PhishERは、YARA（Yet Another Recursive/Ridiculous Acronym）論理のルールを使用して、PhishERの[Inbox]（受信箱）に転送されるメッセージを処理し、タグ付けします。YARAは、マルウェアサンプルを識別および分類するために使用するツールです。YARAの論理を使用してカスタムルールを記述できます。PhishERのルール作成に関する一般情報については、「PhishERルールの作成と管理の方法」の記事を参照してください。YARAルールの使用を開始するときには、「YARAルールの使用例」の記事にある一般的なユースケースとルールリストを参照してください。

YARA論理の使用

YARAルールとは、テキストやバイナリパターンに基づいて記述する論理式です。ルールはルールIDから始まり、ルールの説明には、メタ、文字列、条件の3つのセクションが含まれます。これらのセクションは、ルールの機能を決定します。

ルールID

全てのYARAルールは、キーワードruleの後にIDを付けて開始します。IDは、ルールの一意な名前です。ルールIDでは大文字小文字が区別され、スペース文字を使用できず、数字で始まることもできません。また、YARAのドキュメント「YARAルールの記述」に記載されているキーワードもIDには使用できません。

Meta

次に、ルールに関するコメントや詳細を追加するために、metaセクションを含めることができます。PhishERで複数の管理者がYARAルールを記述または編集する場合、metaセクションを内部的な変更ログとして使用すると便利です。

Strings

stringsセクションで、変数を宣言し、その値を設定します。各変数は、$記号の後に変数名を付けて表示します。変数では大文字と小文字が区別され、スペース文字を使用することや、数値で開始することはできません。

Condition

conditionセクションで、論理演算子を使った式を記述し、そのルールで検出する対象を指定します。全てのルールにconditionセクションが必要です。また、conditionには全ての文字列が含まれている必要があります。