Un moteur de détection à partir des signatures basé sur les règles YARA pour identifier les logiciels malveillants dès qu'ils sont déposés sur le disque ou chargés en mémoire, même obfusqués.
Le moteur Signatures basé sur les règles YARA permet d'identifier les fichiers malveillants : scripts, programmes ou autres binaires.
Les processus peuvent être détectés à leur démarrage et lorsqu’ils sont en cours d’exécution.
Les règles YARA évaluent :
Le moteur Signatures – YARA propose des règles qui visent à détecter les outils des attaquants, et il peut être configuré pour scanner les exécutables dès leur écriture sur le disque pour les agents Windows, MacOS et Linux.
Il permet la détection des menaces connues, comme par exemple CobaltStrike, Bruteratel, Mimikatz, Metasploit, Sliver...
Les règles au format standard YARA sont conçues et maintenues dans la durée par l'équipe de Cyber Threat Intelligence (CTI) d’HarfangLab.
Elles sont déployées et enrichies par nos experts qui les font évoluer en fonction des menaces pour assurer une protection optimale et limiter le nombre de faux positifs.
Ces règles peuvent être personnalisées et complétées par des règles importées de sources tierces, et le moteur peut être configuré selon les besoins spécifiques des utilisateurs de l’EDR.
Les règles YARA sont totalement accessibles pour permettre aux analystes de comprendre l’origine des alertes.
Sigma et YARA sont des formats de règles qui permettent de détecter les menaces – respectivement les comportements et les…
