Création de règles

Créez une règle ou un ensemble de règles dans un espace de nom de règles. Les règles sont utilisées pour aider à détecter les logiciels malveillants.

A propos de cette tâche

Pour un exemple de création d'une règle, voir l'onglet Tutorial Guide.

Création de règles pour le gestionnaire de règles YARA

Procédure

  1. Dans l'onglet Gestionnaire de règles YARA , cliquez sur Créer un espace de nom.
  2. Entrez un nom et une description pour l'espace de nom.
  3. Ajoutez une ou plusieurs règles à l'espace de nom.
    • Ecrivez une ou plusieurs règles directement dans la zone Edit YARA rules.
    • Téléchargez un fichier.txt ou .yar contenant une ou plusieurs règles.
      1. Cliquez sur Télécharger.
      2. Sélectionnez le fichier .txt ou .yar avec vos règles.
      3. Si l'invite Règles d'écrasement s'affiche, choisissez d'ajouter les règles que vous avez ajoutées à l'espace de nom ou de remplacer toutes les règles de l'espace de nom.
    • Importez une règle à partir de GitHub en entrant un lien vers un fichier .yar dans la zone URL GitHub.
      Astuce: Pour importer plusieurs règles à partir d'un référentiel GitHub , voir Importation de règles à partir de GitHub.
  4. Si vous y êtes invité, mappez les instructions d'inclusion dans les règles que vous créez ou importez vers l'espace de nom qui contient la règle.

    Si la règle existe dans le même espace de nom que celui pour lequel vous créez ou importez une règle ou qu'elle se trouve dans un fichier que vous importez, sélectionnez Aucun (fichier inclus dans cet espace de nom).

    Astuce: Vous ne pouvez pas sélectionner le même espace de nom pour plusieurs instructions d'importation à la fois. Vous ne pouvez pas sélectionner un espace de nom qui inclut une instruction d'importation mappée à un autre espace de nom que vous avez sélectionné pour le mappage.
  5. Cliquez sur Sauvegarder.

Création de règles ou de recherches AQL pour le gestionnaire de règles Sigma

Procédure

  1. Dans l'onglet SIGMA Rule Manager , cliquez sur SIGMA Rule Translator.
  2. Ajoutez une ou plusieurs règles.
    1. Ecrire une ou plusieurs règles directement dans la zone Editer les règles SIGMA .
    2. Transférez un fichier contenant une ou plusieurs règles.
    3. Cliquez sur Télécharger.
    4. Sélectionnez le fichier avec vos règles.
  3. Cliquez sur Convertir en règle QRadar pour convertir en règle QRadar .
    1. Les noms de règle personnalisés et les filtres de règle seront remplis automatiquement.
    2. Cliquez sur Sauvegarder en tant que règle pour sauvegarder.
    3. Cliquez sur Editer pour éditer la règle.
  4. Cliquez sur Convertir en recherche AQL pour convertir en recherche AQL.
    1. Cliquez sur Exécuter l'analyse pour exécuter la recherche.
    2. Cliquez sur Editer pour éditer la recherche.