Créer des unités d'analyse Yara

Les unités d'analyse Yara sont composées d'une ou plusieurs règles Yara.

Vous devez disposer du droit Ressources-Modifier pour créer des unités d'analyse.

Version des agents SES Evolution Versions de Yara compatibles
2.3 4.2.2 et 4.2.3
2.4 4.2.3

  1. Choisissez le menu Sécurité > Ressources.

  2. Dans le panneau de gauche, cliquez sur + Ajouter une ressource.

  3. Sélectionnez Analyse Yara, puis le mode d'analyse :

    • Analyse de fichiers pour analyser les fichiers contenus sur les agents,

    • Analyse de processus pour analyser la mémoire des processus qui sont exécutés sur les agents. Notez que ce mode d'analyse peut détecter le même schéma dans plusieurs processus car la mémoire d'un processus peut être copiée temporairement dans d'autres processus.
      La nouvelle unité est ajoutée sous la catégorie YARA dans le panneau de gauche. Sous la catégorie Stormshield YARA, retrouvez les ressources fournies par Stormshield.

  4. Dans le champ Nouvelle unité d'analyse, entrez le nom de votre analyse, puis une description en dessous si besoin.

  5. Cliquez sur Importer des fichiers et sélectionnez les fichiers *.yar, et *.rule que vous souhaitez utiliser dans cette unité d'analyse. Vous pouvez aussi importer des fichiers Index Yara référençant d'autres fichiers Yara.

    Si les fichiers Yara importés contiennent des incohérences ou sont susceptibles d'impacter les performances, des messages de type Erreur, Avertissement ou Performance s'affichent dans la zone Compilation des ressources avec une description. En cas d'erreur, vous devez corriger le problème ou retirer le fichier concerné car l'unité d'analyse ne pourra pas être enregistrée.
    Si besoin, vous pouvez filtrer ces messages selon leur gravité, la version de Yara, ou la version des agents SES Evolution.

    Vous ne pouvez pas supprimer une unité d'analyse Yara si elle est utilisée dans une tâche Yara, dans une analyse planifiée, ou en tant qu'action sur émission de logs dans une règle SES Evolution.

    Pour obtenir une copie locale des fichiers Yara, s'ils ont été importés par un autre administrateur par exemple, cliquez sur et sélectionnez un répertoire de destination. Vous pouvez ensuite consulter ces fichiers, les modifier et les importer dans la même unité d'analyse ou dans une autre unité.

Vous pouvez également importer directement un fichier .cab depuis le menu dans le panneau de gauche. Un fichier .cab contient le ou les fichiers à utiliser dans une unité d'analyse Yara ou IoC ainsi que d'autres données comme le titre et la description de l'unité. Dans ce même menu, le sous-menu Exporter permet d'exporter une unité d'analyse avec toutes ces informations, dans un fichier .cab également.

Vous pouvez également importer directement un fichier .cab depuis le menu dans le panneau de gauche. Un fichier .cab contient le ou les fichiers à utiliser dans une unité d'analyse Yara ou IoC ainsi que d'autres données comme le titre et la description de l'unité. Dans ce même menu, le sous-menu Exporter permet d'exporter une unité d'analyse avec toutes ces informations, dans un fichier .cab également.