د پرمختللي مالویر کشف لپاره د YARA کارولو څرنګوالی

¿د پرمختللي مالویر کشف لپاره YARA څنګه وکاروئ؟ کله چې دودیز انټي ویروس پروګرامونه خپلو حدونو ته ورسیږي او بریدګر له هرې ممکنه درز څخه تیریږي، نو یوه وسیله چې د پیښو د غبرګون لابراتوارونو کې اړینه ګرځیدلې ده، په عمل کې راځي: یارا، د مالویر ښکار لپاره "سویس چاقو"د متن او بائنری نمونو په کارولو سره د ناوړه سافټویر کورنۍ تشریح کولو لپاره ډیزاین شوی، دا د ساده هش میچ کولو څخه ډیر لرې تګ ته اجازه ورکوي.

په ښي لاسونو کې، YARA یوازې د موندلو لپاره نه دی نه یوازې د مالویر پیژندل شوي نمونې، بلکې نوي ډولونه، د صفر ورځې کارونې، او حتی سوداګریز برید وسیلې همپه دې مقاله کې، موږ به په ژوره او عملي توګه وپلټو چې څنګه د پرمختللي مالویر کشف لپاره YARA وکاروو، څنګه قوي قواعد ولیکئ، څنګه یې ازموینه وکړئ، څنګه یې د Veeam یا ستاسو د خپل تحلیل کاري فلو په څیر پلیټ فارمونو کې مدغم کړئ، او مسلکي ټولنه کومې غوره کړنې تعقیبوي.

YARA څه شی دی او ولې د مالویر په کشفولو کې دومره پیاوړی دی؟

YARA د "یو بل تکراري مخفف" لپاره ولاړ دی او د ګواښ تحلیل کې یو ریښتینی معیار ګرځیدلی ځکه چې دا د لوستلو وړ، واضح، او خورا انعطاف منونکو قواعدو په کارولو سره د مالویر کورنۍ تشریح کولو ته اجازه ورکوي.د دې پر ځای چې یوازې په جامد انټي ویروس لاسلیکونو تکیه وکړي، YARA د هغو نمونو سره کار کوي چې تاسو یې پخپله تعریف کوئ.

اساسي مفکوره ساده ده: د YARA قاعده یوه فایل (یا حافظه، یا د معلوماتو جریان) معاینه کوي او ګوري چې ایا د شرایطو لړۍ پوره شوې ده. د متن تارونو، هیکساډیسیمل ترتیبونو، منظم اظهارونو، یا د فایل ملکیتونو پر بنسټ شرایطکه چیرې شرط پوره شي، نو یو "میچ" شتون لري او تاسو کولی شئ خبرتیا ورکړئ، بند کړئ، یا ډیر ژور تحلیل ترسره کړئ.

دا طریقه امنیتي ټیمونو ته اجازه ورکوي چې د ټولو ډولونو مالویر وپیژنئ او طبقه بندي یې کړئ: کلاسیک ویروسونه، چینجي، ټروجن، رینسم ویئر، ویب شیلونه، کریپټوماینرونه، ناوړه میکرو، او ډیر نوردا د ځانګړو فایلونو توسیعونو یا فارمیټونو پورې محدود نه دی، نو دا د .pdf توسیع یا د ویب شیل لرونکي HTML فایل سره یو پټ اجرایوي وړ هم کشف کوي.

سربیره پردې، YARA لا دمخه د سایبر امنیت ایکوسیستم په ډیری مهمو خدماتو او وسیلو کې مدغم شوی دی: ویروس ټوټل، د کوکو په څیر سینڈ باکسونه، د ویم په څیر بیک اپ پلیټ فارمونه، یا د لوړ پوړو تولیدونکو څخه د ګواښ ښکار حلونهله همدې امله، د YARA ماسټري کول تقریبا د پرمختللو شنونکو او څیړونکو لپاره یوه اړتیا ګرځیدلې ده.

د مالویر کشف کې د YARA پرمختللي کارونې قضیې

د YARA یو له قوتونو څخه دا دی چې دا د SOC څخه تر مالویر لابراتوار پورې د ډیری امنیتي سناریوګانو سره د دستکشې په څیر تطبیق کوي. ورته قوانین د یو ځل ښکار او دوامداره څارنې دواړو لپاره پلي کیږي..

تر ټولو مستقیم قضیه د جوړولو پورې اړه لري د ځانګړو مالویر یا ټولو کورنیو لپاره ځانګړي قوانینکه ستاسو سازمان د یوې پیژندل شوې کورنۍ پر بنسټ د کمپاین لخوا برید کیږي (د مثال په توګه، د لرې لاسرسي ټروجن یا د APT ګواښ)، تاسو کولی شئ د ځانګړتیاو تارونه او نمونې پروفایل کړئ او قواعد رامینځته کړئ چې په چټکۍ سره نوي اړوند نمونې وپیژني.

بل کلاسیک استعمال د تمرکز دی یارا د لاسلیکونو پر بنسټدا قواعد د هشونو، خورا مشخص متن تارونو، کوډ سنیپټونو، د راجسټری کیلي، یا حتی ځانګړي بایټ ترتیبونو موندلو لپاره ډیزاین شوي چې د ورته مالویر په ډیری ډولونو کې تکرار کیږي. په هرصورت، په یاد ولرئ چې که تاسو یوازې د کوچني تارونو لټون کوئ، تاسو د غلط مثبتو رامینځته کولو خطر لرئ.

یارا د فلټر کولو په برخه کې هم ځلیږي د فایل ډولونه یا ساختماني ځانګړتیاوېدا ممکنه ده چې هغه قوانین رامینځته کړئ چې د PE اجرایوي، دفتري اسنادو، PDFs، یا په حقیقت کې هر ډول بڼه باندې پلي کیږي، د تارونو سره د ملکیتونو لکه د فایل اندازه، ځانګړي سرلیکونه (د مثال په توګه، د PE اجرایوي لپاره 0x5A4D)، یا د شکمن فعالیت وارداتو سره یوځای کولو سره.

په عصري چاپیریال کې، د هغې کارول د د ګواښ استخباراتعامه زیرمې، د څیړنې راپورونه، او د IOC فیډونه د YARA قواعدو ته ژباړل شوي چې په SIEM، EDR، بیک اپ پلیټ فارمونو، یا سینڈ باکسونو کې مدغم شوي دي. دا سازمانونو ته اجازه ورکوي چې په چټکۍ سره هغه راپورته کیدونکي ګواښونه کشف کړئ چې د هغو کمپاینونو سره ځانګړتیاوې شریکوي چې دمخه تحلیل شوي دي.

د YARA قواعدو د ترکیب پوهیدل

د YARA ترکیب د C سره خورا ورته دی، مګر په ساده او ډیر متمرکز ډول. هر قاعده د یو نوم، د اختیاري میټاډاټا برخه، د تار برخه، او په لازمي ډول د شرایطو برخه لري.له دې وروسته، ځواک په دې کې دی چې تاسو دا ټول څنګه سره یوځای کوئ.

لومړی د د قانون نومدا باید د کلیدي کلمې وروسته سم لاړ شي حاکمیت (o واکمن که تاسو په هسپانوي ژبه کې سند ورکوئ، که څه هم په فایل کې کلیدي کلمه به وي حاکمیتاو باید یو باوري پیژندونکی وي: نه ځایونه، نه شمیره، او نه انډر سکور. دا ښه نظر دی چې یو واضح کنوانسیون تعقیب کړئ، د مثال په توګه یو څه لکه د مالویر_کورنۍ_ډول o د APT_اداکار_وسیله، کوم چې تاسو ته اجازه درکوي چې په یو نظر کې هغه څه وپیژنئ چې د کشف کولو لپاره یې هدف دی.

بله برخه راځي ځړونهچیرې چې تاسو هغه نمونې تعریف کوئ چې تاسو یې لټول غواړئ. دلته تاسو کولی شئ درې اصلي ډولونه وکاروئ: د متن تارونه، هیکساډیسیمل سلسلې، او منظم څرګندونېد متن تارونه د انسان د لوستلو وړ کوډ سنیپټونو، URLs، داخلي پیغامونو، د لارې نومونو، یا PDBs لپاره مثالي دي. هیکساډیسیمل تاسو ته اجازه درکوي چې د خام بایټ نمونې ونیسئ، کوم چې خورا ګټور دي کله چې کوډ مبهم وي مګر ځینې ثابت ترتیبونه ساتي.

منظم څرګندونې انعطاف چمتو کوي کله چې تاسو اړتیا لرئ په تار کې کوچني بدلونونه پوښئ، لکه د ډومینونو بدلول یا د کوډ لږ څه بدل شوي برخې. سربېره پردې، دواړه سټرینګونه او ریجیکس ایسکیپ ته اجازه ورکوي چې د خپل سري بایټونو استازیتوب وکړي.، کوم چې د خورا دقیق هایبرډ نمونو لپاره دروازه پرانیزي.

برخه حالت دا یوازینی لازمي دی او تعریفوي کله چې یو قاعده د فایل "سره سمون" لپاره په پام کې نیول کیږي. هلته تاسو د بولین او ریاضي عملیات کاروئ (او، یا، نه، +، -، *، /، هر، ټول، لري، او داسې نور.) د ساده "که دا تار څرګند شي" په پرتله د کشف کولو غوره منطق څرګندولو لپاره.

د مثال په توګه، تاسو کولی شئ مشخص کړئ چې دا قاعده یوازې هغه وخت اعتبار لري کله چې فایل د یوې ټاکلې اندازې څخه کوچنی وي، که چیرې ټول مهم تارونه څرګند شي، یا که لږترلږه د څو تارونو څخه یو شتون ولري. تاسو کولی شئ شرایط هم یوځای کړئ لکه د تار اوږدوالی، د میچونو شمیر، په فایل کې ځانګړي آفسیټونه، یا پخپله د فایل اندازه.دلته تخلیقیت د عمومي قواعدو او جراحي کشفونو ترمنځ توپیر رامینځته کوي.

په پای کې، تاسو اختیاري برخه لرئ metaد دورې د مستند کولو لپاره مثالی دی. دا عام دی چې پکې شامل وي لیکوال، د جوړولو نیټه، توضیحات، داخلي نسخه، د راپورونو یا ټکټونو حواله او په عمومي توګه، هر هغه معلومات چې د زیرمې تنظیم او د نورو شنونکو لپاره د پوهیدو وړ ساتلو کې مرسته کوي.

د YARA پرمختللو قوانینو عملي مثالونه

د پورته ټولو خبرو اترو د لیدلو لپاره، دا ګټوره ده چې وګورو چې یو ساده قاعده څنګه جوړښت لري او څنګه هغه وخت پیچلې کیږي کله چې اجرا کیدونکي فایلونه، شکمن واردات، یا تکراري لارښوونې ترتیبونه پلي شي. راځئ چې د لوبو د کرښې سره پیل وکړو او په تدریجي ډول یې اندازه لوړه کړو..

یو لږترلږه قاعده یوازې یو تار او یو شرط لري چې دا لازمي کوي. د مثال په توګه، تاسو کولی شئ د یو ځانګړي متن تار یا د مالویر ټوټې استازیتوب کولو بایټ ترتیب وپلټئ. په دې حالت کې، شرط به په ساده ډول ووایي چې که چیرې دا تار یا نمونه ښکاره شي نو قاعده پوره کیږي.، پرته له نورو فلټرونو څخه.

په هرصورت، په حقیقي نړۍ ترتیباتو کې دا لنډ دی، ځکه چې ساده زنځیرونه ډیری وختونه ډیری غلط مثبتونه رامینځته کويله همدې امله دا عام دی چې څو تارونه (متن او هیکساډیسیمل) د اضافي محدودیتونو سره یوځای کړئ: دا چې فایل له یوې ټاکلې اندازې څخه ډیر نه وي، دا چې دا ځانګړي سرلیکونه لري، یا دا چې دا یوازې هغه وخت فعال کیږي کله چې د هر تعریف شوي ګروپ څخه لږترلږه یو تار وموندل شي.

د PE اجرایوي تحلیل کې یو عام مثال د ماډل واردول شامل دي pe د YARA څخه، کوم چې تاسو ته اجازه درکوي د بائنری داخلي ملکیتونو پوښتنه وکړئ: وارد شوي دندې، برخې، د وخت سټمپونه، او نور. یو پرمختللی قاعده کولی شي فایل واردولو ته اړتیا ولري پروسه جوړه کړئ مستحق کیینیل 32.ډیل او د HTTP ځینې فعالیت له wininet.dll نصب کړئ، سربیره پردې چې یو ځانګړی تار لري چې د ناوړه چلند ښودونکی دی.

دا ډول منطق د موندلو لپاره مناسب دی ټروجنونه چې د لرې پرتو اړیکو یا د ایستلو وړتیاوې لريحتی کله چې د فایل نومونه یا لارې له یو کمپاین څخه بل ته بدلیږي. مهمه خبره دا ده چې په اصلي چلند تمرکز وکړئ: د پروسې جوړول، د HTTP غوښتنې، کوډ کول، دوام، او نور.

یو بل خورا مؤثر تخنیک دا دی چې وګورئ د لارښوونو لړۍ چې تکرار کیږي د ورته کورنۍ څخه د نمونو ترمنځ. حتی که بریدګر بائنری بسته کړي یا یې پټ کړي، دوی ډیری وختونه د کوډ هغه برخې بیا کاروي چې بدلول یې ستونزمن دي. که، د جامد تحلیل وروسته، تاسو د لارښوونو دوامداره بلاکونه ومومئ، تاسو کولی شئ د په هیکساډیسیمل تارونو کې وائلډ کارډونه چې دا نمونه نیسي پداسې حال کې چې یو ټاکلی زغم ساتي.

د دې "کوډ چلند پر بنسټ" قواعدو سره دا ممکنه ده د مالویر ټول کمپاینونه تعقیب کړئ لکه د PlugX/Korplug یا نورو APT کورنیو کمپاینونهتاسو یوازې یو ځانګړی هش نه کشف کوئ، بلکه تاسو د پراختیا سټایل تعقیب کوئ، د بیلګې په توګه، د برید کونکو.

د YARA کارول په ریښتیني کمپاینونو او د صفر ورځې ګواښونو کې

یارا خپل ارزښت په ځانګړي ډول د پرمختللو ګواښونو او صفر ورځې کارونو په برخه کې ثابت کړی دی، چیرې چې د محافظت کلاسیک میکانیزمونه ډیر ناوخته راځي. یوه مشهوره بیلګه د YARA کارول دي چې په سلور لایټ کې د لږترلږه لیک شوي استخباراتو څخه د کارونې موندلو لپاره کارول کیږي..

په دې حالت کې، د هغه شرکت څخه غلا شوي بریښنالیکونو څخه چې د برید کونکو وسیلو پراختیا ته وقف شوي وو، کافي نمونې استخراج شوې ترڅو یو ځانګړی استحصال ته متوجه قانون جوړ کړي. د دې واحد قاعدې سره، څیړونکي وکولای شول چې د شکمنو فایلونو له لارې نمونه تعقیب کړي.د استحصال نښه وپیژنئ او د هغې پیچ کول په زور سره وکړئ، د ډیر جدي زیان مخه ونیسئ.

دا ډول کیسې ښیي چې یارا څنګه کار کولی شي د فایلونو په سمندر کې د کب نیولو جالخپل د کارپوریټ شبکه د هر ډول "کبانو" (فایلونو) څخه ډک سمندر په توګه تصور کړئ. ستاسو قوانین د ټراول جال کې د برخو په څیر دي: هره برخه هغه کب ساتي چې ځانګړي ځانګړتیاوې لري.

کله چې تاسو کشول پای ته ورسوئ، تاسو لرئ نمونې د ځانګړو کورنیو یا د بریدګرو ډلو سره د ورته والي له مخې ګروپ شوي: "د نوعو X سره ورته"، "د نوعو Y سره ورته"، او داسې نور. د دې نمونو څخه ځینې ممکن ستاسو لپاره په بشپړ ډول نوي وي (نوي بائنری، نوي کمپاینونه)، مګر دوی په یوه پیژندل شوي نمونه کې فټ کیږي، کوم چې ستاسو طبقه بندي او ځواب ګړندی کوي.

په دې شرایطو کې د YARA څخه ډیره ګټه پورته کولو لپاره، ډیری سازمانونه یوځای کیږي پرمختللې روزنه، عملي لابراتوارونه او کنټرول شوي تجربې چاپیریالونهدلته خورا ځانګړي کورسونه شتون لري چې په ځانګړي ډول د ښو قواعدو لیکلو هنر ته وقف شوي دي، ډیری وختونه د سایبر جاسوسۍ د اصلي قضیو پراساس، په کوم کې چې زده کونکي د مستند نمونو سره تمرین کوي ​​او د "یو څه" لټون زده کوي حتی کله چې دوی په سمه توګه نه پوهیږي چې دوی څه په لټه کې دي.

YARA د بیک اپ او بیا رغونې پلیټ فارمونو سره یوځای کړئ

یوه ساحه چې YARA په بشپړ ډول سره مناسبه ده، او ډیری وختونه یو څه له پامه غورځول کیږي، د بیک اپونو ساتنه ده. که چیرې بیک اپونه د مالویر یا رینسم ویئر سره اخته وي، نو بیا رغونه کولی شي ټول کمپاین بیا پیل کړي.له همدې امله ځینو جوړونکو د YARA انجنونه په مستقیم ډول په خپلو حلونو کې شامل کړي دي.

د راتلونکي نسل بیک اپ پلیټ فارمونه پیل کیدی شي د بیا رغونې نقطو په اړه د YARA د قواعدو پر بنسټ تحلیلي غونډېهدف دوه چنده دی: د پیښې دمخه د وروستي "پاک" ټکي موندل او په فایلونو کې پټ شوي ناوړه مینځپانګې کشف کول چې ممکن د نورو چکونو لخوا نه وي رامینځته شوي.

په دې چاپیریالونو کې عادي پروسه د "د YARA رولر سره د بیا رغونې ټکي سکین کړئ"د تحلیلي دندې د تنظیم کولو په جریان کې. بیا، د قواعدو فایل ته لاره مشخص شوې ده (معمولا د .yara یا .yar توسیع سره)، کوم چې معمولا د بیک اپ حل لپاره ځانګړي ترتیب فولډر کې زیرمه کیږي."

د اجرا کولو په جریان کې، انجن په کاپي کې موجود شیانو له لارې تکرار کیږي، قواعد پلي کوي، او دا ټول میچونه په ځانګړي YARA تحلیلي لاګ کې ثبتوي.مدیر کولی شي دا لاګونه له کنسول څخه وګوري، احصایې بیاکتنه وکړي، وګوري چې کوم فایلونو خبرتیا رامینځته کړې، او حتی تعقیب کړي چې کوم ماشینونه او ځانګړې نیټه د هرې لوبې سره مطابقت لري.

دا ادغام د نورو میکانیزمونو لخوا بشپړ شوی لکه د بې نظمۍ کشف، د بیک اپ اندازې څارنه، د ځانګړو IOCs لټون، یا د شکمنو وسیلو تحلیلخو کله چې د رینسم ویئر یوې ځانګړې کورنۍ یا کمپاین سره سم جوړ شوي قوانینو خبره راځي، یارا د دې لټون د اصلاح کولو لپاره غوره وسیله ده.

د خپل شبکې له ماتولو پرته د YARA قواعد څنګه ازموینه او تایید کړئ

کله چې تاسو خپل قوانین لیکل پیل کړئ، نو بل مهم ګام دا دی چې دوی په بشپړه توګه و ازموئ. یو ډېر تیری کوونکی قانون کولی شي د غلطو مثبتو پایلو سیلاب رامینځته کړي، پداسې حال کې چې یو ډېر بې پروایی کولی شي اصلي ګواښونو ته اجازه ورکړي چې له منځه لاړ شي.له همدې امله د ازموینې مرحله د لیکلو مرحلې په څیر مهمه ده.

ښه خبر دا دی چې تاسو اړتیا نلرئ د دې کولو لپاره د کار کونکي مالویر څخه ډک لابراتوار تنظیم کړئ او نیمایي شبکه اخته کړئ. زیرمې او ډیټاسیټونه دمخه شتون لري چې دا معلومات وړاندې کوي. د څیړنې موخو لپاره د پیژندل شوي او کنټرول شوي مالویر نمونېتاسو کولی شئ دا نمونې په یوه جلا چاپیریال کې ډاونلوډ کړئ او د خپلو قواعدو لپاره یې د ازموینې بستر په توګه وکاروئ.

معمول چلند دا دی چې د YARA په سیمه ایزه توګه د کمانډ لاین څخه د شکمنو فایلونو لرونکي لارښود په وړاندې پیل شي. که ستاسو قوانین هغه ځای سره سمون ولري چې باید وي او په سختۍ سره په پاکو فایلونو کې مات شي، تاسو په سمه لار روان یاست.که چیرې دوی ډیر محرک وي، نو دا وخت دی چې تارونه بیاکتنه وکړئ، شرایط اصلاح کړئ، یا اضافي محدودیتونه (اندازه، واردات، آفسیټونه، او نور) معرفي کړئ.

بل مهم ټکی دا دی چې ډاډ ترلاسه کړئ چې ستاسو قواعد فعالیت سره جوړجاړی نه کوي. کله چې لوی لارښودونه، بشپړ بیک اپونه، یا د نمونو لوی ټولګه سکین کوئ، په کمزوري ډول اصلاح شوي قوانین کولی شي تحلیل ورو کړي یا د غوښتنې څخه ډیرې سرچینې مصرف کړي.له همدې امله، دا مشوره ورکول کیږي چې وختونه اندازه کړئ، پیچلي څرګندونې ساده کړئ، او د ډیر دروند ریجیکس څخه ډډه وکړئ.

د لابراتوار ازموینې مرحلې څخه د تیریدو وروسته، تاسو به وکولی شئ د تولید چاپیریال ته قوانینو ته وده ورکړئکه دا ستاسو په SIEM کې وي، ستاسو د بیک اپ سیسټمونو کې وي، د بریښنالیک سرورونو کې وي، یا هر چیرې چې تاسو غواړئ دوی مدغم کړئ. او مه هیروئ چې د بیاکتنې دوامداره دوره وساتئ: لکه څنګه چې کمپاینونه وده کوي، ستاسو قواعد به دوره ایز تعدیلاتو ته اړتیا ولري.

د YARA سره وسایل، پروګرامونه او کاري جریان

د رسمي بائنری څخه هاخوا، ډیری مسلکیانو د YARA شاوخوا کوچني پروګرامونه او سکریپټونه رامینځته کړي ترڅو د هغې ورځني کارونې اسانه کړي. یو عادي چلند د غوښتنلیک جوړول شامل دي د خپل امنیتي کټ جوړ کړئ چې په اتوماتيک ډول په فولډر کې ټول قواعد لولي او د تحلیل لارښود ته یې پلي کوي.

دا ډول کورني وسایل معمولا د ساده لارښود جوړښت سره کار کوي: د له انټرنیټ څخه ډاونلوډ شوي قوانین (د مثال په توګه، "rulesyar") او د دې لپاره بل فولډر شکمن فایلونه به تحلیل شي (د مثال په توګه، "مالویر"). کله چې پروګرام پیل شي، دا ګوري چې دواړه فولډرونه شتون لري، په سکرین کې قواعد لیست کوي، او د اجرا کولو لپاره چمتو کوي.

کله چې تاسو یو تڼۍ فشار کړئ لکه "تایید پیل کړئبیا اپلیکیشن د مطلوب پیرامیټرو سره د YARA اجرایوي وړ پیل کوي: په فولډر کې د ټولو فایلونو سکین کول، د فرعي ډایرکټریو تکراري تحلیل، د احصایو تولید، د میټاډاټا چاپ کول، او داسې نور. هر ډول میچونه د پایلو کړکۍ کې ښودل کیږي، دا په ګوته کوي چې کوم فایل د کوم قاعدې سره سمون لري.

دا کاري جریان د مثال په توګه، د صادر شوي بریښنالیکونو په ډله کې د ستونزو کشف کولو ته اجازه ورکوي. ناوړه ایمبیډ شوي انځورونه، خطرناک ضمیمې، یا ویب شیلونه چې په ظاهري ډول بې ضرره فایلونو کې پټ ديپه کارپوریټ چاپیریال کې ډیری عدلي تحقیقات په دقیق ډول پدې ډول میکانیزم تکیه کوي.

د YARA د کارولو پر مهال د خورا ګټورو پیرامیټرو په اړه، لاندې اختیارونه څرګند دي: -r د تکراري لټون لپاره، -S د احصایو ښودلو لپاره، -m د میټاډاټا استخراج لپاره، او -w د اخطارونو له پامه غورځولو لپارهد دې بیرغونو په یوځای کولو سره تاسو کولی شئ چلند خپلې قضیې ته تنظیم کړئ: په یوه ځانګړي لارښود کې د ګړندي تحلیل څخه د پیچلي فولډر جوړښت بشپړ سکین پورې.

د YARA قوانینو لیکلو او ساتلو لپاره غوره طریقې

د دې لپاره چې ستاسو د قواعدو ذخیره د نه کنټرول کیدونکي ګډوډۍ څخه مخنیوی وشي، دا مشوره ورکول کیږي چې د غوره کړنو لړۍ پلي کړئ. لومړی دا دی چې د ثابتو نمونو او نوم ورکولو کنوانسیونونو سره کار وشيترڅو هر شنونکی په یوه نظر پوه شي چې هر قانون څه کوي.

ډیری ټیمونه یو معیاري بڼه غوره کوي چې پکې شامل دي د میټاډاټا سره سرلیک، د ګواښ ډول، لوبغاړی یا پلیټ فارم ښودلو ټګونه، او د هغه څه روښانه توضیحات چې کشف کیږيدا نه یوازې په داخلي توګه مرسته کوي، بلکې کله چې تاسو د ټولنې سره قوانین شریکوئ یا عامه زیرمو کې ونډه اخلئ.

بله سپارښتنه دا ده چې تل په یاد ولرئ چې یارا یوازې د دفاع یوه بله طبقه دهدا د انټي ویروس سافټویر یا EDR ځای نه نیسي، بلکې د دوی لپاره په ستراتیژیو کې بشپړوي خپل وینډوز کمپیوټر خوندي کړئپه مثالي توګه، YARA باید د پراخو حوالې چوکاټونو کې فټ شي، لکه د NIST چوکاټ، کوم چې د شتمنیو پیژندنه، ساتنه، کشف، غبرګون، او بیا رغونه هم په ګوته کوي.

له تخنیکي پلوه، دا د وخت وقف کولو ارزښت لري د غلط مثبتو څخه ډډه وکړئپدې کې د ډیرو عمومي تارونو څخه ډډه کول، د څو شرایطو سره یوځای کول، او د آپریټرونو کارول شامل دي لکه ټول o کوم یو له خپل ذهن څخه کار واخلئ او د فایل د جوړښتي ځانګړتیاوو څخه ګټه پورته کړئ. د مالویر د چلند شاوخوا منطق څومره مشخص وي، هغومره ښه وي.

په پای کې، د نظم ساتنه وکړئ نسخه ورکول او دوره ای بیاکتنه دا خورا مهمه ده. د مالویر کورنۍ وده کوي، شاخصونه بدلیږي، او هغه قوانین چې نن ورځ کار کوي ممکن کم شي یا زوړ شي. په دوره یي ډول ستاسو د قواعدو سیټ بیاکتنه او اصلاح کول د سایبر امنیت د پیشو او موږک لوبې برخه ده.

د یارا ټولنه او شته سرچینې

یو له اصلي دلیلونو څخه چې یارا تر دې دمه راغلی دی د هغې د ټولنې ځواک دی. د نړۍ له ګوټ ګوټ څخه څیړونکي، امنیتي شرکتونه، او د غبرګون ټیمونه په دوامداره توګه قوانین، مثالونه، او اسناد شریکوي.د یو ډیر بډایه ایکوسیستم رامینځته کول.

د حوالې اصلي ټکی دا دی چې د یارا رسمي ذخیره په ګیټ هب کېهلته به تاسو د وسیلې وروستۍ نسخې، د سرچینې کوډ، او د اسنادو لینکونه ومومئ. له هغه ځایه تاسو کولی شئ د پروژې پرمختګ تعقیب کړئ، ستونزې راپور کړئ، یا که وغواړئ په ښه والي کې مرسته وکړئ.

رسمي اسناد، چې په پلیټ فارمونو لکه ReadTheDocs کې شتون لري، وړاندیز کوي د نحو بشپړ لارښود، شته ماډلونه، د قواعدو مثالونه، او د کارونې حوالېدا د خورا پرمختللو دندو څخه د ګټې اخیستنې لپاره یوه اړینه سرچینه ده، لکه د PE تفتیش، ELF، د حافظې قواعد، یا د نورو وسیلو سره یوځای کول.

برسېره پردې، د YARA قوانینو او لاسلیکونو د ټولنې زیرمې شتون لري چیرې چې د ټولې نړۍ شنونکي دوی د کارولو لپاره چمتو ټولګې یا ټولګې خپروي چې ستاسو اړتیاو سره سم تطبیق کیدی شي.په دې زیرمو کې معمولا د ځانګړو مالویر کورنیو لپاره قواعد شامل دي، د استحصال کټونه، په ناوړه توګه کارول شوي د پینټیسټینګ وسیلې، ویب شیلونه، کریپټوماینرونه، او ډیر نور.

په موازي ډول، ډیری تولیدونکي او څیړنیزې ډلې وړاندیز کوي په YARA کې ځانګړې روزنه، له اساسي کچو څخه تر خورا پرمختللي کورسونو پورېپه دې نوښتونو کې ډیری وخت مجازی لابراتوارونه او عملي تمرینونه شامل دي چې د حقیقي نړۍ سناریوګانو پراساس دي. ځینې یې حتی غیر انتفاعي سازمانونو یا ادارو ته وړیا وړاندې کیږي چې په ځانګړي ډول د هدفي بریدونو سره مخ دي.

دا ټول ایکوسیستم پدې معنی دی چې، د لږ وقف سره، تاسو کولی شئ د خپلو لومړنیو اساسي قوانینو لیکلو څخه تر داسې پیچلي سویټونه رامینځته کړئ چې د پیچلو کمپاینونو تعقیب او بې ساري ګواښونو کشف کولو توان ولرياو، د YARA سره د دودیز انټي ویروس، خوندي بیک اپ، او د ګواښ استخباراتو سره یوځای کولو سره، تاسو د انټرنیټ په اوږدو کې د ناوړه لوبغاړو لپاره شیان خورا ستونزمن کوئ.

د پورته ټولو سره، دا روښانه ده چې YARA د یوې ساده کمانډ لاین اسانتیا څخه ډیر څه دي: دا یو کيلي ټوټه په هر پرمختللي مالویر کشف ستراتیژۍ کې، یو انعطاف منونکی وسیله چې ستاسو د فکر کولو طریقې سره د شنونکي او یو په توګه تطبیق کوي عامه ژبه چې په ټوله نړۍ کې لابراتوارونه، SOCs او څیړنیزې ټولنې سره نښلوي، هر نوي قانون ته اجازه ورکوي چې د مخ په زیاتیدونکي پیچلي کمپاینونو په وړاندې د محافظت یو بل طبقه اضافه کړي.