Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:pisanje_yara_pravila [2025/01/26 14:55]
Mikulić Katarina [YARA pravila] 		racfor_wiki:seminari2024:pisanje_yara_pravila [2025/01/26 21:50] (trenutno)
Mikulić Katarina [Pisanje YARA pravila]
Redak 1: Redak 1:
 ===== Pisanje YARA pravila ===== ===== Pisanje YARA pravila =====
  
 +Video [[https://ferhr-my.sharepoint.com/:v:/g/personal/km54317_fer_hr/EfmLMw4uTFhHuq2_i2RCq0oBN0D8SrYN4SO9Hucdn259UQ?e=sEvrYn]]
 ===== Sažetak ===== ===== Sažetak =====
  
Redak 56: Redak 57:
  
  
-Uvjeti (condition) - definiraju logiku koja odreduje kada će se pravilo aktivirati.+Uvjeti (condition) - definiraju logiku koja određuje kada će se pravilo aktivirati.
  
 Primjeri uvjeta: Primjeri uvjeta:
Redak 122: Redak 123:
 ---- ----
  
-  * Element obične listePravilo s regularnim izrazima+  * Pravilo s regularnim izrazima
  
 Pravilo za prepoznavanje e-mail adresa i URL-ova: Pravilo za prepoznavanje e-mail adresa i URL-ova:
Redak 155: Redak 156:
  
  
-yarac: Alat za kompajliranje pravila u binarni format. Kompajliranje smanjuje vrijeme obrade i optimizira performanse:+yarac: Alat za prevođenje pravila u binarni format. Prevođenje smanjuje vrijeme obrade i optimizira performanse:
  
-  yarac pravilo.yar kompajlirano_pravilo.yarc+  yarac pravilo.yar compile_pravilo.yarc
  
  
Redak 196: Redak 197:
   * Ažuriranje pravila: Prilagođavajte ih novim prijetnjama kako bi ostala relevantna.   * Ažuriranje pravila: Prilagođavajte ih novim prijetnjama kako bi ostala relevantna.
  
-===== Testiranje YARA pravila ===== 
  
-Prije implementacije pravila u produkcijska okruženja, potrebno ih je testirati kako bi se osigurala njihova učinkovitost i pouzdanost. 
  
-Testiranje na datotekama 
- 
-Jednostavno testiranje na pojedinačnoj datoteci pomoću naredbe: 
-  yara pravilo.yar uzorak.exe 
- 
- 
----- 
- 
- 
-Testiranje na memorijskim procesima 
- 
-Za analizu aktivnih procesa: 
- 
-  yara -p <PID> pravilo.yar 
- 
- 
----- 
- 
- 
-Automatizacija testiranja 
- 
-Testiranje se može automatizirati kako bi se osigurala stalna provjera novih datoteka u sigurnosnim sustavima. Primjer skripte: 
- 
-  import os 
-  import yara 
-  rules = yara.compile(filepath='pravilo.yar') 
-  for root, dirs, files in os.walk('/putanja/do/datoteka'): 
-      for file in files: 
-          filepath = os.path.join(root, file) 
-          matches = rules.match(filepath=filepath) 
-          if matches: 
-              print(f"Pronađene prijetnje u: {filepath}") 
- 
- 
- 
----- 
  
  
Redak 250: Redak 213:
 Pravilno kreirana YARA pravila ključna su za preciznu detekciju prijetnji i osiguranje kibernetičke sigurnosti. Stručna izrada i testiranje pravila osigurava njihovu pouzdanost i smanjuje mogućnost grešaka u radu sigurnosnih sustava. Pravilno kreirana YARA pravila ključna su za preciznu detekciju prijetnji i osiguranje kibernetičke sigurnosti. Stručna izrada i testiranje pravila osigurava njihovu pouzdanost i smanjuje mogućnost grešaka u radu sigurnosnih sustava.
 ===== Literatura ===== ===== Literatura =====
- 
-[1] [[https://hr.wikipedia.org/wiki/]] 
  
 [1] Službena dokumentacija YARA alata: [[https://yara.readthedocs.io/]] [1] Službena dokumentacija YARA alata: [[https://yara.readthedocs.io/]]
racfor_wiki/seminari2024/pisanje_yara_pravila.1737903315.txt.gz · Zadnja izmjena: 2025/01/26 14:55 od Mikulić Katarina
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0