Cette page a été traduite par l'API Cloud Translation.

Syntaxe de la section "Options"

Compatible avec :

Google SecOps SIEM

La section options d'une requête YARA-L n'est disponible que pour les règles.

Vous pouvez spécifier des options à l'aide de la syntaxe key = value, où key doit être un nom d'option prédéfini et value doit être une valeur valide pour l'option :

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Valeurs des options

Les valeurs suivantes sont disponibles pour les options :

allow_zero_values
suppression_window

Option "Autoriser les valeurs nulles"

Les valeurs valides pour l'option allow_zero_values sont true et false (par défaut), qui déterminent si l'option est activée ou non. L'option allow_zero_values est désactivée si elle n'est pas spécifiée dans la requête.

Pour activer le paramètre allow_zero_values, ajoutez ce qui suit à la section options de votre requête : allow_zero_values = true

Cette action empêche la requête de filtrer implicitement les valeurs nulles des espaces réservés utilisés dans la section match, comme décrit dans Valeurs nulles dans la section "Correspondance".

Option suppression_window

L'option suppression_window fournit un mécanisme évolutif permettant de contrôler le volume d'alertes et de dédupliquer les résultats, en particulier pour les utilisateurs qui passent de Splunk (et d'autres plates-formes) qui utilisent des fonctionnalités de limitation des alertes similaires.

La suppression_window utilise une approche de fenêtre bascule, c'est-à-dire une fenêtre de taille fixe et sans chevauchement qui supprime les détections en double. Vous pouvez éventuellement fournir un suppression_key pour affiner davantage les instances de requête supprimées dans le suppression window. La clé de déduplication (suppression_key), qui correspond au point de données spécifique que le système examine pour déterminer si un événement est un doublon, varie selon le type de règle :

Les requêtes mono-événement utilisent une variable outcome nommée suppression_key pour définir le champ d'application de la déduplication. Si vous ne spécifiez pas de suppression_key, toutes les instances de requête sont supprimées globalement pendant la période.

Exemple : option de période de suppression pour les requêtes mono-événement

Dans l'exemple suivant, suppression_window est défini sur 5m et suppression_key est défini sur la variable $hostname. Une fois que la requête déclenche une détection pour $hostname, toute autre détection pour $hostname est supprimée pendant les cinq minutes suivantes. Toutefois, si la requête est déclenchée par un événement avec un nom d'hôte différent, une détection est créée.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Les requêtes multi-événements utilisent les variables définies dans la section match pour déterminer ce qui doit être supprimé. La valeur suppression_window doit également être supérieure à la période match.

Exemple : option de période de suppression pour les requêtes multi-événements

Dans l'exemple suivant, suppression_window est défini sur 1h. Une fois que la requête déclenche une détection pour ($hostname, $ip) sur une période de 10m, toute autre détection pour ($hostname, $ip) est supprimée pour l'heure suivante. Toutefois, si la requête se déclenche sur des événements avec une combinaison différente, une détection est créée.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Remarque : La valeur par défaut de suppression_window est 0, c'est-à-dire que

suppression
window

est désactivé par défaut.

Informations supplémentaires

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.