YARA Management Center

YARA Management Center

A YARA Management Center segítségével egyszerűen és könnyen kezelhetők a YARA szabályok. A fizikai vagy virtuális eszközön futó rendszer képes fogadni a YARA szabályokat különböző forrásokból, képes arra, hogy a szabályokat automatikusan tesztelje, valamint ezeket a szabályokat automatikusan vagy félautomatikusan eljuttassa a védelmi rendszerekhez.

 

 

YARA szabályok fogadása

A YARA szabályokat a YARA Management Center különböző forrásokból képes fogadni. Az interneten elérhető ingyenes, illetve fizetős külső YARA szabály szolgáltatások forrásait képes automatikusan, a beállított időzítésnek megfelelően rendszeresen fogadni. Ezen túlmenően a rendszer a saját belső szabályalkotási lehetőségekkel is rendelkezik. Ez egyrészt a manuális szabályfeltöltést jelenti, másrészt lehetőség van a beépített szabályalkotási eljárások használatára is (szabálygenerátorok, mesterséges intelligencia alapú szabálykészítés).

 

Tiszta fájlok kezelése

A YARA szabályok kártékony kódok (threat) és folyamatok (stream) hatékony alkalmazása szempontjából elengedhetetlen, hogy a rendszer ismerje azokat az állományokat, amelyek biztosan veszélytelenek és az adott környezeten, szervezeten belül használatban vannak. Ezen állományok kezelésével és a szabályok készítésénél, illetve külső forrásból származó szabályok testre szabásával, kiegészítésével minimalizálhatóak - sőt akár teljesen kiköszöbölhetőek - a védelmi rendszerek ezen szabályokra vonatkozó vaklármái. A rendszer lehetőséget ad arra, hogy a tiszta fájlokat feltölthessük, illetve azokat szükség esetén frissítsük, menedzseljük.

 

Automatikus tesztelés

Mielőtt a friss YARA szabályok a védelmi rendszerekhez kerülnének, célszerű azokat tesztelésnek alávetni. Ez praktikusan történhet automatikusan, de akár manuális, kézi vizsgálatra is van lehetőség. A tesztelés célja kettős:

  • Egyrészt biztosítani kell, hogy a tiszta, veszélytelen állományokon ne történjen vaklárma; ha mégis ilyen adódna, akkor a szabályok testreszabásával, illetve kiegészítésével a menedzselt tiszta állományok körében az előállított YARA szabályok esetén kizárhatóak a vaklármák.
  • Másrészt a tesztelés ezen túlmenően lehetőséget ad arra, hogy a YARA szabályok eszközkészletét is megvizsgálja és időben jelezze a védelmi rendszerekkel az esetleges inkompatibilitást. A különböző védelmi rendszerek ugyanis nem feltétlenül támogatják a YARA szabályok ugyanazon verzióit és az sem biztos, hogy minden, a YARA szabályaink által használt modult képesek megfelelően használni.

 

Továbbítás a védelmi rendszerek felé

A védelmi rendszerek irányába a YARA szabályok továbbítása történhet automatikusan (természetesen az előre beállított feltételek teljesülése esetén), de történhet félautomatikusan is, a megfelelő felhasználó manuális jóváhagyásával.