YARA ルール
YARA ルール とは何ですか?
YARA ルールYARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。
YARA は、VirusTotal (現在は Google) に在籍する Victor Manuel Alvarez が、研究者がマルウェア ファミリーを記述できるように開発したパターン マッチ言語およびツールです。YARA ルールはメタデータ、文字列定義 (テキスト、HEX、正規表現)、それらをロジック、ファイル属性、PE/ELF/Mach-O などのモジュールと組み合わせるブール条件から構成されます。マルウェア アナリスト、脅威ハンター、インシデント レスポンダーは、ディスク、メモリー ダンプ、メール添付、サンドボックス、VirusTotal、EDR の Retro-Hunt などで YARA を実行し、疑わしいファイルのトリアージやキャンペーンへのピボットに活用します。誤検知が出ることがあるため、Known-Good サンプルでチューニングするのが一般的です。
● 例
- 01
プロセス メモリー内の Cobalt Strike Beacon の構成文字列にマッチする YARA ルール。
- 02
高信頼度の YARA ルールでファイル書き込みイベントを対象に、EDR 環境全体でカスタム バックドアを狩猟する。
● よくある質問
YARA ルール とは何ですか?
YARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
YARA ルール とはどういう意味ですか?
YARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。
YARA ルール はどのように機能しますか?
YARA は、VirusTotal (現在は Google) に在籍する Victor Manuel Alvarez が、研究者がマルウェア ファミリーを記述できるように開発したパターン マッチ言語およびツールです。YARA ルールはメタデータ、文字列定義 (テキスト、HEX、正規表現)、それらをロジック、ファイル属性、PE/ELF/Mach-O などのモジュールと組み合わせるブール条件から構成されます。マルウェア アナリスト、脅威ハンター、インシデント レスポンダーは、ディスク、メモリー ダンプ、メール添付、サンドボックス、VirusTotal、EDR の Retro-Hunt などで YARA を実行し、疑わしいファイルのトリアージやキャンペーンへのピボットに活用します。誤検知が出ることがあるため、Known-Good サンプルでチューニングするのが一般的です。
YARA ルール からどのように防御しますか?
YARA ルール に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
YARA ルール の別名は何ですか?
一般的な別名: YARA シグネチャ, YARA-X。
● 関連用語
- forensics-ir№ 650
マルウェア解析
悪性検体を構造的に調査し、機能・出所・侵害指標・影響を把握するフォレンジック作業。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- defense-ops№ 527
侵害指標(IoC)
ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
- defense-ops№ 1041
Sigma ルール
ベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。
- network-security№ 1043
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
● 関連項目
- № 1081Splunk SPL クエリ