reversinglabs yara rules
1.0.0
ยินดีต้อนรับสู่การกลับรายการอย่างเป็นทางการของ Yara Rules Repository! ที่เก็บจะได้รับการปรับปรุงอย่างต่อเนื่องในขณะที่เราพัฒนากฎสำหรับภัยคุกคามใหม่และหลังจากคุณภาพของพวกเขาได้รับการพิสูจน์ผ่านการทดสอบในคลาวด์และสภาพแวดล้อมอื่น ๆ ของเรา
กฎเหล่านี้ถูกเขียนขึ้นโดยนักวิเคราะห์ภัยคุกคามของเราสำหรับนักล่าภัยคุกคามผู้ตอบโต้เหตุการณ์นักวิเคราะห์ความปลอดภัยและผู้ปกป้องคนอื่น ๆ ที่จะได้รับประโยชน์จากการปรับใช้การตรวจจับภัยคุกคามคุณภาพสูง Yara ในสภาพแวดล้อมของพวกเขา
กฎการตรวจจับของเราซึ่งตรงข้ามกับกฎการล่าสัตว์จำเป็นต้องเป็นไปตามเกณฑ์บางประการที่จะมีสิทธิ์ได้รับการปรับใช้คือ:
เพื่อให้กฎนั้นง่ายต่อการเข้าใจและบำรุงรักษาเราใช้ชุดเป้าหมายต่อไปนี้:
เพื่อให้แน่ใจว่าคุณภาพของกฎของเราเราทดสอบอย่างต่อเนื่องและกว้างขวางในคลาวด์ของเราบนไบนารีที่ไม่ซ้ำกันมากกว่า 10b (และเพิ่มขึ้น) กฎจะถูกประเมินในทุกเลเยอร์เพื่อตรวจจับภัยคุกคามภายในวัตถุที่มีเลเยอร์เช่นไฟล์ PE ที่บรรจุเอกสารเอกสารและเอกสารสำคัญเหนือสิ่งอื่นใด
ในการเรียกใช้ชุดกฎ Yara ทั้งหมดสำเร็จคุณต้องมี:
(หรือโซลูชันความปลอดภัยอื่น ๆ ที่สอดคล้องกับข้อกำหนด)
ในการเริ่มใช้กฎของเราเพียงโคลนที่เก็บนี้และเริ่มทดลองชุดข้อมูลของคุณ กฎของ Yara ที่พบในที่เก็บนี้สามารถใช้ในสภาพแวดล้อมที่หลากหลายและการตั้งค่าที่ง่ายที่สุดคือการใช้พวกเขาผ่านการปฏิบัติการของ Yara แบบสแตนด์อโลนซึ่งสามารถพบได้ในที่เก็บ Yara อย่างเป็นทางการ กฎยังสามารถนำไปใช้ในโซลูชั่นความปลอดภัยที่ทันสมัยจำนวนมากที่เสนอการรวม YARA เช่นกล่องทรายที่เปิดใช้งาน YARA และกรอบการวิเคราะห์ไฟล์อื่น ๆ อย่างไรก็ตามเพื่อให้ได้ผลลัพธ์ที่ดีที่สุดขอแนะนำให้ใช้กฎผ่านแพลตฟอร์มไทเทเนียมของ ReversingLabs ซึ่งเสนอการรวมกฎเหล่านี้เข้ากับการจำแนกประเภท
โครงการนี้ได้รับใบอนุญาตภายใต้ใบอนุญาต MIT - ดูไฟล์ใบอนุญาตสำหรับรายละเอียด
ขอบคุณไปทุกคนที่มีส่วนร่วมในการพัฒนาเครื่องยนต์ Yara - หากไม่มีคุณกฎเหล่านี้จะเป็นไปไม่ได้ นอกจากนี้เราขอขอบคุณทุกคนที่มีส่วนร่วมในชุมชน Yara เพราะคุณพัฒนาวิธีที่ Yara ใช้ปรับปรุงวิธีการเขียนกฎและเป็นสิ่งที่ทำให้งานของเราคุ้มค่า
