규칙 작성

규칙 네임스페이스에 규칙 또는 규칙 세트를 작성합니다. 규칙은 악성 코드를 발견하는 데 사용됩니다.

이 태스크에 대한 정보

규칙을 작성하는 방법의 예는 학습서 안내서 탭을 참조하십시오.

YARA 규칙 관리자에 대한 규칙 작성

프로시저

  1. YARA 규칙 관리자 탭에서 네임스페이스 작성을 클릭하십시오.
  2. 네임스페이스의 이름 및 설명을 입력하십시오.
  3. 네임스페이스에 하나 이상의 규칙을 추가하십시오.
    • YARA 규칙 편집 상자 직접 하나 이상의 규칙을 작성하십시오.
    • 하나 이상의 규칙이 포함된 .txt 또는 .yar 파일을 업로드하십시오.
      1. 업로드를 클릭하십시오.
      2. 규칙이 포함된 .txt 또는 .yar 파일을 선택하십시오.
      3. 규칙 겹쳐쓰기 프롬프트가 표시되면 네임스페이스에 추가한 규칙을 추가하거나 네임스페이스의 모든 규칙을 겹쳐쓰도록 선택하십시오.
    • GitHub URL 상자에 .yar 파일에 대한 링크를 입력하여 GitHub에서 규칙을 가져오십시오.
      팁: GitHub 저장소에서 여러 규칙을 가져오려면 GitHub를 참조하십시오.
  4. 프롬프트가 표시되면 규칙을 포함하는 네임스페이스에 작성하거나 가져오는 규칙의 include문을 맵핑하십시오.

    규칙을 작성하거나 가져오는 동일한 네임스페이스에 규칙이 있거나 가져오는 파일에 규칙이 있는 경우 없음 (이 네임스페이스에 포함된 파일)을 선택하십시오.

    팁: 한 번에 둘 이상의 import문에 대해 동일한 네임스페이스를 선택할 수 없습니다. 맵핑을 위해 선택한 다른 네임스페이스에 맵핑된 import문을 포함하는 네임스페이스를 선택할 수 없습니다.
  5. 저장을 클릭하십시오.

Sigma 규칙 관리자에 대한 규칙 또는 AQL 검색 작성

프로시저

  1. SIGMA 규칙 관리자 탭에서 SIGMA 규칙 변환기를 누르십시오.
  2. 하나 이상의 규칙을 추가하십시오.
    1. SIGMA 편집 규칙 상자에서 직접 하나 이상의 규칙을 작성하십시오.
    2. 하나 이상의 규칙을 포함하는 파일을 업로드하십시오.
    3. 업로드를 클릭하십시오.
    4. 규칙이 있는 파일을 선택하십시오.
  3. QRadar 규칙으로 변환하려면 QRadar 규칙으로 변환 을 클릭하십시오.
    1. 사용자 정의 규칙 이름 및 규칙 필터가 자동으로 채워집니다.
    2. 저장하려면 규칙으로 저장 을 클릭하십시오.
    3. 규칙을 편집하려면 편집 을 클릭하십시오.
  4. AQL 검색으로 변환하려면 AQL 검색으로 변환 을 누르십시오.
    1. 스캔 실행 을 클릭하여 검색을 실행하십시오.
    2. 검색을 편집하려면 편집 을 클릭하십시오.