reversinglabs yara rules
1.0.0
مرحبًا بكم في مستودع قواعد ResversingLabs الرسمية Yara! سيتم تحديث المستودع بشكل مستمر ، حيث نطور قواعد لتهديدات جديدة ، وبعد أن تم إثبات جودتها من خلال الاختبار في السحابة والبيئات الأخرى.
كتبت هذه القواعد من قبل محللي التهديدات لدينا ، لصيادين التهديدات ، ومستجيبي الحوادث ، ومحللي الأمن ، وغيرهم من المدافعين الذين يمكن أن يستفيدوا من نشر قواعد YARA عالية الجودة في بيئتهم.
تحتاج قواعد الكشف الخاصة بنا ، على عكس قواعد الصيد ، إلى تلبية معايير معينة لتكون مؤهلة للنشر ، وهي:
من أجل أن تكون القواعد سهلة الفهم والمحافظة عليها ، اعتمدنا المجموعة التالية من الأهداف:
لضمان جودة قواعدنا ، نقوم باختبارها بشكل مستمر وبشكل مكثف في السحابة الخاصة بنا ، على أكثر من 10 ب (وارتفاع) ثنائيات فريدة. يتم تقييم القواعد على كل طبقة للكشف عن التهديدات داخل الكائنات ذات الطبقات ، مثل ملفات PE المعبأة والمستندات والمحفوظات ، من بين أشياء أخرى.
لتشغيل مجموعة قواعد Yara بأكملها بنجاح ، يجب أن يكون لديك:
(أو أي حل أمان آخر متوافق مع المتطلبات).
لبدء استخدام قواعدنا ، ما عليك سوى استنساخ هذا المستودع ، والبدء في التجربة على مجموعات البيانات الخاصة بك. يمكن استخدام قواعد Yara الموجودة في هذا المستودع في بيئات مختلفة ، وأبسط الإعداد هو استخدامها من خلال yara المستقل القابل للتنفيذ ، والتي يمكن العثور عليها في مستودع Yara الرسمي. يمكن أيضًا نشر القواعد في عدد كبير من حلول الأمان الحديثة التي توفر تكامل YARA ، مثل صناديق الرمل التي تدعم YARA ، وأطر تحليل الملفات الأخرى. ومع ذلك ، للحصول على أفضل النتائج ، من المستحسن استخدام القواعد من خلال منصة Titanium ResperingLabs التي توفر التكامل الأصلي لهذه القواعد في خط أنابيب التصنيف الخاص بها.
تم ترخيص هذا المشروع بموجب ترخيص معهد ماساتشوستس للتكنولوجيا - راجع ملف الترخيص للحصول على التفاصيل.
شكرًا لجميع الأشخاص الذين يشاركون بنشاط في تطوير محرك Yara - بدونك ، لن تكون هذه القواعد ممكنة. أيضًا ، نود أن نشكر كل من يشارك في مجتمع Yara ، لأنك تتطور بالطريقة التي يتم بها استخدام Yara ، وتحسين كيفية كتابة القواعد ، وهي ما يجعل عملنا جديراً بالاهتمام.
