezione Utilizzo delle variabili globali dell’articolo Come creare e gestire le regole di PhishER.

   

7. (Facoltativo) Se desideri creare stringhe aggiuntive, fai clic sul pulsante New String (Nuova stringa). Quindi inserisci i valori per le nuove stringhe.
   Nota:puoi creare fino a cinque stringhe per ogni regola.

   

Una volta creata almeno una stringa, devi creare le condizioni relative alla tua regola. Per maggiori informazioni, consulta la sezione seguente di questo articolo.

Dopo aver creato almeno una stringa, puoi creare le condizioni relative alla tua regola. Le condizioni ti permettono di specificare i messaggi su cui desideri vi sia l’impatto della tua regola. Quando crei le condizioni relative alla tua regola, hai tre opzioni tra cui scegliere. La schermata e l’elenco in basso contengono ulteriori informazioni su queste opzioni:

1. Match any of the defined strings (Corrisponde a qualsiasi stringa definita): seleziona questa opzione per rilevare i messaggi che corrispondono a una qualsiasi delle stringhe definite.
2. Match all of the defined strings (Corrisponde a tutte le stringhe definite): seleziona questa opzione per rilevare i messaggi che corrispondono a tutte le stringhe definite.
3. Custom conditions (Condizioni personalizzate): seleziona questa opzione per rilevare i messaggi che corrispondono alle condizioni personalizzate. Per maggiori informazioni sulle condizioni personalizzate, consulta la sezione secondaria seguente di questo articolo.

Creare condizioni personalizzate nel Basic Editor (Editor di base)

Puoi creare fino a cinque condizioni personalizzate per ogni regola. Per creare condizioni personalizzate, scrivi espressioni utilizzando le tue stringhe e i tuoi operatori logici. Quando crei condizioni personalizzate, devi utilizzare tutte le stringhe create per la regola.

Per creare una condizione personalizzata, procedi come descritto di seguito:

1. Nella pagina Rule Details (Dettagli regola), crea le stringhe necessarie per la tua condizione personalizzata.
2. Nella sezione Create Conditions (Crea condizioni) di questa pagina, seleziona Custom conditions (Condizioni personalizzate).

   

3. Dal menu a discesa Choose string (Scegli stringa), seleziona una delle stringhe che hai creato.

   

4. Per aggiungere un’altra stringa alla condizione, fai clic sul menu a discesa Add (Aggiungi).

   

5. Dal menu a discesa Add (Aggiungi), seleziona una delle seguenti opzioni:
   • and (e): seleziona questa opzione se la regola deve rilevare messaggi che corrispondono a entrambe le stringhe.
   • or (o): seleziona questa opzione se la regola deve rilevare messaggi che corrispondono a una o ad entrambe le stringhe.
   • and not (e non): seleziona questa opzione se la regola deve rilevare messaggi che corrispondono alla stringa esistente ma che non corrispondono alla stringa aggiunta.
6. Dopo aver selezionato un’opzione dal menu a discesa Add (Aggiungi), sarà visualizzato il menu a discesa Choose string (Scegli stringa). Scegli una stringa da questo menu a discesa.

   

7. Ripeti i passaggi da 4 a 6 fino a quando non hai aggiunto tutte le stringhe necessarie per la condizione.

Dopo aver creato la tua prima condizione, puoi creare fino a quattro condizioni aggiuntive per la tua regola. Per creare una nuova condizione, procedi come descritto di seguito:

1. Per aggiungere un’altra condizione, fai clic sul menu a discesa New Condition Group (Gruppo nuova condizione).

   

2. Dal menu a discesa seleziona una delle seguenti opzioni:
   • and (e): seleziona questa opzione se la regola deve rilevare messaggi che soddisfano entrambe le condizioni.
   • or (o): seleziona questa opzione se la regola deve rilevare messaggi che soddisfano una o entrambe le condizioni.
   • and not (e non): seleziona questa opzione se la regola deve rilevare messaggi che corrispondono alla condizione esistente ma che non corrispondono alla condizione aggiunta.
3. Nella sezione relativa alla nuova condizione, seleziona le stringhe necessarie alla tua condizione, quindi seleziona come devono relazionarsi reciprocamente.
4. Ripeti i passaggi da 1 a 3 fino a quando non hai aggiunto tutte le condizioni necessarie per la regola.
5. Per salvare la regola, fai clic su Save Rule (Salva regola).

Per visualizzare un esempio di condizioni personalizzate, fai riferimento alla schermata e ai dettagli che trovi di seguito:

In questa schermata sono state create le seguenti tre stringhe: “.pdf”, “.htm” e “.exe”. Le tre stringhe sono state utilizzate per creare condizioni personalizzate che devono essere soddisfatte per consentire alla regola di rilevare un messaggio. Per essere rilevato da questa regola, un messaggio deve includere sia “.pdf” che “.htm” oppure includere solo “.exe”.