跳至主内容

YARA检测规则

概述

YARA规则是可用于扫描终端以发现恶意行为模式的查询语句。利用 YARA检测规则 功能,您可以根据扫描结果生成自定义警报和安全事件。

通过访问 事件 > 自定义检测规则 页面即可找到此新功能。添加新规则时,点击 YARA 按钮可切换至YARA规则定义界面。

重要提示

  • 您最多可创建 50 YARA规则。

  • 此功能适用于采用x64架构且已安装 BEST 并配置为本地扫描模式的macOS、Windows和Linux终端。

  • YARA检测规则 不适用于采用ARM64架构的Linux终端。

先决条件

使用此功能需满足以下要求:

  • 您拥有有效的 EDR 许可证。

    重要提示

    仅支持 EDR (仅报告) 模式部署的许可证不支持此功能。

  • 终端安装的 BEST 版本需满足操作系统特定要求:

    • Windows: BEST 版本 7.9.5.318 或更高

    • Linux: BEST 版本 7.0.3.2248 或更高

    • macOS: 最佳 版本 7.16.42.200016 或更高

创建YARA检测规则

创建YARA规则需遵循以下步骤:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 事件 > 自定义检测规则 页面。

  3. 点击 添加规则 .

    系统将跳转至 添加规则 页面。

  4. 检测规则定义 步骤中,点击 YARA 按钮切换至YARA规则定义模式。

    YARA button

  5. 输入您的规则查询语句。

    重要提示

    • 请参阅 YARA性能指南 以及 编写YARA规则 文档。遵循这些指南可最大限度减少被扫描终端可能出现的性能问题。

    • 每条YARA规则最多可输入30,000个字符。

    • 仅支持ASCII字符。

    • YARA检测规则 功能不支持 include指令 (该指令允许在规则编译期间添加外部文件内容)。

    YARA rule definition

  6. 点击 检查规则 .

    若规则语法存在错误,您将收到错误消息或警告。将鼠标悬停在突出显示的行上可获取需要修复的具体信息。

  7. 修正所有突出显示的语法错误后,再次点击 检查规则

  8. 规则验证成功后,点击 下一步 .

  9. 检测规则设置 步骤的 规则配置 部分,添加描述性规则名称。

  10. 可选:输入规则描述并为该规则选择相关标签。

    YARA rule configuration

    重要提示

    • 若没有适合您规则的标签,可点击 创建标签 进行添加。

    • 规则标签可帮助您根据需要识别、分组和排序规则。

  11. 可选:启用 实时扫描 选项以在创建后立即激活规则。

    警告

    • 请谨慎使用此选项,它可能影响被扫描端点的性能。因此我们建议仅由经验丰富的安全分析师配置此类规则,并确保查询条件高度精准。

    • 本功能仅处理不超过50 MB的文件。如需扫描更大文件,请改用 按需扫描 。注意:使用YARA规则的按需扫描仅生成警报,不生成事件。

    • 此选项采用与终端活动策略中定义的相同 实时扫描设置 且不会覆盖原有设置。

    • 注意: YARA检测规则 功能不会应用 实时扫描 策略设置中配置的扫描操作。

    提示

    启用此选项后,当任何特定终端满足规则所列条件时,YARA扫描将同时生成警报和事件。您可在 事件 页面查看事件详情,相关警报需通过具体事件详情查看。

    注意

    • 来自 自定义检测规则 表的所有活跃YARA检测规则每小时最多生成100个独立事件。若已存在活跃事件的事件再次触发YARA检测,该事件将自动更新且不计入100事件上限。

    • 来自 自定义检测规则 表的所有活跃YARA检测规则每小时最多生成5000条警报。

    • 来自 自定义检测规则 单个表格可包含查询语法中定义的多个独立YARA规则。每条独立YARA规则每小时最多可生成1000条警报。

  12. 规则结果 部分,为生成的警报选择适当的严重级别。

  13. 点击 下一步 .

  14. 检测规则目标 步骤的 规则目标 部分,选择规则要扫描的终端。

    1. 可选择整个公司或特定 终端标签 .

    2. 若选择 终端标签 选项,请从左側菜单列表中选择标签。

      当前选择将显示在右侧菜单中。

      注意

      • 该规则仅适用于已应用所选标签的终端。

      • 这些标签创建和管理位置为 网络 > 标签管理 .

    Rule targets

  15. 点击 保存 .

您创建的YARA规则将显示在 自定义检测规则 表中。

注意

YARA规则一旦创建,便无法转换为基本规则。

自定义检测规则 表中

筛选显示YARA规则

要查看您的YARA规则,请前往 事件 > 自定义检测规则 ,位于 GravityZone 控制中心 。通过 YARA 值在 规则类型 列中进行识别。

要筛选规则表以仅显示YARA规则,请按以下步骤操作:

  1. 点击规则表上方的 更多 下拉菜单。

    yara_rule_filtering_cpo_319967_en.png

  2. 勾选 规则类型 复选框。

  3. 点击 应用 .

    这将添加 规则类型 筛选器至表格上方。

  4. 点击 规则类型 筛选器。

  5. 勾选 YARA 复选框。

  6. 点击 应用 .

启用或禁用多条YARA规则

要启用多条YARA规则,请按以下步骤操作:

  1. 自定义检测规则 表格中,勾选需要启用的YARA规则对应的复选框。

  2. 点击表格上方的 更改状态 按钮。

  3. 点击 启用 .

  4. 点击 确认 .

要禁用多条YARA规则,请按以下步骤操作:

  1. 自定义检测规则 表格中,勾选需要禁用的YARA规则对应的复选框。

  2. 点击 更改状态 按钮(位于表格上方)。

  3. 点击 禁用 .

  4. 点击 确认 .

查看YARA规则详情

点击表格中的任意YARA规则可打开其详情面板。该面板包含规则名称、ID、描述、YARA查询语句及其他规则详情信息。

yara_details_panel_op_319967_en.png

  1. 点击 全部复制到剪贴板 按钮可快速将整个YARA查询语句复制到剪贴板。

  2. 选择 查看事件 选项将跳转至 事件 页面。预置查询会自动执行,检索该YARA规则生成的所有事件。

  3. 点击 编辑规则 按钮将弹出规则定义窗口,您可在此修改规则详情。

执行按需扫描

执行按需扫描需遵循以下步骤:

  1. 可通过两种方式启动按需扫描:

    • 在YARA检测规则的详情面板中,点击 扫描 按钮。

    • 自定义检测规则 网格中,点击 151926_1.png 表格条目最右侧的垂直省略号按钮,然后点击 扫描 .

      In-line menu options

  2. 定义本地目标 窗口中,指定要扫描的文件夹或磁盘驱动器。

    重要提示

    • 特定文件夹 字段不支持通配符,但支持 系统变量 .

    • YARA规则不支持对网络共享的按需扫描。

    Define local targets page

  3. 点击 扫描 .

    注意

    :按需扫描仅生成警报,而非事件。您可以在 网络 > 终端详情 > 扫描日志 选项卡中查看生成的警报。

本次扫描会生成一个任务,您可在 网络 > 任务 .

您可以在 网络 > 终端详情 > 扫描日志 选项卡中查看扫描的详细结果。

扫描记录及其详情和结果也可在 账户 > 用户活动 .

本节内容 :