Crear un nuevo IOC

  • Haz clic en el botón Añadir situado en la esquina superior derecha. Se abrirá la ventana Añadir IOC.

  • Introduce los campos Nombre, Autor, Descripción.

  • En el campo propiedad Introduce la característica del ataque a detectar:

    • MD5 del archivo: comprueba que existe un fichero con el hash indicado en formato MD5.

    • SHA-256 del archivo: comprueba que existe un fichero con el hash indicado en formato SHA-256.

    • Nombre del archivo: comprueba que existe un fichero con el nombre indicado.

    • Ruta del archivo: comprueba que existe un fichero con la ruta indicada.

    • Dominio: comprueba que existe una conexión de red establecida mediante TCP o UDP desde o hacia el dominio indicado.

    • IPv4: comprueba que existe una conexión TCP o UDP establecida desde o hacia la IP indicada.

    • IPv6: comprueba que existe una conexión TCP o UDP establecida desde o hacia la IP indicada en formato IPv6.

    • Regla YARA: comprueba que existe un fichero cuyo contenido coincide con el patrón descrito en la regla YARA indicada.

  • Selecciona el operador: determina el modo de comparación de la propiedad encontrada en el equipo con el valor de referencia establecido por el administrador en el IOC.

    • En: cuando se indiquen una o varias propiedades en el campo valor, el equipo solo deberá cumplir una.

    • Es igual a: la propiedad encontrada en el equipo coincide exactamente con la indicada por el administrador en el campo valor.

  • Valor: establece las propiedades con las que se realizará la búsqueda:

    • Uno o varios valores separados por retorno de carro.

    • No admite comodines.

  • Nueva condición: añade más condiciones a la regla. Se aplicarán los operadores lógicos Y/O.

Operadores lógicos

Para combinar dos condiciones o más en una misma regla se utilizan los operadores lógicos Y y O. Al añadir una segunda condición y sucesivas a una regla se mostrará de forma automática un desplegable con los operadores lógicos disponibles, que se aplicarán a las condiciones adyacentes.

Agrupaciones de condiciones de regla

Los paréntesis en una expresión lógica se utilizan para variar el orden de evaluación de los operadores que relacionan las condiciones de las reglas introducidas.

Para encerrar dos o más condiciones en un paréntesis crea una agrupación marcando con las casillas de selección las condiciones consecutivas que formarán parte del grupo y haz clic en el botón Agrupar condiciones. Se mostrará una línea delgada que abarcará las reglas de reglas de monitorización que forman parte de la agrupación.

Mediante el uso de paréntesis se definen agrupaciones de varios niveles para poder anidar grupos de operandos en una expresión lógica.

Condiciones de uso de reglas YARA

Un IOC no puede incorporar más de una regla YARA. Si el administrador añade una regla YARA a un IOC vacío, no podrá utilizar otras propiedades. De igual modo, si el administrador ya ha añadido otras propiedades al IOC, las reglas YARA quedarán deshabilitadas.

En caso de que la regla no cumpla con la sintaxis YARA, la consola mostrará un mensaje de error y no permitirá guardar el IOC.