Se usó la API de Cloud Translation para traducir esta página.

Sintaxis de la sección de opciones

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

La sección options de una consulta de YARA-L solo está disponible para las reglas.

Puedes especificar opciones con la sintaxis key = value, en la que key debe ser un nombre de opción predefinido y value debe ser un valor válido para la opción:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Valores de opciones

Están disponibles los siguientes valores para las opciones:

allow_zero_values
suppression_window

Opción allow_zero_values

Los valores válidos para la opción allow_zero_values son true y false (predeterminado), que determinan si la opción está habilitada o no. La opción allow_zero_values se inhabilita si no se especifica en la búsqueda.

Para habilitar el parámetro de configuración allow_zero_values, agrega lo siguiente a la sección options de tu búsqueda: allow_zero_values = true

Esta acción evita que la consulta filtre de forma implícita los valores cero de los marcadores de posición que se usan en la sección match, como se describe en Valores cero en la sección de coincidencias.

Opción suppression_window

La opción suppression_window proporciona un mecanismo escalable para controlar el volumen de alertas y anular la duplicación de los hallazgos, en especial para los usuarios que migran desde Splunk (y otras plataformas) que utilizan capacidades similares de limitación de alertas.

La suppression_window usa un enfoque de ventana deslizante, una ventana de tamaño fijo que no se superpone y que suprime las detecciones duplicadas. De forma opcional, puedes proporcionar un suppression_key para definir mejor qué instancias de búsqueda se suprimen dentro del suppression window. La clave de eliminación de duplicados (suppression_key), el dato específico que el sistema analiza para decidir si un evento es un duplicado, varía según el tipo de regla:

Las consultas de un solo evento usan una variable outcome llamada suppression_key para definir el alcance de la eliminación de duplicados. Si no especificas un suppression_key, se suprimirán todas las instancias de la búsqueda de forma global durante el período.

Ejemplo: Opción de ventana de supresión para búsquedas de un solo evento

En el siguiente ejemplo, suppression_window se establece en 5m y suppression_key se establece en la variable $hostname. Después de que la búsqueda activa una detección para $hostname, se suprimirán las detecciones posteriores para $hostname durante los próximos cinco minutos. Sin embargo, si la búsqueda se activa en un evento con un nombre de host diferente, se crea una detección.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Las consultas de varios eventos usan las variables definidas en la sección match para determinar qué se debe suprimir. El valor de suppression_window también debe ser mayor que la ventana de match.

Ejemplo: Opción de período de supresión para búsquedas de múltiples eventos

En el siguiente ejemplo, suppression_window se establece en 1h. Después de que la búsqueda activa una detección para ($hostname, $ip) en un período de 10m, se suprimirán las detecciones posteriores para ($hostname, $ip) durante la próxima hora. Sin embargo, si la búsqueda se activa en eventos con una combinación diferente, se crea una detección.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Información adicional

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.