yara-rule-authoring

Skill wspiera pisanie wysokiej jakości reguł YARA-X do identyfikacji malware'u. Otrzymasz wskazówki dotyczące konwencji nazewnictwa, wyboru stringów, optymalizacji wydajności, migracji ze starszego YARA oraz redukcji fałszywych pozytywów. Narzędzie aktywuje się przy pracy z regułami detekcji, threat huntingiem, IOC, sygnaturami oraz modułami crx i dex. Idealne dla analityków bezpieczeństwa przygotowujących reguły do produkcji.

1. Uruchom skill, gdy pracujesz nad regułą YARA-X — wpisz fragment kodu lub opis tego, co chcesz wykryć. Skill rozpoznaje kontekst automatycznie (słowa kluczowe: YARA, malware detection, threat hunting, IOC, signature).

2. Zanim zaproponujesz stringi do reguły, upewnij się, że generują dobre atomy — YARA szuka 4-bajtowych podciągów. Unikaj stringów z powtarzającymi się bajtami lub sekwencjami poniżej 4 bajtów, bo zmuszają system do wolnej weryfikacji bytecode'u na zbyt wielu plikach.

3. Skonkretyzuj cel reguły — zamiast "detektuje ransomware", napisz "detektuje rutynę ekstrakcji konfiguracji LockBit 3.0". Skill pomoże ci sformułować precyzyjny opis, który rzeczywiście złapie to, co chcesz.

4. Dodaj tanie sprawdzenia na początku reguły (rozmiar pliku, magic bytes) przed kosztownymi wyszukiwaniami stringów lub wywołaniami modułów. Skill wskaże, gdzie umieścić te optymalizacje.

5. Przetestuj regułę na czystych plikach — użyj korpusu goodware'u z VirusTotal lub własnego zestawu. Skill przypomni ci o tej krokach i pomoże zidentyfikować fałszywe alarmy.

6. Jeśli migrujesz stare reguły YARA na YARA-X, skill pokieruje cię przez różnice w składni i najlepsze praktyki nowej wersji. Dodaj metadane dokumentujące, co reguła łapie, dlaczego i skąd pochodzi próbka.