Regeln erstellen

Erstellen Sie eine Regel oder einen Regelsatz in einem Regelnamensbereich. Regeln werden verwendet, um Malware zu erkennen.

Informationen zu dieser Task

Ein Beispiel dafür, wie eine Regel erstellt wird, finden Sie auf der Registerkarte Lernprogrammhandbuch.

Regeln für YARA-Regelmanager erstellen

Vorgehensweise

  1. Klicken Sie auf der Registerkarte YARA Rule Manager auf Namensbereich erstellen.
  2. Geben Sie einen Namen und eine Beschreibung für den Namensbereich ein.
  3. Fügen Sie mindestens eine Regel zum Namensbereich hinzu.
    • Schreiben Sie mindestens eine Regel direkt in das Feld YARA-Regeln bearbeiten.
    • Laden Sie eine .txtoder .yar-Datei hoch, die eine oder mehrere Regeln enthält.
      1. Klicken Sie auf Hochladen.
      2. Wählen Sie die .txtoder .yar-Datei mit Ihren Regeln aus.
      3. Wenn die Eingabeaufforderung Regeln überschreiben angezeigt wird, können Sie auswählen, ob die Regeln, die Sie zum Namensbereich hinzugefügt haben, angehängt oder alle Regeln im Namensbereich überschrieben werden sollen.
    • Importieren Sie eine Regel aus GitHub, indem Sie einen Link zu einer .yar-Datei im Feld GitHub-URL eingeben.
      Tipp: Informationen zum Importieren mehrerer Regeln aus einem GitHub -Repository finden Sie unter Regeln aus GitHub.
  4. Wenn Sie dazu aufgefordert werden, ordnen Sie alle Include-Anweisungen in den Regeln zu, die Sie erstellen oder in den Namensbereich importieren, der die Regel enthält.

    Wenn die Regel in demselben Namensbereich vorhanden ist, für den Sie eine Regel erstellen oder importieren, oder sich in einer Datei befindet, die Sie importieren, wählen Sie Keine (Datei in diesem Namensbereich enthalten).

    Tipp: Sie können denselben Namensbereich nicht für mehrere Importanweisungen gleichzeitig auswählen. Sie können keinen Namensbereich auswählen, der eine Importanweisung enthält, die einem anderen Namensbereich zugeordnet ist, den Sie für die Zuordnung ausgewählt haben.
  5. Klicken Sie auf Speichern.

Regeln oder AQL-Suchen für Sigma-Regelmanager erstellen

Vorgehensweise

  1. Klicken Sie auf der Registerkarte Sigma Rule Manager auf SIGMA Rule Translator.
  2. Fügen Sie eine oder mehrere Regeln hinzu
    1. Schreiben Sie mindestens eine Regel direkt in das Regelfeld SIGMA bearbeiten .
    2. Laden Sie eine Datei hoch, die mindestens eine Regel enthält
    3. Klicken Sie auf Hochladen.
    4. Wählen Sie die Datei mit Ihren Regeln aus.
  3. Klicken Sie auf In eine QRadar -Regel konvertieren , um in eine QRadar -Regel zu konvertieren.
    1. Der angepasste Regelname und die Regelfilter werden automatisch gefüllt.
    2. Klicken Sie zum Speichern auf Als Regel speichern .
    3. Klicken Sie auf Bearbeiten , um die Regel zu bearbeiten.
  4. Klicken Sie auf In AQL-Suche konvertieren , um in eine AQL-Suche zu konvertieren.
    1. Klicken Sie auf Scan ausführen , um die Suche auszuführen.
    2. Klicken Sie auf Bearbeiten , um die Suche zu bearbeiten.