全てのPhishERルールは、メッセージを処理するときにYARA（Yet Another Recursive/Ridiculous Acronym）ルールの論理に従う必要があります。PhishERプラットフォームでは、全てのYARAルールロジックを手動で記述する代わりに、ベーシックエディタを使用してYARAルールの文字列と条件を作成できます。

YARAルールの記述方法の詳細については、「YARAルールの記述方法」の記事を参照してください。

変数を宣言し、その変数に値を設定して、文字列を作成できます。ベーシックエディタでは、新しい各文字列には変数が予め設定されて含まれており、その変数に値を入力する必要があります。

ベーシックエディタで文字列を作成するには、以下のステップに従って操作します。

1. PhishERプラットフォームにログインします。
2. ページ左側のサイドバーから、[Rules]（ルール）タブを選択し、[Rules List]（ルールリスト）ページを開きます。
3. ページ右上隅の[New Rule]（新規ルール）ボタンをクリックすると、[Rule Details]（ルールの詳細）ページが表示されます。
4. ［Rule Details］（ルールの詳細）ページの一番上のセクションを完成させます。このページのフィールドの詳細については、「PhishERルールの作成と管理の方法」の記事を参照してください。
5. ［Create Strings］（文字列）セクションで、文字列の値を入力します。
   注：値に使用できるのはASCII文字のみです。ASCII文字の詳細については、 こちらのASCIIのWebページを参照してください。

   

6. (オプション）グローバル変数を使用する場合は、地球のドロップダウンアイコンをクリックします。ドロップダウンメニューが開いたら、使用するグローバル変数の名前を選択します。グローバル変数の詳細については、「PhishERルールの作成と管理の方法」の記事の「グローバル変数の使用」のセクションを参照してください。

   

7. (オプション）追加の文字列を作成する場合は、［New String］（新しい文字列）ボタンをクリックします。次に、新しい文字列の値を入力します。
   注：各ルールに、最大5つの文字列を作成できます。

   

少なくとも1つの文字列を作成したら、ルールの条件を作成する必要があります。詳細については、この記事の以下のセクションを参照してください。

少なくとも1つの文字列を作成したら、ルールの条件を作成できます。これらの条件では、ルールの影響を受けるメッセージを指定できます。ルールの条件を作成するときには、3つのオプションから作成する方法を選択できます。これらのオプションの詳細については、以下のスクリーンショットとリストを参照してください。

1. [Match any of the defined strings]（定義したいずれかの文字列に一致）：このオプションを選択すると、定義したいずれかの文字列と一致するメッセージを検出します。
2. [Match all of the defined strings]（定義した全ての文字列に一致）：このオプションを選択すると、定義した全ての文字列と一致するメッセージを検出します。
3. [Custom conditions]（カスタム条件）：このオプションを選択すると、カスタム条件に一致するメッセージを検出します。カスタム条件の詳細については、この記事の以下のサブセクションを参照してください。

ベーシックエディタでのカスタム条件の作成

各ルールに、最大5つのカスタム条件を作成できます。カスタム条件を作成するには、文字列と論理演算子を使用して式を記述します。カスタム条件を作成するときは、ルールに作成した文字列を全て使用する必要があります。

カスタム条件を作成するには、以下のステップに従って操作します。

1. ［Rule Details］（ルールの詳細）ページで、カスタム条件に必要な文字列を作成します。
2. このページの［Create Conditions］（条件の作成）セクションで、カスタム条件を選択します。

   

3. ［Choose string］（文字列を選択）ドロップダウンメニューから、作成した文字列のいずれかを選択します。

   

4. 条件に別の文字列を追加するには、［Add］（追加）ドロップダウンメニューをクリックします。

   

5. ［Add］（追加）ドロップダウンメニューから、以下のオプションのいずれかを選択します：
   • and：ルールが両方の文字列に一致するメッセージを検出する必要がある場合は、このオプションを選択します。
   • or：ルールがいずれかまたは両方の文字列に一致するメッセージを検出する必要がある場合は、このオプションを選択します。
   • and not：既存の文字列には一致するが、追加している文字列には一致しないメッセージを検出する必要があるルールの場合は、このオプションを選択します。
6. ［Add］（追加）ドロップダウンメニューからオプションを選択すると、［Choose string］（文字列を選択）ドロップダウンメニューが表示されます。このドロップダウンメニューから文字列を選択します。

   

7. 条件に必要な全ての文字列を追加するまで、ステップ4～6を繰り返します。

最初の条件を作成した後には、ルールの追加条件を4つまで作成できます。新しい条件を作成するには、以下のステップに従って操作します。

1. 別の条件を追加するには、［New Condition Group］（新しい条件グループ）ドロップダウンメニューをクリックします。

   

2. ドロップダウンメニューから、以下のオプションのいずれかを選択します：
   • and：ルールが両方の条件に一致するメッセージを検出する必要がある場合は、このオプションを選択します。
   • or：ルールがいずれかまたは両方の条件に一致するメッセージを検出する必要がある場合は、このオプションを選択します。
   • and not：既存の条件には一致するが、追加している条件には一致しないメッセージを検出する必要があるルールの場合は、このオプションを選択します。
3. 新しい条件のセクションで、条件に必要な文字列を選択し、文字列の関連性を選択します。
4. ルールに必要な全ての条件を追加するまで、ステップ1〜3を繰り返します。
5. ［Save Rule］（ルールを保存）をクリックしてルールを保存します。

カスタム条件の例を見るには、以下のスクリーンショットと詳細を参照してください。

このスクリーンショットでは、 「.pdf」、「.htm」、「.exe」の3つの文字列が作成されています。これらの3つの文字列は、ルールがメッセージを検出するために満たさなければならない2つのカスタム条件を作成するために使用されています。このルールで検出するためには、メッセージに「.pdf」と「.htm」の両方が含まれているか、「.exe」のみが含まれている必要があります。