MA : Activer le contenu YARA personnalisé

Cette rubrique fournit les instructions permettant d'activer un contenu YARA personnalisé sur l'hôte Security Analytics sur lequel le service Malware Analysis est installé. En plus des indicateurs de compromission intégrés, Security Analytics Malware Analysis prend également en charge les indicateurs de compromission écrits dans le langage YARA. YARA est un langage de règles qui permet aux chercheurs spécialisés d'identifier et de classer les échantillons de malware. RSA rend les indicateurs de compromission YARA intégrés disponibles dans RSA Live. Ceux-ci sont automatiquement téléchargés et activés sur les appliances souscrites.

Les clients ayant des compétences et des connaissances avancées peuvent ajouter des capacités de détection à RSA Malware Analysis en créant des règles YARA et en les publiant dans RSA Live ou en les plaçant dans un dossier surveillé pour que l'appliance les utilise. Cette section fournit des instructions destinées à l'administrateur qui configure les appliances pour activer la création d'un contenu YARA personnalisé.

Conditions préalables

Il s'agit d'une tâche de configuration avancée, ce qui nécessite des privilèges et des connaissances suffisantes pour configurer un GNU Compiler Collection (GCC) et la C++ Python development library pour la création YARA. En outre, vous devez être familier avec la documentation YARA standard. Les composants suivants sont requis :

• Perl-Compatible Regular Expression (PCRE) library : pcre-8.33.tar.bz2
• Yara 1.7 (rev:167) - ligne de commande YARA autonome : yara-1.7.tar
• Extension YARA pour Python : yara-python-1.7.tar.gz
• Documentation sur les règles YARA : YARA User's Manual 1.6.pdf

Les composants sont disponibles au téléchargement ici : https://code.google.com/p/yara-project/downloads/list

Remarque : À compter de l’écriture, YARA 2.0 est disponible mais non pris en charge pour Security Analytics Malware Analysis 10.5.

Installer les bibliothèques et les applications nécessaires à la création YARA sur une appliance basée CentOS

Comme condition préalable à la création YARA sur l'hôte qui exécute CentOS, vous devez installer make, GNU Compiler Collection et C++ Python Development Library sur l'appliance. Pour installer les applications et les bibliothèques nécessaires à la création YARA :

1. Pour vérifier que le référentiel YUM standard figure dans le dossier /etc/yum.repos.d, et pas d'autres fichiers de référentiel, saisissez la commande suivante :
   ls -al /etc/yum.repos.d
   Les résultats doivent ressembler à ceci :
   -rw-r-r-. 1 root root 1926 Jun 26  2012 CentOS-Base.repo
   -rw-r-r-. 1 root root  637 Jun 26  2012 CentOS-Debuginfo.repo
   -rw-r-r-. 1 root root  626 Jun 26  2012 CentOS-Media.repo
   -rw-r-r-. 1 root root 2593 Jun 26  2012 CentOS-Vault.repo
2. Pour installer make sur l'appliance, saisissez les commandes suivantes :
   1. yum search make
      Le message suivant a été retourné : make.x86_64 : A GNU tool which simplifies the build process for user
   2. yum install make.x86_64
3. Pour installer et tester le GCC sur l'hôte, saisissez les commandes suivantes :
   1. yum search gcc
      Les messages suivants s’affichent :
      gcc-c+.x86_64 : C+ support for GCC
      gcc.x86_64 : Various compilers (C, C++, Objective-C, Java, ...)
   2. Saisissez les commandes suivantes :
      yum install gcc.x86_64
      yum install gcc-c++.x86_64
   3. Pour tester la commande gcc, saisissez les commandes suivantes :
      gcc -v
      cc -v
4. Pour installer C++ Python development library sur l'appliance, saisissez les commandes suivantes :
   1. yum search python dev
      Le message suivant a été retourné :
      python-devel.x86_64 : The libraries and header files needed for Python development
   2. yum install python-devel.x86_64

Configurer Yara

Pour créer un développement GCC et C++ Python Development Library dans lequel vous pouvez créer YARA sur l’hôte Security Analytics qui exécute Malware Analysis :

1. Exécutez l’une des opérations suivantes :
   1. Si l'hôte sur lequel vous effectuez l'installation exécute Mac OS, installez xCode pour Mac OS.
   2. Si l'hôte sur lequel vous effectuez l'installation exécute CentOS, installez make, GCC et C++ Python Development Library à l'aide de la ligne de commande YUM.
2. Pour installer la bibliothèque PCRE sur l'hôte, ouvrez une fenêtre de terminal et saisissez les commandes suivantes :
   tar -xvf pcre-8.33.tar.bz2
   cd pcre-8.33
   ./configure
   make
   sudo make install
3. Pour installer la ligne de commande YARA autonome, saisissez les commandes suivantes :
   tar -xvf yara-1.7.tar
   cd yara-1.7
   ./configure
   make
   sudo make install
4. Pour tester la ligne de commande YARA autonome :
   1. Saisissez la commande suivante :
      yara
   2. Si la commande aboutit, passez à l'étape 7. Si la commande échoue et renvoie l'erreur yara: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory, saisissez la commande suivante pour vérifier le fichier /etc/ld.so.conf ou la variable d’environnement LD_LIBRARY_PATH.
      ldconfig -v
5. Pour installer l'extension YARA pour Python, saisissez les commandes suivantes :
   tar -xvf yara-python-1.7.tar.gz
   cd yara-python-1.7
   python setup.py build
   sudo python setup.py install
6. Pour tester l'extension YARA :
   1. Saisissez la commande suivante : python
   2. À l’invite de commande Python (>>>), saisissez les commandes suivantes :
      import yara
      exit()

Lorsque cette configuration est terminée, les analystes peuvent créer des indicateurs de compromission YARA personnalisés pour l'utilisation sur un hôte Malware Analysis, comme décrit dans « Implémenter du contenu YARA personnalisé » dans le Guide Investigation et Malware Analysis.