reversinglabs yara rules

公式のReversingLabs Yaraルールリポジトリへようこそ！リポジトリは、新しい脅威のルールを開発するため、クラウドやその他の環境でのテストを通じて品質が証明された後、継続的に更新されます。

これらのルールは、脅威ハンター、インシデント対応者、セキュリティアナリスト、および環境に高品質の脅威検出ヤラルールを展開することで利益を得ることができる他の擁護者のために、脅威アナリストによって書かれています。

狩猟ルールとは対照的に、私たちの検出ルールは、展開の対象となる特定の基準を満たす必要があります。

• 検出品質を失うことなく、できるだけ正確にしてください
• ゼロの偽陽性検出を提供することを目指します

ルールを理解して維持しやすくするために、次の目標セットを採用しました。

• 明らかに名前が付けられたバイトパターン
• 読みやすく透明な条件
• 一意のマルウェア機能を一致させます
• 文字列よりもコードバイトパターンを好みます

私たちのルールの品質を確保するために、10Bを超える（および上昇）独自のバイナリで、クラウドでそれらを継続的かつ広範囲にテストします。すべてのレイヤーでルールが評価され、パックされたPEファイル、ドキュメント、アーカイブなど、階層化されたオブジェクト内の脅威を検出します。

Yaraルールセット全体を正常に実行するには、次のことが必要です。

• Yaraバージョン> = 3.2.0
• PEおよびELFモジュールが有効になっています

（または要件に準拠したその他のセキュリティソリューション）。

ルールの使用を開始するには、このリポジトリをクローンするだけで、データセットの実験を開始します。このリポジトリにあるYaraルールは、さまざまな環境で使用できます。最も簡単なセットアップは、公式のYaraリポジトリにあるスタンドアロンYara実行可能ファイルを介してそれらを使用することです。このルールは、ヤラ対応のサンドボックスやその他のファイル分析フレームワークなど、ヤラ統合を提供する多数の最新のセキュリティソリューションに展開することもできます。ただし、最良の結果を得るには、これらのルールを分類パイプラインにネイティブな統合を提供するReversingLabsのチタンプラットフォームを介してルールを使用することをお勧めします。

このプロジェクトは、MITライセンスに基づいてライセンスされています。詳細については、ライセンスファイルを参照してください。

ヤラエンジンの開発に積極的に参加しているすべての人々に感謝します。あなたがいなければ、これらのルールは不可能です。また、Yaraコミュニティに参加してくれたすべての人に感謝したいと思います。なぜなら、Yaraの使用方法を進化させ、ルールを書く方法を改善し、私たちの仕事を価値のあるものにしているからです。