Syntax des Abschnitts „Optionen“
Der options Abschnitt einer YARA-L-Abfrage ist nur für Regeln verfügbar.
Sie können Optionen mit der Syntax key = value angeben, wobei key ein
vordefinierter Optionsname und value ein gültiger Wert für die Option sein muss:
rule RuleOptionsExample {
// Other rule sections
options:
allow_zero_values = true
}
Optionswerte
Folgende Werte für Optionen sind verfügbar:
Option „allow_zero_values“
Die gültigen Werte für die Option allow_zero_values sind true und false (Standard), die
bestimmen, ob die Option aktiviert ist oder nicht. Die
allow_zero_values Option ist deaktiviert, wenn sie nicht in der Abfrage angegeben ist.
Wenn Sie die Einstellung allow_zero_values aktivieren möchten, fügen Sie dem options
Abschnitt Ihrer Abfrage Folgendes hinzu:
allow_zero_values = true
Dadurch wird verhindert, dass die Abfrage die Nullwerte von
Platzhaltern, die im Abschnitt match verwendet werden, implizit herausfiltert, wie unter
Nullwerte im Abschnitt „match“ beschrieben.
Option „suppression_window“
Die Option suppression_window bietet einen skalierbaren Mechanismus zur Steuerung des Benachrichtigungsvolumens und zur Deduplizierung von Ergebnissen, insbesondere für Nutzer, die von Splunk (und anderen Plattformen) wechseln, die ähnliche Funktionen zur Drosselung von Benachrichtigungen verwenden.
Die Option suppression_window verwendet einen Ansatz mit gleitenden Fenstern. Dabei wird ein Fenster mit fester Größe ohne Überlappung verwendet, um doppelte Erkennungen zu unterdrücken. Optional können Sie ein suppression_key angeben, um weiter zu verfeinern, welche Abfrageinstanzen innerhalb des suppression window unterdrückt werden. Der Deduplizierungsschlüssel (suppression_key), der bestimmte Datenpunkt, den das System verwendet, um zu entscheiden, ob ein Ereignis ein Duplikat ist, variiert je nach Regeltyp:
- Abfragen mit einem einzelnen Ereignis verwenden eine
outcomeVariable namenssuppression_key, um den Deduplizierungsbereich zu definieren. Wenn Sie keinensuppression_keyangeben, werden alle Abfrageinstanzen während des Fensters global unterdrückt.
Beispiel: Option „suppression_window“ für Abfragen mit einem einzelnen Ereignis
Im folgenden Beispiel ist suppression_window auf 5m und suppression_key ist
auf die Variable $hostname festgelegt. Nachdem die Abfrage eine Erkennung für
$hostname ausgelöst hat, werden alle weiteren Erkennungen für $hostname für die nächsten
fünf Minuten unterdrückt. Wenn die Abfrage jedoch bei einem Ereignis mit einem anderen Hostnamen ausgelöst wird,
wird eine Erkennung erstellt.
rule SingleEventSuppressionWindowExample {
// Other rule sections
outcome:
$suppression_key = $hostname
options:
suppression_window = 5m
}- Bei Abfragen mit mehreren Ereignissen wird anhand der im Abschnitt
matchdefinierten Variablen bestimmt, was unterdrückt werden soll. Der Wert vonsuppression_windowmuss außerdem größer als dasmatchFenster sein.
Beispiel: Option „suppression_window“ für Abfragen mit mehreren Ereignissen
Im folgenden Beispiel ist suppression_window auf 1h festgelegt. Nachdem die Abfrage eine Erkennung für
($hostname, $ip) in einem 10m-Fenster ausgelöst hat, werden alle weiteren Erkennungen für ($hostname, $ip)
für die nächste Stunde unterdrückt. Wenn die Abfrage jedoch bei Ereignissen mit einer anderen Kombination ausgelöst wird,
wird eine Erkennung erstellt.
rule MultipleEventSuppressionWindowExample {
// Other rule sections
match:
$hostname, $ip over 10m
options:
suppression_window = 1h
}Weitere Informationen
- In YARA-L 2.0 verwendete Ausdrücke, Operatoren und Konstrukte
- Funktionen in YARA-L 2.0
- Zusammengesetzte Erkennungsregeln erstellen
- Beispiele: YARA-L 2.0-Abfragen
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten