Moteur de détection Signatures
Règles YARA

Un moteur de détection à partir des signatures basé sur les règles YARA
pour identifier les logiciels malveillants dès qu'ils sont déposés sur le disque
ou chargés en mémoire, même obfusqués.

Le moteur Signatures basé sur les règles YARA permet d'identifier les fichiers malveillants : scripts, programmes ou autres binaires.

Les processus peuvent être détectés à leur démarrage et lorsqu’ils sont en cours d’exécution.

Les règles YARA évaluent :

Le contenu des fichiers

Les threads injectés

La mémoire des processus

Yara Rules - Known cybersecurity threats detection

check

Détecter les menaces connues

Le moteur Signatures – YARA propose des règles qui visent à détecter les outils des attaquants, et il peut être configuré pour scanner les exécutables dès leur écriture sur le disque pour les agents Windows, MacOS et Linux.

Il permet la détection des menaces connues, comme par exemple CobaltStrike, Bruteratel, Mimikatz, Metasploit, Sliver...

check

Des règles transparentes et personnalisables

Les règles au format standard YARA sont conçues et maintenues dans la durée par l'équipe de Cyber Threat Intelligence (CTI) d’HarfangLab.

Elles sont déployées et enrichies par nos experts qui les font évoluer en fonction des menaces pour assurer une protection optimale et limiter le nombre de faux positifs.

Ces règles peuvent être personnalisées et complétées par des règles importées de sources tierces, et le moteur peut être configuré selon les besoins spécifiques des utilisateurs de l’EDR.

Les règles YARA sont totalement accessibles pour permettre aux analystes de comprendre l’origine des alertes.