옵션 섹션 구문

다음에서 지원:

Google secops SIEM

YARA-L 쿼리의 options 섹션은 규칙에만 사용할 수 있습니다.

key = value 문법을 사용하여 옵션을 지정할 수 있습니다. 여기서 key는 사전 정의된 옵션 이름이어야 하고 value는 옵션에 유효한 값이어야 합니다.

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

옵션 값

옵션에 사용할 수 있는 값은 다음과 같습니다.

allow_zero_values
suppression_window

allow_zero_values 옵션

allow_zero_values 옵션에 유효한 값은 옵션의 사용 설정 여부를 결정하는 true 및 false (기본값)입니다. allow_zero_values 옵션은 쿼리에 지정되지 않은 경우 사용 중지됩니다.

allow_zero_values 설정을 사용 설정하려면 쿼리의 options 섹션에 다음을 추가하세요. allow_zero_values = true

이 작업을 수행하면 일치 섹션의 0값에 설명된 대로 쿼리가 match 섹션에서 사용되는 자리표시자의 0값을 암시적으로 필터링하지 못합니다.

suppression_window 옵션

suppression_window 옵션은 특히 유사한 알림 제한 기능을 사용하는 Splunk (및 기타 플랫폼)에서 이동하는 사용자를 위해 알림 볼륨을 제어하고 결과를 중복 삭제하는 확장 가능한 메커니즘을 제공합니다.

suppression_window는 중복 감지를 억제하는 고정 크기의 겹치지 않는 창인 텀블링 창 접근 방식을 사용합니다. 원하는 경우 suppression_key를 제공하여 suppression window 내에서 억제되는 쿼리 인스턴스를 추가로 세부 조정할 수 있습니다. 중복 삭제 키 (suppression_key)는 시스템에서 이벤트가 중복인지 판단하기 위해 확인하는 특정 데이터 포인트로, 규칙 유형에 따라 다릅니다.

단일 이벤트 쿼리는 suppression_key라는 outcome 변수를 사용하여 중복 삭제 범위를 정의합니다. suppression_key를 지정하지 않으면 윈도우 중에 모든 쿼리 인스턴스가 전역적으로 억제됩니다.

예: 단일 이벤트 쿼리의 서프레션 기간 옵션

다음 예시에서 suppression_window은 5m로 설정되고 suppression_key은 $hostname 변수로 설정됩니다. 쿼리가 $hostname 감지를 트리거한 후에는 다음 5분 동안 $hostname에 대한 추가 감지가 억제됩니다. 하지만 쿼리가 다른 호스트 이름의 이벤트에서 트리거되면 감지가 생성됩니다.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

여러 이벤트 쿼리는 match 섹션에 정의된 변수를 사용하여 억제해야 할 항목을 결정합니다. suppression_window 값은 match 창보다 커야 합니다.

예: 다중 이벤트 쿼리의 억제 기간 옵션

다음 예시에서는 suppression_window이 1h로 설정되었습니다. 쿼리가 10m 기간 동안 ($hostname, $ip)에 대한 감지를 트리거한 후 다음 한 시간 동안 ($hostname, $ip)에 대한 추가 감지가 억제됩니다. 하지만 쿼리가 다른 조합의 이벤트에서 트리거되면 감지가 생성됩니다.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

추가 정보

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.