日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
網(wǎng)絡(luò)安全:使用開源工具YARA,提高防護(hù)強(qiáng)度

市面上有眾多不同的工具來檢測(cè)企業(yè)網(wǎng)絡(luò)面臨的威脅。其中一些檢測(cè)基于網(wǎng)絡(luò)特征,而另一些檢測(cè)基于公司端點(diǎn)或服務(wù)器上的文件或行為。這些解決方案大多使用現(xiàn)有規(guī)則來檢測(cè)危險(xiǎn),但愿這些規(guī)則經(jīng)常更新。但是當(dāng)安全人員想要添加自定義規(guī)則用于檢測(cè)或使用特定規(guī)則在端點(diǎn)上執(zhí)行自己的事件響應(yīng)時(shí),會(huì)發(fā)生什么?這時(shí)候YARA 派得上用場(chǎng)。

在商州等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì) 網(wǎng)站設(shè)計(jì)制作按需定制開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計(jì),營銷型網(wǎng)站,成都外貿(mào)網(wǎng)站制作,商州網(wǎng)站建設(shè)費(fèi)用合理。

一、YARA簡介

YARA 是一個(gè)免費(fèi)開源工具,旨在幫助安全人員檢測(cè)和分類惡意軟件,但它不應(yīng)僅限于這一種用途。YARA規(guī)則還可以幫助檢測(cè)特定文件或您可能想要檢測(cè)的任何內(nèi)容。

YARA是二進(jìn)制代碼,可以針對(duì)文件啟動(dòng),將YARA規(guī)則作為變量。它適用于Windows、Linux和Mac操作系統(tǒng)。如果使用YARA-python擴(kuò)展,它也可以在Python腳本中使用。

YARA規(guī)則是文本文件,包含滿足時(shí)觸發(fā)檢測(cè)的項(xiàng)目和條件。這些規(guī)則可以針對(duì)單個(gè)文件、包含幾個(gè)文件的文件夾甚至整個(gè)文件系統(tǒng)來啟動(dòng)。

二、YARA的用途

您可以通過以下幾種方式使用YARA。

1.惡意軟件檢測(cè)

YARA的主要用途以及它在2008年創(chuàng)建的初衷是檢測(cè)惡意軟件。您要明白它不像傳統(tǒng)的防病毒軟件那樣工作。后者主要檢測(cè)二進(jìn)制文件中幾個(gè)字節(jié)的靜態(tài)特征或可疑文件行為,而YARA可以通過使用特定的組件組合來擴(kuò)大檢測(cè)范圍。因此,可以創(chuàng)建YARA規(guī)則以檢測(cè)整個(gè)惡意軟件家族,而不僅僅是單個(gè)變種。能夠使用邏輯條件來匹配規(guī)則使其成為一種檢測(cè)惡意文件的非常靈活的工具。

此外值得一提的是,在這種情形下,不僅可針對(duì)文件使用YARA規(guī)則,還可針對(duì)內(nèi)存轉(zhuǎn)儲(chǔ)內(nèi)容使用YARA規(guī)則。

2.事件處理

在事件發(fā)生期間,安全和威脅分析員有時(shí)需要快速檢查某個(gè)特定文件或內(nèi)容是否隱藏在端點(diǎn)甚至整個(gè)公司網(wǎng)絡(luò)上的某個(gè)地方。無論文件位于何處,檢測(cè)文件的一種解決方案是構(gòu)建和使用特定的YARA規(guī)則。

3.內(nèi)容快速分類

使用YARA規(guī)則可以在需要時(shí)進(jìn)行真正的文件分類??梢允褂肶ARA規(guī)則優(yōu)化對(duì)惡意軟件進(jìn)行分類。然而,規(guī)則需要非常精確以避免誤報(bào)。

4.入站網(wǎng)絡(luò)連接分析

可以在網(wǎng)絡(luò)環(huán)境中使用YARA,以檢測(cè)發(fā)送到需要保護(hù)的公司網(wǎng)絡(luò)的惡意內(nèi)容。YARA規(guī)則可以針對(duì)電子郵件來啟動(dòng),尤其是針對(duì)附件,或者網(wǎng)絡(luò)的其他部分,比如反向代理服務(wù)器上的HTTP通信。當(dāng)然,它可以用作現(xiàn)有分析軟件的補(bǔ)充。

5.出站網(wǎng)絡(luò)通信分析

可以使用YARA規(guī)則分析出站通信,以檢測(cè)出站惡意軟件通信,也可以嘗試檢測(cè)數(shù)據(jù)泄露。使用基于自定義規(guī)則的特定的YARA規(guī)則來檢測(cè)公司的合法文檔可以用作數(shù)據(jù)丟失防護(hù)系統(tǒng),并檢測(cè)可能存在的內(nèi)部數(shù)據(jù)泄漏。

6.EDR集成

YARA是一個(gè)成熟的產(chǎn)品,因此幾種不同的EDR(端點(diǎn)檢測(cè)和響應(yīng))解決方案允許將個(gè)人的YARA 規(guī)則集成到其中,因而更容易只需點(diǎn)擊一下即可在所有端點(diǎn)上運(yùn)行檢測(cè)。

三、如何安裝 YARA?

YARA可用于不同的操作系統(tǒng):macOS、Windows和Linux。

如何在 macOS上安裝YARA?

YARA可以使用Homebrew安裝在macOS 上。只需輸入并執(zhí)行命令:

 
 
      
  
  1. brew install YARA 
    2.

完成此操作后,YARA就可以在命令行中使用了。

如何在Windows上安裝YARA?

YARA提供易于使用的Windows二進(jìn)制文件。一旦從網(wǎng)站下載zip文件后,它可以在任何文件夾中解壓縮,包含兩個(gè)文件:Yara64.exe和Yarac64.exe(或Yara32.exe和Yarac32.exe,如果您選擇文件的32位版本)。

然后它可以在命令行上工作了。

如何在Linux上安裝YARA?

YARA可以直接從其源代碼來安裝。在此處下載(https://github.com/VirusTotal/yara/releases/),只需點(diǎn)擊源代碼(tar.gz)鏈接,然后解壓縮文件并編譯它。舉例來說,我們將在Ubuntu系統(tǒng)上使用YARA 4.1.3版,這是截止本文發(fā)稿時(shí)的最新版本。

請(qǐng)注意,有幾個(gè)軟件包是強(qiáng)制性的,應(yīng)在安裝YARA之前安裝:

 
 
      
  
  1. sudo apt install automake libtool make gcc pkg-config 
    2.

完成后,運(yùn)行文件的提取和安裝:

 
 
      
  
  1. tar -zxf YARA-4.1.3.tar.gz 
    2.   
  
  2. cd YARA-4.1.3 
    3.   
  
  3. ./bootstrap.sh 
    4.   
  
  4. ./configure 
    5.   
  
  5. make 
    6.   
  
  6. sudo make install 
    7.

YARA易于安裝,最困難的部分是學(xué)習(xí)如何編寫高效的YARA規(guī)則,我將在下一篇文章中解釋。


分享名稱:網(wǎng)絡(luò)安全:使用開源工具YARA,提高防護(hù)強(qiáng)度
新聞來源:http://www.dlmjj.cn/article/cdodgoo.html