Sintaxis de la sección de metadatos
Se admite en los siguientes sistemas operativos:
Google SecOps
SIEM
La sección meta de una regla de YARA-L es obligatoria y debe aparecer al comienzo de la consulta.
Esta sección puede incluir varias líneas, en las que cada una define un par clave-valor. key es un valor de cadena sin comillas, y value es una cadena con comillas, como: <key> = "<value>"
Por ejemplo:
rule failed_logins_from_new_location {
meta:
author = "Security Team"
description = "Detects multiple failed logins for a user from a new, never-before-seen IP address within 10 minutes."
severity = "HIGH"
... rest of the rule ...
}
¿Qué sigue?
- Sintaxis de la sección Eventos
- Sintaxis de la sección de coincidencias
- Sintaxis de la sección de resultados
- Sintaxis de la sección de condiciones
- Sintaxis de la sección de opciones
Información adicional
- Expresiones, operadores y construcciones que se usan en YARA-L 2.0
- Funciones en YARA-L 2.0
- Cómo compilar reglas de detección compuestas
- Ejemplos: Consultas de YARA-L 2.0
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.