Cette rubrique fournit les instructions permettant d'activer un contenu YARA personnalisé sur l'hôte Security Analytics sur lequel le service Malware Analysis est installé. En plus des indicateurs de compromission intégrés, Security Analytics Malware Analysis prend également en charge les indicateurs de compromission écrits dans le langage YARA. YARA est un langage de règles qui permet aux chercheurs spécialisés d'identifier et de classer les échantillons de malware. RSA rend les indicateurs de compromission YARA intégrés disponibles dans RSA Live. Ceux-ci sont automatiquement téléchargés et activés sur les appliances souscrites.
Les clients ayant des compétences et des connaissances avancées peuvent ajouter des capacités de détection à RSA Malware Analysis en créant des règles YARA et en les publiant dans RSA Live ou en les plaçant dans un dossier surveillé pour que l'appliance les utilise. Cette section fournit des instructions destinées à l'administrateur qui configure les appliances pour activer la création d'un contenu YARA personnalisé.
Conditions préalables
Il s'agit d'une tâche de configuration avancée, ce qui nécessite des privilèges et des connaissances suffisantes pour configurer un GNU Compiler Collection (GCC) et la C++ Python development library pour la création YARA. En outre, vous devez être familier avec la documentation YARA standard. Les composants suivants sont requis :
- Perl-Compatible Regular Expression (PCRE) library : pcre-8.33.tar.bz2
- Yara 1.7 (rev:167) - ligne de commande YARA autonome : yara-1.7.tar
- Extension YARA pour Python : yara-python-1.7.tar.gz
- Documentation sur les règles YARA : YARA User's Manual 1.6.pdf
Les composants sont disponibles au téléchargement ici : https://code.google.com/p/yara-project/downloads/list
Remarque : À compter de l’écriture, YARA 2.0 est disponible mais non pris en charge pour Security Analytics Malware Analysis 10.5.
Installer les bibliothèques et les applications nécessaires à la création YARA sur une appliance basée CentOS
Comme condition préalable à la création YARA sur l'hôte qui exécute CentOS, vous devez installer make, GNU Compiler Collection et C++ Python Development Library sur l'appliance. Pour installer les applications et les bibliothèques nécessaires à la création YARA :
- Pour vérifier que le référentiel YUM standard figure dans le dossier /etc/yum.repos.d, et pas d'autres fichiers de référentiel, saisissez la commande suivante :
ls -al /etc/yum.repos.d
Les résultats doivent ressembler à ceci :
-rw-r-r-. 1 root root 1926 Jun 26 2012 CentOS-Base.repo
-rw-r-r-. 1 root root 637 Jun 26 2012 CentOS-Debuginfo.repo
-rw-r-r-. 1 root root 626 Jun 26 2012 CentOS-Media.repo
-rw-r-r-. 1 root root 2593 Jun 26 2012 CentOS-Vault.repo - Pour installer make sur l'appliance, saisissez les commandes suivantes :
- yum search make
Le message suivant a été retourné : make.x86_64 : A GNU tool which simplifies the build process for user - yum install make.x86_64
- yum search make
- Pour installer et tester le GCC sur l'hôte, saisissez les commandes suivantes :
- yum search gcc
Les messages suivants s’affichent :
gcc-c+.x86_64 : C+ support for GCC
gcc.x86_64 : Various compilers (C, C++, Objective-C, Java, ...) - Saisissez les commandes suivantes :
yum install gcc.x86_64
yum install gcc-c++.x86_64 - Pour tester la commande gcc, saisissez les commandes suivantes :
gcc -v
cc -v
- yum search gcc
- Pour installer C++ Python development library sur l'appliance, saisissez les commandes suivantes :
- yum search python dev
Le message suivant a été retourné :
python-devel.x86_64 : The libraries and header files needed for Python development - yum install python-devel.x86_64
- yum search python dev
Configurer Yara
Pour créer un développement GCC et C++ Python Development Library dans lequel vous pouvez créer YARA sur l’hôte Security Analytics qui exécute Malware Analysis :
- Exécutez l’une des opérations suivantes :
- Si l'hôte sur lequel vous effectuez l'installation exécute Mac OS, installez xCode pour Mac OS.
- Si l'hôte sur lequel vous effectuez l'installation exécute CentOS, installez make, GCC et C++ Python Development Library à l'aide de la ligne de commande YUM.
- Pour installer la bibliothèque PCRE sur l'hôte, ouvrez une fenêtre de terminal et saisissez les commandes suivantes :
tar -xvf pcre-8.33.tar.bz2
cd pcre-8.33
./configure
make
sudo make install - Pour installer la ligne de commande YARA autonome, saisissez les commandes suivantes :
tar -xvf yara-1.7.tar
cd yara-1.7
./configure
make
sudo make install - Pour tester la ligne de commande YARA autonome :
- Saisissez la commande suivante :
yara - Si la commande aboutit, passez à l'étape 7. Si la commande échoue et renvoie l'erreur yara: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory, saisissez la commande suivante pour vérifier le fichier /etc/ld.so.conf ou la variable d’environnement LD_LIBRARY_PATH.
ldconfig -v
- Saisissez la commande suivante :
- Pour installer l'extension YARA pour Python, saisissez les commandes suivantes :
tar -xvf yara-python-1.7.tar.gz
cd yara-python-1.7
python setup.py build
sudo python setup.py install - Pour tester l'extension YARA :
- Saisissez la commande suivante : python
- À l’invite de commande Python (>>>), saisissez les commandes suivantes :
import yara
exit()
Lorsque cette configuration est terminée, les analystes peuvent créer des indicateurs de compromission YARA personnalisés pour l'utilisation sur un hôte Malware Analysis, comme décrit dans « Implémenter du contenu YARA personnalisé » dans le Guide Investigation et Malware Analysis.