tworzenie reguł

Utwórz regułę lub zestaw reguł w przestrzeni nazw reguł. Reguły są używane do wykrywania szkodliwego oprogramowania.

Informacje o tym zadaniu

Przykład tworzenia reguły można znaleźć na karcie Podręcznik kursu .

Tworzenie reguł dla menedżera reguł YARA

Procedura

  1. Na karcie YARA, Menedżer reguł kliknij opcję Utwórz przestrzeń nazw.
  2. Służy do wprowadzania nazwy i opisu przestrzeni nazw.
  3. Dodaj jedną lub większą liczbę reguł do przestrzeni nazw.
    • Napisz jedną lub więcej reguł bezpośrednio w polu Edytuj reguły YARA .
    • Prześlij plik .txt lub .yar zawierający jedną lub więcej reguł.
      1. Kliknij przycisk Prześlij.
      2. Wybierz plik .txt lub .yar z regułami.
      3. Jeśli pojawi się zachęta Nadpisz reguły , wybierz, czy chcesz dodać reguły dodane do przestrzeni nazw, czy też nadpisać wszystkie reguły w przestrzeni nazw.
    • Zaimportuj regułę z programu GitHub , wprowadzając odsyłacz do pliku .yar w polu GitHub URL (Adres URL serwera GitHub).
      Wskazówka: Aby zaimportować wiele reguł z programu GitHub repo, należy zapoznać się z Importowanie reguł z serwisu GitHub.
  4. Jeśli zostanie wyświetlone zapytanie, odwzoruj wszystkie instrukcje include w regułach, które są tworzone lub importujące do przestrzeni nazw zawierającej regułę.

    Jeśli reguła istnieje w tej samej przestrzeni nazw, dla której tworzona jest reguła lub importując regułę, albo w importowanej pliku, wybierz opcję Brak (plik zawarty w tej przestrzeni nazw).

    Wskazówka: Nie można wybrać tej samej przestrzeni nazw dla więcej niż jednej instrukcji importu w danym momencie. Nie można wybrać przestrzeni nazw zawierającej instrukcję importu, która jest odwzorowana na inną przestrzeń nazw wybraną do odwzorowania.
  5. Kliknij przycisk Zapisz.

Tworzenie reguł lub wyszukiwanie AQL dla menedżera reguł Sigma

Procedura

  1. Na karcie SIGMA Rule Manager (Menedżer reguł SIGMA) kliknij opcję SIGMA Rule Translator(Tłumacz reguły).
  2. Dodaj jedną lub większą liczbę reguł.
    1. Wpisz jedną lub więcej reguł bezpośrednio w polu reguł Edytuj SIGMA .
    2. Prześlij plik zawierający jedną lub większą liczbę reguł.
    3. Kliknij przycisk Prześlij.
    4. Wybierz plik z regułami.
  3. Kliknij opcję Przekształć w regułę QRadar , aby przekształcić ją w regułę QRadar.
    1. Niestandardowe nazwy reguł i filtrów reguł będą wypełniane automatycznie.
    2. Kliknij opcję Zapisz jako regułę , aby zapisać.
    3. Kliknij przycisk Edytuj , aby edytować regułę.
  4. Kliknij opcję Przekształć w wyszukiwanie AQL , aby przekształcić je w wyszukiwanie AQL.
    1. Kliknij opcję Uruchom skanowanie , aby wykonać wyszukiwanie.
    2. Kliknij przycisk Edytuj , aby edytować wyszukiwanie.