Syntax des Meta-Abschnitts
Unterstützt in:
Google SecOps
SIEM
Der Abschnitt meta einer YARA-L-Regel ist erforderlich und muss am Anfang der Abfrage stehen.
Dieser Abschnitt kann mehrere Zeilen enthalten, wobei jede Zeile ein Schlüssel/Wert-Paar definiert. key ist ein Stringwert ohne Anführungszeichen und value ist ein String mit Anführungszeichen, z. B. <key> = "<value>".
Beispiel:
rule failed_logins_from_new_location {
meta:
author = "Security Team"
description = "Detects multiple failed logins for a user from a new, never-before-seen IP address within 10 minutes."
severity = "HIGH"
... rest of the rule ...
}
Nächste Schritte
- Syntax des Bereichs „Ereignisse“
- Syntax für den Abgleich von Abschnitten
- Syntax des Ergebnisbereichs
- Syntax des Bedingungsabschnitts
- Syntax des Optionsbereichs
Weitere Informationen
- Ausdrücke, Operatoren und Konstrukte in YARA-L 2.0
- Funktionen in YARA-L 2.0
- Zusammengesetzte Erkennungsregeln erstellen
- Beispiele: YARA-L 2.0-Abfragen
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten