Esta página foi traduzida pela API Cloud Translation.

Sintaxe da seção de opções

Compatível com:

Google SecOps SIEM

A seção options de uma consulta YARA-L está disponível apenas para regras.

É possível especificar opções usando a sintaxe key = value, em que key precisa ser um nome de opção predefinido e value precisa ser um valor válido para a opção:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Valores de opções

Os seguintes valores para opções estão disponíveis:

allow_zero_values
suppression_window

Opção "allow_zero_values"

Os valores válidos para a opção allow_zero_values são true e false (padrão), que determinam se a opção está ativada ou não. A opção allow_zero_values fica desativada se não for especificada na consulta.

Para ativar a configuração allow_zero_values, adicione o seguinte à seção options da sua consulta: allow_zero_values = true

Essa ação impede que a consulta filtre implicitamente os valores zero de marcadores de posição usados na seção match, conforme descrito em Valores zero na seção de correspondência.

Opção "suppression_window"

A opção suppression_window oferece um mecanismo escalonável para controlar o volume de alertas e remover resultados duplicados, principalmente para usuários que migram do Splunk (e de outras plataformas) que usam recursos semelhantes de limitação de alertas.

O suppression_window usa uma abordagem de janela rotativa, que é uma janela de tamanho fixo e sem sobreposição que suprime detecções duplicadas. Você também pode fornecer um suppression_key para refinar ainda mais quais instâncias de consulta são suprimidas no suppression window. A chave de remoção de duplicação (suppression_key), o ponto de dados específico que o sistema analisa para decidir se um evento é duplicado, varia de acordo com o tipo de regra:

As consultas de evento único usam uma variável outcome chamada suppression_key para definir o escopo da remoção de duplicação. Se você não especificar um suppression_key, todas as instâncias de consulta serão suprimidas globalmente durante a janela.

Exemplo: opção de período de supressão para consultas de evento único

No exemplo a seguir, suppression_window está definido como 5m e suppression_key está definido como a variável $hostname. Depois que a consulta aciona uma detecção para $hostname, as detecções futuras para $hostname são suprimidas pelos próximos cinco minutos. No entanto, se a consulta for acionada em um evento com um nome de host diferente, uma detecção será criada.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Consultas de vários eventos usam as variáveis definidas na seção match para determinar o que deve ser suprimido. O valor suppression_window também precisa ser maior que a janela match.

Exemplo: opção de janela de supressão para consultas de vários eventos

No exemplo a seguir, suppression_window está definido como 1h. Depois que a consulta aciona uma detecção para ($hostname, $ip) em uma janela de 10m, as detecções futuras para ($hostname, $ip) são suprimidas na próxima hora. No entanto, se a consulta for acionada em eventos com uma combinação diferente, uma detecção será criada.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Informações adicionais

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.