options セクションの構文

以下でサポートされています。

YARA-L クエリの options セクションは、ルールでのみ使用できます。

key = value 構文を使用してオプションを指定できます。ここで、key は事前定義されたオプション名、value はオプションの有効な値である必要があります。

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

オプションの値

オプションには次の値を指定できます。

allow_zero_values オプション

allow_zero_values オプションの有効な値は truefalse(デフォルト)です。これにより、オプションが有効かどうかを判断します。クエリで指定されていない場合、allow_zero_values オプションは無効になります。

allow_zero_values 設定を有効にするには、クエリの options セクションに次の行を追加します。 allow_zero_values = true

このアクションにより、match セクションで使用されているプレースホルダのゼロ値がクエリによって暗黙的に除外されるのを防ぐことができます(一致セクションのゼロ値を参照)。

suppression_window オプション

suppression_window オプションは、アラートの量を制御し、結果を重複除去するためのスケーラブルなメカニズムを提供します。これは、同様のアラート スロットリング機能を使用する Splunk(およびその他のプラットフォーム)から移行するユーザーに特に役立ちます。

suppression_window はタンブリング ウィンドウ アプローチを使用します。これは、重複する検出を抑制する固定サイズの重複しないウィンドウです。必要に応じて suppression_key を指定して、suppression window 内で抑制するクエリ インスタンスをさらに絞り込むことができます。重複除去キー(suppression_key)は、イベントが重複しているかどうかを判断するためにシステムが参照する特定のデータポイントで、ルールの種類によって異なります。

  • 単一イベント クエリでは、suppression_key という名前の outcome 変数を使用して、重複除去の範囲を定義します。suppression_key を指定しない場合、ウィンドウの期間中、すべてのクエリ インスタンスがグローバルに抑制されます。

例: 単一イベント クエリの抑制ウィンドウ オプション

次の例では、suppression_window5m に設定され、suppression_key$hostname 変数に設定されます。クエリが $hostname の検出をトリガーすると、その後 5 分間は $hostname の検出が抑制されます。ただし、クエリが別のホスト名を持つイベントでトリガーされると、検出が作成されます。

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}
  • 複数のイベント クエリでは、match セクションで定義された変数を使用して、抑制する内容を決定します。また、suppression_window の値は match ウィンドウよりも大きくする必要があります。

例: 複数イベント クエリの抑制ウィンドウ オプション

次の例では、suppression_window1h に設定されています。クエリが 10m ウィンドウで($hostname$ip)の検出をトリガーすると、次の 1 時間は($hostname$ip)の検出が抑制されます。ただし、クエリが異なる組み合わせのイベントでトリガーされると、検出が作成されます。

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

その他の情報

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。