YARA は、パターンマッチングを用いてマルウェアやフィッシング攻撃を検出するための手法です。
本ガイドでは、Email Body(本文)、Header(ヘッダー)、Attachment(添付ファイル) をターゲットとした YARA ルールの作成方法について説明します。
セキュリオでは、一部のプラン・オプションにて提供中の「オートメーション」画面のルールタブにて設定が可能です。
YARAルールの基本構造
YARA ルールは、以下の4つのセクションで構成されます。
ルール ID
そのルールのID(名前)をつけます
- 各ルールは
ruleキーワードの後に一意の識別子(英数字のみ)を付けて定義 - ルール名は大文字と小文字を区別し、スペースや数字で始めることは不可
- 日本語のルール ID は使用できません
meta セクション
- ルールに関する補足情報を記述(作成者、日付、説明など)
- 任意項目なので、なくてもOK
strings セクション
- 検出したい テキストやバイナリパターン を指定
$記号の後に変数として定義し、大文字と小文字を区別- 変数名はスペースや数字で始めることは不可
condition セクション
- ルールの適用条件を定義
- 論理演算子(
and,or,not,any of,all of)を利用 - すべてのルールに condition セクションが必須
YARAルールのサポートに関して
恐れ入りますが、YARAルールの作成などのサポートは対象外とさせていただいております。YARAルールは専門性の高い機能となっており、具体的な個別の記述方法につきましてはお客様ご自身でご確認いただけますと幸いです。