此页面由 Cloud Translation API 翻译。

选项部分语法

支持的平台：

Google SecOps SIEM

YARA-L 查询的 options 部分仅适用于规则。

您可以使用 key = value 语法指定选项，其中 key 必须是预定义的选项名称，而 value 必须是该选项的有效值：

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

选项值

可用的选项值如下：

allow_zero_values
suppression_window

allow_zero_values 选项

allow_zero_values 选项的有效值为 true 和 false（默认值），用于确定是否启用该选项。如果查询中未指定 allow_zero_values 选项，则该选项处于停用状态。

如需启用 allow_zero_values 设置，请将以下内容添加到查询的 options 部分： allow_zero_values = true

此操作可防止查询隐式过滤掉 match 部分中使用的占位符的零值，如匹配部分中的零值中所述。

suppression_window 选项

suppression_window 选项提供了一种可伸缩的机制来控制提醒音量和去重检测结果，尤其适合从 Splunk（和其他平台）迁移过来的用户，因为这些平台也使用类似的提醒限制功能。

suppression_window 采用翻滚窗口方法，即大小固定的非重叠窗口，可抑制重复检测。您可以选择提供 suppression_key，以进一步细化 suppression window 中要抑制的查询实例。去重键 (suppression_key) 是系统用于确定事件是否重复的特定数据点，因规则类型而异：

单事件查询使用名为 suppression_key 的 outcome 变量来定义去重范围。如果您未指定 suppression_key，则在相应时间段内，所有查询实例都会在全球范围内受到抑制。

示例：单事件查询的抑制窗口选项

在以下示例中，suppression_window 设置为 5m，suppression_key 设置为 $hostname 变量。当查询触发了针对 $hostname 的检测后，在接下来的 5 分钟内，系统会抑制针对 $hostname 的任何进一步检测。不过，如果查询因具有不同主机名的事件而触发，系统会创建检测结果。

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

多事件查询使用 match 部分中定义的变量来确定应抑制的内容。suppression_window 值还必须大于 match 窗口。

示例：多事件查询的抑制窗口选项

在以下示例中，suppression_window 设置为 1h。在查询触发对 ($hostname, $ip) 的检测后，在接下来的 1 小时内，系统会抑制对 ($hostname, $ip) 的任何进一步检测。10m不过，如果查询触发的事件组合不同，系统会创建检测结果。

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}