Valhalla با بهرهگیری از قدرت هزاران قانون YARA، و قوانینی که به صورت دستی توسط متخصصان طراحی و با کیفیت بالا ساخته شدهاند، قابلیتهای تشخیص شما را بهبود میبخشد. تیم ما بیش از 8000 قانون تستشدهی YARA را در 6 دستهی مختلف مدیریت میکند: تهدیدات پیشرفتهی پایدار (APT)، ابزارهای هک، بدافزارها (Malware)، وبشلها (Web Shells)، شکار تهدیدات در شبکه، و اکسپلویتها (نفوذها).
پایگاه دادهی Valhalla سالانه با اضافه شدن 1500 قانون جدید YARA بهروز میشود. با دسترسی به این سیستم، میتوانید با ادغام امضاهای پیشرفتهی اسکنرهای موفق THOR در موتورهای اسکن خود، دقت و کارایی تشخیص را افزایش دهید.
تمام قوانین Valhalla بهینهسازی شده و پس از آزمایش در برابر حجم عظیمی از نرمافزارهای ایمن و سایر دادهها از نظر کیفیت تضمین شدهاند.
Valhalla متادادهی غنی ارائه میکند که در صورت مطابقت یک قانون YARA با یک فایل یا داده، اطلاعات تکمیلی و مفیدی دربارهی آن ارائه میدهد. این اطلاعات اضافی، که به تحلیلگر زمینهی لازم را برای ارزیابی دقیقتر فراهم میکند، به تشخیص واقعی بودن تهدید کمک میکند. این متاداده شامل مراجع وب، اطلاعات دربارهی گروههای تهدید، هش فایلها و لیست فایلهای عمومی مطابقتیافته با قوانین YARA است.
هر قانون شامل جزئیاتی درباره نسخه و ماژولهای YARA موردنیاز برای اجرای آن است. با استفاده از کلاینت API، میتوانید تنها قوانینی را که با محصول شما سازگار هستند، بازیابی کنید.
هر قانون YARA دارای یک امتیاز و چندین برچسب است که نشاندهندهی میزان اطمینان و دامنهی کاربرد آن هستند. این ویژگیها به شما امکان میدهند مجموعهای بهینه از قوانین را برای برنامهی خود انتخاب کنید.
API Python به شما این امکان را میدهد که دستههای قوانین مشترک را به صورت متن یا شیء JSON دانلود کنید. همچنین، تنظیمات پیشفرضی برای محصولات شناختهشدهای که از اسکن YARA پشتیبانی میکنند، مانند FireEye، Tenable، Tanium، CarbonBlack و Symantec MAA فراهم شده است. برای دریافت مجموعه قوانین YARA مشترک، تنها با سه خط کد میتوانید این کار را انجام دهید.
وب سایت https://valhalla.nextron-systems.com
وبسایت Valhalla این امکان را فراهم میکند تا تنها با استفاده از یک مرورگر وب، قوانین مشترک خود را بهسرعت بازیابی کنید. کافی است کلید API خود را وارد کرده و روی گزینه “دریافت قوانین” کلیک کنید.
برای دریافت قوانین در قالب JSON، میتوانید گزینه “JSON” را انتخاب کنید. همچنین، با انتخاب “DEMO” و استفاده از یک کلید API آزمایشی، میتوانید تمامی قوانین عمومی YARA را در قالب دلخواه دریافت کنید.
این وبسایت همچنین آمار دقیقی از مجموعه قوانین فعلی را در اختیار شما قرار میدهد.
Command Line Client
کلاینت خط فرمان آسان ‘valhalla-cli’ به ادغام بازیابی قانون در فرآیند استقرار شما کمک میکند.
واقعاً به همین سادگی است.
میتوان آن را با اجرای دستور زیر نصب کرد:
pip3 install valhallaAPI
دستور بعدی همه قوانین مشترک را بازیابی میکند.
valhalla-cli -k APIKEY
کلاینت خط فرمان از سرورهای پروکسی پشتیبانی میکند و به شما امکان میدهد فیلترهای متعددی را اعمال کنید، به عنوان مثال
حذف قوانین با امتیاز پایین (به عنوان مثال، قوانین شکار تهدید با امتیاز کمتر از 75)
حذف قوانینی که روی موتور اسکن شما کار نمیکنند (مثلاً “Tanium”).
قوانین را فقط با برچسبهای خاص بازیابی کنید (به عنوان مثال، “چین”، “APT”)
API وب به شما امکان میدهد مجموعه کاملی را بازیابی کنید که به طور یکپارچه با پلتفرمی که برای اسکن YARA استفاده میکنید، ادغام میشود.
بسته به مورد استفاده شما، اشتراک دستههای مختلف قوانین را توصیه میکنیم.
ما هر سال بین 300 تا 500 قانون قدیمی را بهبود میبخشیم. این بهبودها شامل کاهش تعداد جواب های مثبت کاذب و اصلاح یا گسترش قوانین فعلی میشود.
قوانین سطح بالا برای بدافزارها و ابزارهایی که توسط گروههای تهدید استفاده میشوند.
مبتنی بر گزارشهای عمومی، اطلاعات تهدید داخلی و منابع شخص ثالث.
هر سال، بین 1000 تا 1500 قانون جدید به مجموعه قوانین اضافه میشود. این قوانین توسط متخصصان امنیتی نوشته شده و به دقت تست میشوند تا از صحت و کارایی آنها اطمینان حاصل شود.
بیش از 1500 قانون web shell
اغلب نسبت تشخیص آنتیویروس بسیار پایین است (حتی EDRها نیز در شناسایی وبشلها با مشکل مواجه هستند)
شما میتوانید مجموعه قوانین YARA که در سرویس Valhalla مشترک شدهاید را از طریق مرورگر وب دانلود کنید یا از کلاینت API عمومی ما که به زبان پایتون نوشته شده است استفاده کنید تا مجموعه قوانین سفارشیشدهای را که با موتور اسکن شما مطابقت دارد، دریافت کنید
قوانینی برای شناسایی انواع ابزارها و چارچوبهای امنیتی که توسط مهاجمان استفاده میشوند، طراحی شدهاند
قوانین نه تنها خود ابزار را شناسایی میکنند، بلکه خروجی ابزار، فایلهای کمکی مورد استفاده توسط ابزار و حتی پارامترهای خاصی که در خط فرمان برای اجرای ابزار استفاده میشوند را نیز بررسی میکنند. این کار باعث میشود که شناسایی استفاده از این ابزارها در فایلهای گزارش (Log files) دقیقتر و مؤثرتر باشد.
شما میتوانید به دو صورت در سرویس Valhalla اشتراک داشته باشید:
شما میتوانید فقط در دستههای خاصی از قوانین YARA که مورد نیاز شما هستند، مشترک شوید. برای مثال، اگر فقط به قوانین مربوط به بدافزارها علاقه دارید، میتوانید فقط در دسته “بدافزار” مشترک شوید.
شما میتوانید در کل مجموعه قوانین YARA که توسط Valhalla مدیریت میشود، مشترک شوید و به همه دستهها دسترسی داشته باشید.
از آنجا که آنها بر روشها و رفتارها تمرکز دارند، میتوانند تهدیدهای جدید و ناشناخته را نیز شناسایی کنند، حتی اگر آن تهدید قبلاً دیده نشده باشد و signature خاصی برای آن وجود نداشته باشد.
ما نمیتوانیم یک نسخه آزمایشی از مجموعه قوانین خود ارائه دهیم.
با این حال، API عمومی ما به شما امکان میدهد یک مجموعه قوانین آزمایشی سادهشده را بازیابی و آزمایش کنید، که معادل پایگاه امضای عمومی است که در اسکنرهای رایگان ما LOKI و SPARK Core ادغام شده است.
در صورتی که این مقاله ( اسکنهای خودکار و متمرکز THOR به صورت گسترده ) برای شما مفید و آموزنده بود، پیشنهاد میشود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.
تیم مستر لایسنس با بهره گیری از متخصصان مجرب امنیتی قادر به ارائه خدمات و راهکار در زمینه مهندسی معکوس و ایجاد لایسنس نرم افزارهای خارجی با تمامی امکانات کامل می باشد .
تمامی حقوق قانونی این سایت مربوط به MRlicense میباشد
