Creación de reglas

Cree una regla o conjunto de reglas en un espacio de nombres de reglas. Las reglas se utilizan para ayudar a detectar malware.

Acerca de esta tarea

Para ver un ejemplo de cómo crear una regla, consulte la pestaña Guía de aprendizaje.

Creación de reglas para el gestor de reglas YARA

Procedimiento

  1. En el separador Gestor de reglas YARA , pulse Crear espacio de nombres.
  2. Especifique un nombre y una descripción para el espacio de nombres.
  3. Añada una o varias reglas al espacio de nombres.
    • Escriba una o varias reglas directamente en el recuadro Editar reglas YARA.
    • Cargue un archivo .txt o .yar que contenga una o varias reglas.
      1. Pulse Cargar.
      2. Seleccione el archivo .txt o .yar con sus reglas.
      3. Si aparece la solicitud Sobrescribir reglas , elija añadir las reglas que ha añadido al espacio de nombres o sobrescribir todas las reglas del espacio de nombres.
    • Importe una regla de GitHub especificando un enlace a un archivo .yar en el recuadro URL de GitHub.
      Sugerencia: Para importar varias reglas desde un repositorio GitHub , consulte Importación de reglas desde GitHub.
  4. Si se le solicita, correlacione las sentencias de inclusión en las reglas que está creando o importando al espacio de nombres que contiene la regla.

    Si la regla existe en el mismo espacio de nombres para el que está creando o importando una regla, o está en un archivo que está importando, seleccione Ninguno (Archivo incluido en este espacio de nombres).

    Sugerencia: No puede seleccionar el mismo espacio de nombres para más de una sentencia de importación a la vez. No puede seleccionar un espacio de nombres que incluya una sentencia de importación que esté correlacionada con otro espacio de nombres que haya seleccionado para la correlación.
  5. Pulse Guardar.

Creación de reglas o búsquedas de AQL para el gestor de reglas Sigma

Procedimiento

  1. En la pestaña Gestor de reglas SIGMA , pulse Conversor de reglasde SIGMA.
  2. Añadir una o más reglas.
    1. Escriba una o más reglas directamente en el recuadro de reglas Editar SIGMA .
    2. Cargue un archivo que contenga una o más reglas.
    3. Pulse Cargar.
    4. Seleccione el archivo con las reglas.
  3. Pulse Convertir en una regla de QRadar para convertir en una regla de QRadar .
    1. El nombre de regla personalizada y los filtros de regla se rellenarán automáticamente.
    2. Haga clic en Guardar como regla para guardar.
    3. Haga clic en Editar para editar la regla.
  4. Pulse Convertir en búsqueda de AQL para convertir a una búsqueda de AQL.
    1. Haga clic en Ejecutar exploración para ejecutar la búsqueda.
    2. Haga clic en Editar para editar la búsqueda.