日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
網(wǎng)絡(luò)安全:使用開源工具YARA,提高防護強度

市面上有眾多不同的工具來檢測企業(yè)網(wǎng)絡(luò)面臨的威脅。其中一些檢測基于網(wǎng)絡(luò)特征,而另一些檢測基于公司端點或服務(wù)器上的文件或行為。這些解決方案大多使用現(xiàn)有規(guī)則來檢測危險,但愿這些規(guī)則經(jīng)常更新。但是當(dāng)安全人員想要添加自定義規(guī)則用于檢測或使用特定規(guī)則在端點上執(zhí)行自己的事件響應(yīng)時,會發(fā)生什么?這時候YARA 派得上用場。

在商州等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供網(wǎng)站建設(shè)、網(wǎng)站設(shè)計 網(wǎng)站設(shè)計制作按需定制開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計,營銷型網(wǎng)站,成都外貿(mào)網(wǎng)站制作,商州網(wǎng)站建設(shè)費用合理。

一、YARA簡介

YARA 是一個免費開源工具,旨在幫助安全人員檢測和分類惡意軟件,但它不應(yīng)僅限于這一種用途。YARA規(guī)則還可以幫助檢測特定文件或您可能想要檢測的任何內(nèi)容。

YARA是二進制代碼,可以針對文件啟動,將YARA規(guī)則作為變量。它適用于Windows、Linux和Mac操作系統(tǒng)。如果使用YARA-python擴展,它也可以在Python腳本中使用。

YARA規(guī)則是文本文件,包含滿足時觸發(fā)檢測的項目和條件。這些規(guī)則可以針對單個文件、包含幾個文件的文件夾甚至整個文件系統(tǒng)來啟動。

二、YARA的用途

您可以通過以下幾種方式使用YARA。

1.惡意軟件檢測

YARA的主要用途以及它在2008年創(chuàng)建的初衷是檢測惡意軟件。您要明白它不像傳統(tǒng)的防病毒軟件那樣工作。后者主要檢測二進制文件中幾個字節(jié)的靜態(tài)特征或可疑文件行為,而YARA可以通過使用特定的組件組合來擴大檢測范圍。因此,可以創(chuàng)建YARA規(guī)則以檢測整個惡意軟件家族,而不僅僅是單個變種。能夠使用邏輯條件來匹配規(guī)則使其成為一種檢測惡意文件的非常靈活的工具。

此外值得一提的是,在這種情形下,不僅可針對文件使用YARA規(guī)則,還可針對內(nèi)存轉(zhuǎn)儲內(nèi)容使用YARA規(guī)則。

2.事件處理

在事件發(fā)生期間,安全和威脅分析員有時需要快速檢查某個特定文件或內(nèi)容是否隱藏在端點甚至整個公司網(wǎng)絡(luò)上的某個地方。無論文件位于何處,檢測文件的一種解決方案是構(gòu)建和使用特定的YARA規(guī)則。

3.內(nèi)容快速分類

使用YARA規(guī)則可以在需要時進行真正的文件分類??梢允褂肶ARA規(guī)則優(yōu)化對惡意軟件進行分類。然而,規(guī)則需要非常精確以避免誤報。

4.入站網(wǎng)絡(luò)連接分析

可以在網(wǎng)絡(luò)環(huán)境中使用YARA,以檢測發(fā)送到需要保護的公司網(wǎng)絡(luò)的惡意內(nèi)容。YARA規(guī)則可以針對電子郵件來啟動,尤其是針對附件,或者網(wǎng)絡(luò)的其他部分,比如反向代理服務(wù)器上的HTTP通信。當(dāng)然,它可以用作現(xiàn)有分析軟件的補充。

5.出站網(wǎng)絡(luò)通信分析

可以使用YARA規(guī)則分析出站通信,以檢測出站惡意軟件通信,也可以嘗試檢測數(shù)據(jù)泄露。使用基于自定義規(guī)則的特定的YARA規(guī)則來檢測公司的合法文檔可以用作數(shù)據(jù)丟失防護系統(tǒng),并檢測可能存在的內(nèi)部數(shù)據(jù)泄漏。

6.EDR集成

YARA是一個成熟的產(chǎn)品,因此幾種不同的EDR(端點檢測和響應(yīng))解決方案允許將個人的YARA 規(guī)則集成到其中,因而更容易只需點擊一下即可在所有端點上運行檢測。

三、如何安裝 YARA?

YARA可用于不同的操作系統(tǒng):macOS、Windows和Linux。

如何在 macOS上安裝YARA?

YARA可以使用Homebrew安裝在macOS 上。只需輸入并執(zhí)行命令:

 
 
      
  
  1. brew install YARA 
    2.

完成此操作后,YARA就可以在命令行中使用了。

如何在Windows上安裝YARA?

YARA提供易于使用的Windows二進制文件。一旦從網(wǎng)站下載zip文件后,它可以在任何文件夾中解壓縮,包含兩個文件:Yara64.exe和Yarac64.exe(或Yara32.exe和Yarac32.exe,如果您選擇文件的32位版本)。

然后它可以在命令行上工作了。

如何在Linux上安裝YARA?

YARA可以直接從其源代碼來安裝。在此處下載(https://github.com/VirusTotal/yara/releases/),只需點擊源代碼(tar.gz)鏈接,然后解壓縮文件并編譯它。舉例來說,我們將在Ubuntu系統(tǒng)上使用YARA 4.1.3版,這是截止本文發(fā)稿時的最新版本。

請注意,有幾個軟件包是強制性的,應(yīng)在安裝YARA之前安裝:

 
 
      
  
  1. sudo apt install automake libtool make gcc pkg-config 
    2.

完成后,運行文件的提取和安裝:

 
 
      
  
  1. tar -zxf YARA-4.1.3.tar.gz 
    2.   
  
  2. cd YARA-4.1.3 
    3.   
  
  3. ./bootstrap.sh 
    4.   
  
  4. ./configure 
    5.   
  
  5. make 
    6.   
  
  6. sudo make install 
    7.

YARA易于安裝,最困難的部分是學(xué)習(xí)如何編寫高效的YARA規(guī)則,我將在下一篇文章中解釋。


文章名稱:網(wǎng)絡(luò)安全:使用開源工具YARA,提高防護強度
文章源于:http://www.5511xx.com/article/cdodgoo.html