Diese Seite wurde von der Cloud Translation API übersetzt.

Syntax des Abschnitts „Options“

Unterstützt in:

Google SecOps SIEM

Der Abschnitt options einer YARA-L-Abfrage ist nur für Regeln verfügbar.

Sie können Optionen mit der Syntax key = value angeben. Dabei muss key ein vordefinierter Optionsname und value ein gültiger Wert für die Option sein:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Optionswerte

Folgende Werte sind für Optionen verfügbar:

allow_zero_values
suppression_window

Option „allow_zero_values“

Die gültigen Werte für die Option allow_zero_values sind true und false (Standard), die bestimmen, ob die Option aktiviert ist oder nicht. Die Option allow_zero_values ist deaktiviert, wenn sie in der Abfrage nicht angegeben ist.

Fügen Sie Folgendes in den Abschnitt options Ihrer Anfrage ein, um die Einstellung allow_zero_values zu aktivieren: allow_zero_values = true

Diese Aktion verhindert, dass die Nullwerte von Platzhaltern, die im Abschnitt match verwendet werden, implizit aus der Abfrage herausgefiltert werden, wie unter Nullwerte im Abschnitt „Abgleich“ beschrieben.

Option „Unterdrückungszeitraum“

Die Option suppression_window bietet einen skalierbaren Mechanismus zum Steuern des Benachrichtigungsvolumens und zum Deduplizieren von Ergebnissen, insbesondere für Nutzer, die von Splunk (und anderen Plattformen) wechseln, die ähnliche Funktionen zur Drosselung von Benachrichtigungen verwenden.

Für suppression_window wird ein rollierendes Fenster verwendet – ein nicht überlappendes Fenster mit fester Größe, das doppelte Erkennungen unterdrückt. Optional können Sie ein suppression_key angeben, um weiter einzugrenzen, welche Abfrageinstanzen innerhalb des suppression window unterdrückt werden. Der Deduplizierungsschlüssel (suppression_key), der spezifische Datenpunkt, den das System verwendet, um zu entscheiden, ob ein Ereignis ein Duplikat ist, variiert je nach Regeltyp:

Bei Abfragen mit einem einzelnen Ereignis wird eine outcome-Variable namens suppression_key verwendet, um den Deduplizierungsbereich zu definieren. Wenn Sie keine suppression_key angeben, werden alle Anfrageninstanzen während des Zeitraums global unterdrückt.

Beispiel: Option für Unterdrückungszeitraum für Einzelereignisabfragen

Im folgenden Beispiel ist suppression_window auf 5m und suppression_key auf die Variable $hostname festgelegt. Nachdem durch die Abfrage eine Erkennung für $hostname ausgelöst wurde, werden alle weiteren Erkennungen für $hostname für die nächsten fünf Minuten unterdrückt. Wenn die Abfrage jedoch ein Ereignis mit einem anderen Hostnamen auslöst, wird eine Erkennung erstellt.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Bei Abfragen mit mehreren Ereignissen wird anhand der im Abschnitt match definierten Variablen bestimmt, was unterdrückt werden soll. Der Wert suppression_window muss auch größer als das match-Fenster sein.

Beispiel: Option für Unterdrückungszeitraum für Abfragen mit mehreren Ereignissen

Im folgenden Beispiel ist suppression_window auf 1h festgelegt. Nachdem die Abfrage eine Erkennung für ($hostname, $ip) über einen 10m-Zeitraum ausgelöst hat, werden alle weiteren Erkennungen für ($hostname, $ip) für die nächste Stunde unterdrückt. Wenn die Abfrage jedoch Ereignisse mit einer anderen Kombination auslöst, wird eine Erkennung erstellt.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Weitere Informationen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten