Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:pisanje_yara_pravila [2025/01/26 14:53]
Mikulić Katarina [Literatura]
+++ racfor_wiki:seminari2024:pisanje_yara_pravila [2025/01/26 21:50] (trenutno)
Mikulić Katarina [Pisanje YARA pravila]
@@ Redak 1: / Redak 1: @@
 ===== Pisanje YARA pravila =====
+Video [[https://ferhr-my.sharepoint.com/:v:/g/personal/km54317_fer_hr/EfmLMw4uTFhHuq2_i2RCq0oBN0D8SrYN4SO9Hucdn259UQ?e=sEvrYn]]
 ===== Sažetak =====
@@ Redak 15: / Redak 16: @@
 YARA pravila predstavljaju snažan alat za prepoznavanje i klasifikaciju prijetnji u kibernetičkoj sigurnosti. Dizajnirana su kako bi pomogla stručnjacima u analizi i detekciji zlonamjernog softvera temeljenog na prepoznatljivim obrascima i ponašanju.
-Osnovna ideja YARA pravila je njihova jednostavna i intuitivna sintaksa koja omogućuje korisnicima definiranje uzoraka na temelju tekstualnih stringova, heksadecimalnih nizova i regularnih izraza. Ova fleksibilnost omogućuje njihovu primjenu u širokom spektru scenarija, uključujući:
+Osnovna ideja YARA pravila je njihova jednostavna i intuitivna sintaksa koja omogućuje korisnicima definiranje uzoraka na temelju tekstualnih stringova, heksadecimalnih nizova i regularnih izraza [[#literatura|[1]]]. Ova fleksibilnost omogućuje njihovu primjenu u širokom spektru scenarija, uključujući:
   * Detekciju zlonamjernog softvera u datotekama, procesima i memoriji.
@@ Redak 56: / Redak 57: @@
-Uvjeti (condition) - definiraju logiku koja odreduje kada će se pravilo aktivirati.
+Uvjeti (condition) - definiraju logiku koja određuje kada će se pravilo aktivirati.
 Primjeri uvjeta:
@@ Redak 122: / Redak 123: @@
 ----
-  * Element obične listePravilo s regularnim izrazima
+  * Pravilo s regularnim izrazima
 Pravilo za prepoznavanje e-mail adresa i URL-ova:
@@ Redak 155: / Redak 156: @@
-yarac: Alat za kompajliranje pravila u binarni format. Kompajliranje smanjuje vrijeme obrade i optimizira performanse:
+yarac: Alat za prevođenje pravila u binarni format. Prevođenje smanjuje vrijeme obrade i optimizira performanse:
-  yarac pravilo.yar kompajlirano_pravilo.yarc
+  yarac pravilo.yar compile_pravilo.yarc
@@ Redak 196: / Redak 197: @@
   * Ažuriranje pravila: Prilagođavajte ih novim prijetnjama kako bi ostala relevantna.
-===== Testiranje YARA pravila =====
-Prije implementacije pravila u produkcijska okruženja, potrebno ih je testirati kako bi se osigurala njihova učinkovitost i pouzdanost.
-Testiranje na datotekama
-Jednostavno testiranje na pojedinačnoj datoteci pomoću naredbe:
-  yara pravilo.yar uzorak.exe
-----
-Testiranje na memorijskim procesima
-Za analizu aktivnih procesa:
-  yara -p <PID> pravilo.yar
-----
-Automatizacija testiranja
-Testiranje se može automatizirati kako bi se osigurala stalna provjera novih datoteka u sigurnosnim sustavima. Primjer skripte:
-  import os
-  import yara
-  rules = yara.compile(filepath='pravilo.yar')
-  for root, dirs, files in os.walk('/putanja/do/datoteka'):
-      for file in files:
-          filepath = os.path.join(root, file)
-          matches = rules.match(filepath=filepath)
-          if matches:
-              print(f"Pronađene prijetnje u: {filepath}")
-----
@@ Redak 250: / Redak 213: @@
 Pravilno kreirana YARA pravila ključna su za preciznu detekciju prijetnji i osiguranje kibernetičke sigurnosti. Stručna izrada i testiranje pravila osigurava njihovu pouzdanost i smanjuje mogućnost grešaka u radu sigurnosnih sustava.
 ===== Literatura =====
-[1] [[https://hr.wikipedia.org/wiki/]]
 [1] Službena dokumentacija YARA alata: [[https://yara.readthedocs.io/]]

racfor_wiki/seminari2024/pisanje_yara_pravila.1737903214.txt.gz · Zadnja izmjena: 2025/01/26 14:53 od Mikulić Katarina