ルールの作成 ルールまたはルール・ネーム・スペース内のルール・セットを作成します。 マルウェアの検出に役立つルールが使用されます。 このタスクについてルールの作成方法の例については、「チュートリアル・ガイド」タブを参照してください。 YARA ルール・マネージャーのルールの作成 手順 「YARA ルール・マネージャー」 タブで、 「名前空間の作成」をクリックします。 名前空間の名前と説明を入力します。 1 つ以上のルールを名前空間に追加します。 YARA ルールの編集 ボックスに 1 つ以上のルールを直接記述します。 1 つ以上のルールを含む .txt ファイルまたは .yar ファイルをアップロードします。 「アップロード」をクリックします。 ルールを含む .txt ファイルまたは .yar ファイルを選択します。 「上書きルール」 プロンプトが表示された場合は、追加したルールを名前空間に追加するか、名前空間内のすべてのルールを上書きするかを選択します。 GitHub URL ボックスに .yar ファイルへのリンクを入力して、GitHub からルールをインポートします。ヒント: GitHub リポジトリーから複数のルールをインポートするには、 GitHubからのルールのインポートを参照してください。 プロンプトが出されたら、作成またはインポートするルール内のすべての include ステートメントを、そのルールを含む名前空間にマップします。 ルールを作成またはインポートする対象と同じ名前空間にルールが存在する場合、またはインポートするファイルにルールが存在する場合は、 「なし (この名前空間に含まれるファイル) (None (File included in this Namespace))」を選択します。 ヒント: 一度に複数のインポート・ステートメントに対して同じ名前空間を選択することはできません。 マッピング用に選択した別の名前空間にマップされているインポート・ステートメントを含む名前空間を選択することはできません。 「保存」をクリックします。 シグマ・ルール・マネージャーのルールまたは AQL 検索の作成 手順 「SIGMA ルール・マネージャー」 タブで、「SIGMA ルール・トランスレーター」をクリックします。 1 つ以上のルールを追加します。 1 つ以上のルールを 「SIGMA の編集」 ルール・ボックスに直接書き込みます。 1 つ以上のルールを含むファイルをアップロードします。 「アップロード」をクリックします。 ルールを含むファイルを選択します。 QRadar ルールに変換するには、 「 QRadar ルールへの変換」 をクリックします。 カスタム・ルール名とルール・フィルターは自動的に入力されます。 保存するには、 「ルールとして保存」 をクリックします。 ルールを編集するには、 「編集」 をクリックします。 AQL 検索に変換するには、 「AQL 検索に変換 (Convert to AQL Search)」 をクリックします。 検索を実行するには、 「スキャンの実行」 をクリックします。 検索を編集するには、 「編集」 をクリックします。
YARA ルール・マネージャーのルールの作成 手順 「YARA ルール・マネージャー」 タブで、 「名前空間の作成」をクリックします。 名前空間の名前と説明を入力します。 1 つ以上のルールを名前空間に追加します。 YARA ルールの編集 ボックスに 1 つ以上のルールを直接記述します。 1 つ以上のルールを含む .txt ファイルまたは .yar ファイルをアップロードします。 「アップロード」をクリックします。 ルールを含む .txt ファイルまたは .yar ファイルを選択します。 「上書きルール」 プロンプトが表示された場合は、追加したルールを名前空間に追加するか、名前空間内のすべてのルールを上書きするかを選択します。 GitHub URL ボックスに .yar ファイルへのリンクを入力して、GitHub からルールをインポートします。ヒント: GitHub リポジトリーから複数のルールをインポートするには、 GitHubからのルールのインポートを参照してください。 プロンプトが出されたら、作成またはインポートするルール内のすべての include ステートメントを、そのルールを含む名前空間にマップします。 ルールを作成またはインポートする対象と同じ名前空間にルールが存在する場合、またはインポートするファイルにルールが存在する場合は、 「なし (この名前空間に含まれるファイル) (None (File included in this Namespace))」を選択します。 ヒント: 一度に複数のインポート・ステートメントに対して同じ名前空間を選択することはできません。 マッピング用に選択した別の名前空間にマップされているインポート・ステートメントを含む名前空間を選択することはできません。 「保存」をクリックします。
シグマ・ルール・マネージャーのルールまたは AQL 検索の作成 手順 「SIGMA ルール・マネージャー」 タブで、「SIGMA ルール・トランスレーター」をクリックします。 1 つ以上のルールを追加します。 1 つ以上のルールを 「SIGMA の編集」 ルール・ボックスに直接書き込みます。 1 つ以上のルールを含むファイルをアップロードします。 「アップロード」をクリックします。 ルールを含むファイルを選択します。 QRadar ルールに変換するには、 「 QRadar ルールへの変換」 をクリックします。 カスタム・ルール名とルール・フィルターは自動的に入力されます。 保存するには、 「ルールとして保存」 をクリックします。 ルールを編集するには、 「編集」 をクリックします。 AQL 検索に変換するには、 「AQL 検索に変換 (Convert to AQL Search)」 をクリックします。 検索を実行するには、 「スキャンの実行」 をクリックします。 検索を編集するには、 「編集」 をクリックします。