Sintaxe da seção de metadados
Compatível com:
Google SecOps
SIEM
A seção meta de uma regra da YARA-L é obrigatória e precisa aparecer no início da consulta.
Essa seção pode incluir várias linhas, em que cada uma define um par de chave-valor. O key é um valor de string sem aspas, e o value é uma string com aspas, como: <key> = "<value>"
Exemplo:
rule failed_logins_from_new_location {
meta:
author = "Security Team"
description = "Detects multiple failed logins for a user from a new, never-before-seen IP address within 10 minutes."
severity = "HIGH"
... rest of the rule ...
}
A seguir
- Sintaxe da seção "Eventos"
- Sintaxe da seção de correspondência
- Sintaxe da seção de resultados
- Sintaxe da seção de condição
- Sintaxe da seção "Opções"
Informações adicionais
- Expressões, operadores e construções usados na YARA-L 2.0
- Funções na YARA-L 2.0
- Criar regras de detecção compostas
- Exemplos: consultas da YARA-L 2.0
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.