YARA Rule Manager による脅威の検出

脅威について、未加工ペイロード、ファイル、AQL 照会または保存済み検索の結果をスキャンします。

このタスクについて

脅威を検出するためにデータをスキャンする方法の例については、チュートリアル・ガイド タブを参照してください。

手順

  1. 「調査」 タブで、データ・ソースを選択します。
    選択 説明
    Payload ログ・ファイルのセクションなど、特定のテキスト・ビットをスキャンする場合は、ペイロード を選択します。
    拡張検索 (AQL) AQL 照会を作成し、その照会の結果をスキャンする場合は、拡張検索 (AQL) を選択します。
    保存済み検索 保存済み検索の結果をスキャンする場合は、保存済み検索を選択します。
    ファイルのアップロード スキャンするファイルをアップロードする場合は、ファイルのアップロードを選択します。
  2. 名前空間からルールを選択します。
    ヒント: 複数の名前空間からルールを選択する場合は、このステップを繰り返すことができます。
    1. 名前空間を選択します。
    2. 「ルール選択」「名前空間全体」 または 「選択したルール」に設定します。
      表 1.
      選択 説明
      名前空間全体 名前空間内のすべてのルールを使用してデータをスキャンし、 「サンプルが一致する必要がある」で選択した内容に基づいて結果を返す場合は、 「名前空間全体」 を選択します。
      選択されたルール 名前空間で使用可能な一部のルールのみを使用してデータをスキャンする場合は、選択されたルールを選択します。 ルールの選択 ドロップダウン・メニューからルールを選択します。
    3. セット 結果は、「すべてのルール」 または 「すべてのルール」に一致させる必要があります。
      表 2.
      選択 説明
      任意のルール 名前空間内のすべてのルールを使用してデータをスキャンし、1 つ以上のルールに一致する結果を返す場合は、任意のルールを選択します。
      すべてのルール 名前空間内のすべてのルールを使用してデータをスキャンし、すべてのルールに一致する結果を返す場合は、すべてのルールを選択します。
    4. スキャンに名前空間と選択したルールを追加するには、 「名前空間選択の追加」 をクリックします。
  3. 「スキャン構成 (Scan Configuration)」「名前空間を個別に実行 (任意の項目を一致させることができます)」 または 「名前空間をまとめて実行 (すべての項目が一致する必要があります)」に設定します。
    表 3.
    選択 説明
    名前空間は個別に実行されます (任意の項目を一致させることができます) 選択したすべてのルールを使用してデータをスキャンし、1 つ以上のルールに一致する結果を返す場合は、 「名前空間を個別に実行 (任意の項目を一致させることができます)」 を選択します。
    名前空間を一緒に実行 (すべての項目が一致する必要があります) 選択したすべてのルールを使用してデータをスキャンし、すべてのルールに一致する結果を返す場合は、 「一緒に実行する名前空間 (すべての項目が一致する必要があります)」 を選択します。
  4. 「スキャンの実行」をクリックします。