Compreensão das regras YARA

Compartilhar

Este artigo é útil?

Última atualização:

Visão geral das regras YARA

O PhishER usa regras com a lógica YARA para classificar e marcar as mensagens que foram encaminhadas para sua caixa de entrada do PhishER. YARA é uma ferramenta usada para identificar e classificar amostras de malware. Você pode criar regras personalizadas usando a lógica YARA. Para obter informações gerais sobre como criar regras no PhishER, consulte o artigo Como criar e gerenciar regras do PhishER. Para ajudar você a começar a usar as regras YARA, consulte nossa lista de casos de uso comuns e regras no artigo Casos de uso para regras YARA.

Observação:Atualmente, o PhishER oferece suporte à versão 4.1.2 da YARA. Para obter mais informações, consulte a documentação Criando regras YARA da YARA.

Usando a lógica YARA

Uma regra YARA é uma expressão lógica com uma descrição com base em padrões textuais ou binários. Ela começa com um identificador de regra, e uma descrição de regra contém três seções: a meta, as sequências de caracteres e a condição. Essas seções determinam como uma regra funciona.

Observação:use os caracteres ASCII para criar regras personalizadas no PhishER. Você não pode criar uma regra PhishER que contenha caracteres não ASCII. Para saber mais sobre os caracteres ASCII, visite esta página da web ASCII.

Identificador de regra

Inicie cada regra YARA usando a palavra-chave rule (regra), seguida por um identificador. Um identificador é um nome exclusivo da sua regra. Os identificadores de regras diferenciam maiúsculas de minúsculas, não podem incluir espaços nem começar com um valor numérico, e também não podem incluir as palavras-chave listadas na documentação Como criar regras YARA da YARA.

Meta

A seguir, você pode incluir uma seção meta para adicionar comentários ou detalhes sobre sua regra. Se você tiver vários administradores criando ou editando regras YARA no PhishER, poderá ser útil usar a seção meta como um registro interno de alterações.

Observação:as informações fornecidas na seção meta não são usadas para nenhuma variação da detecção de malware.

Sequências de caracteres

Na seção strings (sequências de caracteres), declare uma variável e defina seu valor. Cada variável é indicada pelo sinal $, seguido do seu nome. As variáveis diferenciam maiúsculas de minúsculas e não podem incluir espaços nem começar com um valor numérico.

Observação:se você estiver usando uma variável global em sua regra, digite o valor dela entre colchetes duplos. Digite o valor do modo como ele é exibido na lista de regras, em Rules (Regras) > Global Variables (Variáveis globais) na plataforma PhishER. Para obter mais informações sobre as variáveis globais, consulte a seção Usando variáveis globais do artigo Como criar e gerenciar regras do PhishER.

Condição

Na seção condition (condição), crie uma expressão usando operadores lógicos para indicar o que você deseja que sua regra detecte. Cada regra deve ter uma seção condition, e a condição deve incluir todas as suas sequências de caracteres.

Este artigo foi útil?

Usuários que acharam isso útil: 15 de 18

Não encontrou o que estava procurando?

Fale com o suporte