基于规则的安全检测 Yara/Snort/Sigma

Yara

基于文本或二进制

规则字段

  • metayara规则的描述
  • strings字符串规则,都是以$开头,字符串有三种类型:文本类型、十六进制字符串、正则表达式。
    • 文本字符串用来定义文件或者进程内存中可读型内容。
    • 十六进制字符串用来定义字节内容。
    • 正则表达式可以用在文本字符串和十六进制字符串中。
  • condition条件区域,条件区域中的内容是布尔类型表达式
    • 布尔操作符 and、or、not
    • 关系操作符 > < == <= >= !=
    • 算数操作符 + – * / %
    • 按位操作符 & | >> << ^ ~

Snort

基于流量数据包内容

语法手册 Writing Snort Rules (up.pt)

Sigma

描述SIEM中相关日志事件

https://github.com/SigmaHQ/sigma/tree/master/tools

Loginsoft Blog – Threat Detection with SIGMA Rules

发表评论