Todas as regras do PhishER devem seguir a lógica da regra Yet Another Recursive/Ridiculous Acronym (YARA) para classificar as mensagens. Na plataforma PhishER, use o Editor básico para criar sequências de caracteres e condições para as regras YARA, em vez de criar toda a lógica da regra YARA manualmente.

Para saber mais sobre como criar regras YARA, consulte o artigo Como criar regras YARA.

Você pode criar uma sequência de caracteres ao declarar uma variável e configurar um valor para ela. No Editor básico, cada nova sequência de caracteres contém uma variável predefinida, para a qual você deve inserir um valor.

Para criar sequências de caracteres no Editor básico, siga estas etapas:

1. Faça login na plataforma PhishER.
2. Na barra lateral à esquerda da página, selecione a guia Rules (Regras) para abrir a página Rules List (Lista de regras).
3. Clique no botão New Rule (Nova regra), no canto superior direito da página, para abrir a página Rule Details (Detalhes da regra).
4. Preencha a seção superior da página Rule Details (Detalhes da regra). Para obter mais informações sobre os campos dessa página, consulte o artigo Como criar e gerenciar regras do PhishER.
5. Na seção Create Strings (Criar sequências de caracteres), insira um valor para a sequência de caracteres.
   Observação:os valores devem incluir apenas caracteres ASCII. Para saber mais sobre os caracteres ASCII, visite a página da web ASCII.

   

6. (Opcional) Se você quiser usar uma variável global, clique no ícone suspenso de globo. No menu suspenso exibido, selecione o nome da variável global que você deseja usar. Para obter mais informações sobre as variáveis globais, consulte a seção Usando variáveis globais do artigo Como criar e gerenciar regras do PhishER.

   

7. (Opcional) Se você quiser criar sequências de caracteres adicionais, clique no botão New String (Nova sequência de caracteres). Depois, insira os valores das novas sequências de caracteres.
   Observação:você pode criar até cinco sequências de caracteres por regra.

   

Depois de criar pelo menos uma sequência de caracteres, você precisará criar condições para a regra. Para obter mais informações, consulte a próxima seção deste artigo.

Depois de criar pelo menos uma sequência de caracteres, crie condições para a regra. As condições permitem que você especifique quais mensagens serão afetadas pela sua regra. Ao criar condições para a regra, é possível escolher entre três opções. Para obter mais informações sobre essas opções, veja a captura de tela e a lista abaixo:

1. Match any of the defined strings (Corresponder qualquer uma das sequências de caracteres definidas): selecione esta opção para detectar as mensagens que correspondem a qualquer uma das suas sequências de caracteres definidas.
2. Match all of the defined strings (Corresponder todas as sequências de caracteres definidas): selecione esta opção para detectar as mensagens que correspondem a todas as suas sequências de caracteres definidas.
3. Custom conditions (Condições personalizadas): selecione esta opção para detectar as mensagens que correspondem às suas condições personalizadas. Para obter mais informações sobre as condições personalizadas, consulte a subseção seguinte deste artigo.

Como criar condições personalizadas no Editor básico

Você pode criar até cinco condições personalizadas por regra. Para criar as condições personalizadas, crie expressões usando suas sequências de caracteres e operadores lógicos. Ao criar as condições personalizadas, você deve usar todas as sequências de caracteres criadas para a regra.

Para criar uma condição personalizada, siga estas etapas:

1. Na página Rule Details (Detalhes da regra), crie as sequências de caracteres de que você precisa para a condição personalizada.
2. Na seção Create Conditions (Criar condições) da página, selecione Custom conditions (Condições personalizadas).

   

3. No menu suspenso Choose string (Escolher sequência de caracteres), selecione uma das sequências de caracteres que você criou.

   

4. Para adicionar outra sequência de caracteres à condição, clique no menu suspenso Add (Adicionar).

   

5. No menu suspenso Add (Adicionar), selecione uma destas opções:
   • and: selecione esta opção se a regra precisar detectar mensagens que correspondam às duas sequências de caracteres.
   • or: selecione esta opção se a regra precisar detectar mensagens que correspondam a uma ou duas sequências de caracteres.
   • and not: selecione esta opção se a regra precisar detectar mensagens que correspondam à sequência de caracteres existente, mas não correspondam à sequência de caracteres que está sendo adicionada.
6. Depois de selecionar uma opção no menu suspenso Add (Adicionar), o menu suspenso Choose string (Escolher sequência de caracteres) será exibido. Nesse menu suspenso, selecione uma sequência de caracteres.

   

7. Repita as etapas de 4 a 6 até adicionar todas as sequências de caracteres de que você precisa para a condição.

Depois de criar sua primeira condição, crie até quatro condições adicionais para sua regra. Para criar uma nova condição, siga estas etapas:

1. Para adicionar outra condição, clique no menu suspenso New Condition Group (Novo grupo de condições).

   

2. No menu suspenso, selecione uma destas opções:
   • and: selecione esta opção se a regra precisar detectar mensagens que correspondam às duas condições.
   • or: selecione esta opção se a regra precisar detectar mensagens que correspondam à uma ou às duas condições.
   • and not: selecione esta opção se a regra precisar detectar mensagens que correspondam à condição existente, mas não correspondam à condição que está sendo adicionada.
3. Na seção da nova condição, selecione as sequências de caracteres necessárias à condição e escolha como elas devem estar relacionadas.
4. Repita as etapas de 1 a 3 até incluir todas as condições necessárias para a regra.
5. Clique em Save Rule (Salvar regra) para salvar a regra.

Para ver um exemplo das condições personalizadas, consulte a captura de tela e os detalhes abaixo:

Nesta captura de tela, estas três sequências de caracteres foram criadas: “.pdf”, “.htm” e “.exe”. As três sequências de caracteres foram usadas para criar duas condições personalizadas que devem atender à regra para detectar uma mensagem. A mensagem precisará incluir “.pdf” e “.htm” ou apenas “.exe” para ser detectada por essa regra.