Sintassi della sezione Opzioni

Supportato in:

La sezione options di una query YARA-L è disponibile solo per le regole.

Puoi specificare le opzioni utilizzando la sintassi key = value, dove key deve essere un nome di opzione predefinito e value deve essere un valore valido per l'opzione:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Valori delle opzioni

Sono disponibili i seguenti valori per le opzioni:

Opzione allow_zero_values

I valori validi per l'opzione allow_zero_values sono true e false (predefinito), che determinano se l'opzione è abilitata o meno. L'opzione allow_zero_values è disattivata se non è specificata nella query.

Per attivare l'impostazione allow_zero_values, aggiungi quanto segue alla sezione options della query: allow_zero_values = true

Questa azione impedisce alla query di filtrare implicitamente i valori zero dei segnaposto utilizzati nella sezione match, come descritto in Valori zero nella sezione Corrispondenza.

opzione suppression_window

L'opzione suppression_window fornisce un meccanismo scalabile per controllare il volume degli avvisi ed eliminare i risultati duplicati, in particolare per gli utenti che passano da Splunk (e altre piattaforme) che utilizzano funzionalità simili di limitazione degli avvisi.

suppression_window utilizza un approccio a finestra mobile, ovvero una finestra di dimensioni fisse e non sovrapposte che elimina i rilevamenti duplicati. Facoltativamente, puoi fornire un suppression_key per perfezionare ulteriormente le istanze di query soppresse all'interno di suppression window. La chiave di deduplicazione (suppression_key), il punto dati specifico che il sistema esamina per decidere se un evento è un duplicato, varia in base al tipo di regola:

  • Le query su un singolo evento utilizzano una variabile outcome denominata suppression_key per definire l'ambito della deduplicazione. Se non specifichi un suppression_key, tutte le istanze di query vengono eliminate a livello globale durante la finestra.

Esempio: opzione della finestra di soppressione per le query su un singolo evento

Nell'esempio seguente, suppression_window è impostato su 5m e suppression_key è impostato sulla variabile $hostname. Dopo che la query attiva un rilevamento per $hostname, tutti gli altri rilevamenti per $hostname vengono soppressi per i successivi cinque minuti. Tuttavia, se la query viene attivata su un evento con un nome host diverso, viene creata una rilevazione.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}
  • Le query su più eventi utilizzano le variabili definite nella sezione match per determinare cosa deve essere eliminato. Il valore di suppression_window deve essere maggiore anche della finestra match.

Esempio: opzione della finestra di eliminazione per le query su più eventi

Nell'esempio seguente, suppression_window è impostato su 1h. Dopo che la query attiva un rilevamento per ($hostname, $ip) in un intervallo di 10m, tutti gli ulteriori rilevamenti per ($hostname, $ip) vengono eliminati per l'ora successiva. Tuttavia, se la query viene attivata su eventi con una combinazione diversa, viene creata una rilevazione.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Informazioni aggiuntive

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.