跳至主内容

YARA检测规则

概述

YARA规则是可用于扫描终端以发现恶意行为模式的查询语句。利用 YARA检测规则 功能,可根据扫描结果生成自定义警报和安全事件。

通过访问 事件 > 自定义检测规则 页面即可找到此新功能。添加新规则时,请点击 YARA 按钮可切换至YARA规则定义界面。

重要提示

  • 您最多可创建 50 条YARA规则。

  • 该功能适用于采用x64架构的macOS、Windows及Linux终端设备,且需 BEST 配置为本地扫描模式。

  • YARA检测规则 不适用于ARM64架构的Linux终端设备。

前提条件

使用本功能需满足以下要求:

  • 您需持有有效的 EDR 许可证。

    重要说明

    仅提供 EDR (仅报告模式) 部署的许可证不支持此功能。

  • 终端设备安装的 BEST 版本需满足操作系统特定要求:

    • Windows系统: BEST 版本 7.9.5.318 或更高

    • Linux系统: 最佳 版本 7.0.3.2248 或更高

    • macOS: 最佳 版本 7.16.42.200016 或更高

创建YARA检测规则

请按以下步骤创建YARA规则:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 事件 > 自定义检测规则 页面。

  3. 点击 添加规则 .

    系统将跳转至 添加规则 页面。

  4. 检测规则定义 步骤中,点击 YARA 按钮切换至YARA规则定义界面。

    YARA button

  5. 输入您的规则查询语句。

    重要提示

    • 请参考 《YARA性能指南》 《编写YARA规则》 文档。遵循这些指南可最大限度减少被扫描终端可能出现的性能问题。

    • 每条YARA规则最多可输入30,000个字符。

    • 仅支持ASCII字符集。

    • YARA检测规则 功能不支持 include指令 (该指令允许在规则编译时添加外部文件内容)。

    yara_rule_definition_cp_319967_en.png

  6. 点击 检查规则 .

    若规则语法存在错误,系统将返回错误信息或警告。悬停高亮显示的行可查看需修复内容的详细说明。

  7. 修正所有高亮显示的语法错误后,再次点击 检查规则

  8. 规则验证通过后,点击 下一步 .

  9. 检测规则设置 步骤的 规则配置 区域,为规则添加描述性名称。

  10. 可选:输入规则描述并为该规则选择相关标签。

    YARA rule configuration

    重要提示

    • 若没有适合当前规则的标签,可点击 创建标签 进行添加。

    • 规则标签可帮助您根据需要识别、分组和排序规则。

  11. 可选:启用 实时扫描 选项可在创建后立即激活规则。

    警告

    • 请谨慎使用此选项,因其可能影响被扫描端点的性能。建议仅由经验丰富的安全分析师配置此类规则,并确保查询条件高度精准。

    • 该功能支持处理最大50MB的文件。如需扫描更大文件,请改用 按需扫描 功能。注意:基于YARA规则的按需扫描仅生成警报,不生成事件。

    • 此选项将应用端点当前策略中定义的相同 实时扫描设置 且不会覆盖原有设置。

    • 注意: YARA检测规则 功能不会应用 实时扫描 策略设置中配置的扫描操作。

    提示

    启用此选项后,当任何特定端点满足规则所列条件时,YARA扫描将同时生成警报和事件。您可在 搜索 页面查看警报,在 事件 页面查看事件。

    备注

    • 来自所有 自定义检测规则 表每小时最多可生成100个独立事件。若某事件已存在活跃事件时触发YARA检测,该事件将自动更新,且此次检测不计入100个事件的限额。

    • 来自 自定义检测规则 表的活跃YARA检测规则每小时最多可生成5000条警报。

    • 单个来自 自定义检测规则 表的YARA规则可包含查询语法中定义的多个独立YARA规则。每个独立YARA规则每小时最多可生成1000条警报。

  12. 规则结果 部分,为生成的警报选择适当严重级别。

  13. 点击 下一步 .

  14. 检测规则目标 步骤的 规则目标 部分,选择规则要扫描的终端。

    1. 选择整个公司或特定 终端标签 .

    2. 若选择 终端标签 选项,请从左側菜单列表中选择标签。

      当前选择将显示在右侧菜单中。

      注意

      • 该规则仅适用于已应用所选标签的终端。

      • 这些标签创建和管理位于 网络 > 标签管理 .

    Rule targets

  15. 点击 下一步 .

  16. 可选:在 自动操作 步骤中,配置当YARA检测规则匹配时自动触发的响应操作,并设置其执行优先级。

    1. 选择 启用自动操作 以激活自动响应。

      automatic-actions-add-YARA-rule_cp_319967_en.png

    2. 拖放响应操作以按所需优先级重新排序。

      注意

      要恢复默认顺序,请点击 重置优先级 .

    3. 选择要为YARA规则启用的操作。

      以下自动操作可用:

      • 隔离

      • 收集调查包

      • 添加到沙箱

      • 终止进程

      • 反恶意软件扫描

      • 隔离

      • 风险扫描

    重要提示

    YARA规则的自动响应操作需要以下最低 BEST 版本:

    • Windows:7.9.29.X

    • Linux:7.8.0.X

    • macOS:7.22.55.200114

  17. 点击 保存 .

  18. 如果选择了 隔离 , 终止进程 隔离 等任一操作,将显示以下对话框。检查规则配置后,点击 创建规则 .

    automatic-actions-confirmation-add-YARA-rule_cp_319967_en.png

您创建的YARA规则将显示在 自定义检测规则 表中。

注意

YARA规则一旦创建,便无法转换为基本规则。

位于 自定义检测规则 表中的YARA规则

筛选显示YARA规则

要查看YARA规则,请前往 事件 > 自定义检测规则 (位于 GravityZone 控制中心 。通过 YARA 值在 规则类型 列中进行识别。

要筛选规则表仅显示YARA规则,请按以下步骤操作:

  1. 点击规则表上方的 更多 下拉菜单。

    yara_rule_filtering_cpo_319967_en.png

  2. 勾选 规则类型 复选框。

  3. 点击 应用 .

    这将在表格上方添加 规则类型 筛选器。

  4. 点击 规则类型 筛选器。

  5. 勾选 YARA 复选框。

  6. 点击 应用 .

启用或禁用多个YARA规则

要启用多个YARA规则,请按以下步骤操作:

  1. 自定义检测规则 表格中,勾选您要启用的YARA规则对应的复选框。

  2. 点击表格上方的 更改状态 按钮。

  3. 点击 启用 .

  4. 点击 确认 .

要禁用多个YARA规则,请按照以下步骤操作:

  1. 自定义检测规则 表格中,勾选您要禁用的YARA规则对应的复选框。

  2. 点击表格上方的 更改状态 按钮。

  3. 点击 禁用 .

  4. 点击 确认 .

查看YARA规则详情

点击表格中的任意YARA规则将打开其详情面板。YARA规则的详情面板包含与规则名称、ID、描述、YARA查询及其他规则详情相关的信息。

YARA Details panel

  1. 通过 全部复制到剪贴板 按钮可轻松将整个YARA查询复制到剪贴板。

  2. 通过 查看事件 查看告警 选项可分别跳转至 事件 搜索 页面。预置查询将自动运行,以获取该YARA规则生成的所有告警或事件。

  3. 点击 编辑规则 按钮将弹出规则定义窗口,您可在此修改规则详情。

执行按需扫描

执行按需扫描需遵循以下步骤:

  1. 您可通过两种方式启动按需扫描:

    • 在YARA检测规则的详情面板中,点击 扫描 按钮。

    • 自定义检测规则 表格中,点击 151926_1.png 条目右侧的垂直省略号按钮,并选择 扫描 .

      In-line menu options

  2. 定义本地目标 窗口中指定需扫描的文件夹或磁盘驱动器。

    重要提示

    • 请注意: 特定文件夹 该字段不支持通配符,但支持 系统变量 .

    • YARA规则不支持对网络共享的按需扫描。

    Define local targets page

  3. 点击 扫描 .

    注意

    按需扫描仅生成警报而非事件。您可以通过在查询中添加 事件 > 搜索 页面中的 other.rule_id 字段查看生成的警报。

系统会为此扫描生成任务,您可在 网络 > 任务 .

扫描的详细结果可在 网络 > 终端详情 > 扫描日志 选项卡中查看。

扫描记录及其详情和结果也可在 账户 > 用户活动 .

本节内容 :