Esta página foi traduzida pela API Cloud Translation.

Sintaxe da secção de opções

Suportado em:

Google secops SIEM

A secção options de uma consulta YARA-L só está disponível para regras.

Pode especificar opções através da sintaxe key = value, em que key tem de ser um nome de opção predefinido e value tem de ser um valor válido para a opção:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Valores das opções

Estão disponíveis os seguintes valores para as opções:

allow_zero_values
suppression_window

Opção allow_zero_values

Os valores válidos para a opção allow_zero_values são true e false (predefinição), que determinam se a opção está ativada ou não. A opção allow_zero_values está desativada se não for especificada na consulta.

Para ativar a definição allow_zero_values, adicione o seguinte à secção options da sua consulta: allow_zero_values = true

Esta ação impede que a consulta filtre implicitamente os valores zero dos marcadores de posição usados na secção match, conforme descrito em Valores zero na secção de correspondência.

Opção suppression_window

A opção suppression_window oferece um mecanismo escalável para controlar o volume de alertas e remover duplicados de resultados, especialmente para utilizadores que mudam do Splunk (e de outras plataformas) que usam capacidades de limitação de alertas semelhantes.

O suppression_window usa uma abordagem de janela deslizante, ou seja, uma janela de tamanho fixo e não sobreposta que suprime as deteções duplicadas. Opcionalmente, pode fornecer um suppression_key para refinar ainda mais as instâncias de consulta que são suprimidas no suppression window. A chave de desduplicação (suppression_key), o ponto de dados específico que o sistema analisa para decidir se um evento é duplicado, varia consoante o tipo de regra:

As consultas de evento único usam uma variável outcome denominada suppression_key para definir o âmbito da remoção de duplicados. Se não especificar um suppression_key, todas as instâncias de consulta são suprimidas globalmente durante o período.

Exemplo: opção de período de supressão para consultas de evento único

No exemplo seguinte, suppression_window está definido como 5m e suppression_key está definido como a variável $hostname. Depois de a consulta acionar uma deteção para $hostname, todas as deteções adicionais para $hostname são suprimidas durante os cinco minutos seguintes. No entanto, se a consulta for acionada num evento com um nome de anfitrião diferente, é criada uma deteção.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

As consultas de vários eventos usam as variáveis definidas na secção match para determinar o que deve ser suprimido. O valor de suppression_window também tem de ser superior à janela de match.

Exemplo: opção de intervalo de supressão para consultas de vários eventos

No exemplo seguinte, suppression_window está definido como 1h. Depois de a consulta acionar uma deteção para ($hostname, $ip) durante um período de 10m, todas as deteções adicionais para ($hostname, $ip) são suprimidas durante a hora seguinte. No entanto, se a consulta for acionada em eventos com uma combinação diferente, é criada uma deteção.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Informações adicionais

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.