Esta página se ha traducido con Cloud Translation API.

Sintaxis de la sección Options

Disponible en:

SecOps de Google SIEM

La sección options de una consulta de YARA-L solo está disponible para las reglas.

Puede especificar opciones con la sintaxis key = value, donde key debe ser un nombre de opción predefinido y value debe ser un valor válido para la opción:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Valores de las opciones

Puede usar los siguientes valores para las opciones:

allow_zero_values
suppression_window

Opción allow_zero_values

Los valores válidos de la opción allow_zero_values son true y false (valor predeterminado), que determinan si la opción está habilitada o no. La opción allow_zero_values está inhabilitada si no se especifica en la consulta.

Para habilitar el ajuste allow_zero_values, añade lo siguiente a la sección options de tu consulta: allow_zero_values = true

De esta forma, se evita que la consulta filtre implícitamente los valores cero de los marcadores de posición que se usan en la sección match, tal como se describe en Valores cero en la sección de coincidencias.

Opción suppression_window

La opción suppression_window proporciona un mecanismo escalable para controlar el volumen de las alertas y eliminar las duplicadas, sobre todo para los usuarios que se cambian de Splunk (y otras plataformas) que utilizan funciones similares de limitación de alertas.

El suppression_window usa un enfoque de ventana de tiempo acumulativo: una ventana de tamaño fijo que no se solapa y que suprime las detecciones duplicadas. Opcionalmente, puede proporcionar un suppression_key para acotar aún más las instancias de consulta que se suprimen en el suppression window. La clave de desduplicación (suppression_key), que es el punto de datos específico que el sistema tiene en cuenta para decidir si un evento es un duplicado, varía según el tipo de regla:

Las consultas de un solo evento usan una variable outcome llamada suppression_key para definir el ámbito de la deduplicación. Si no especificas un suppression_key, todas las instancias de consulta se suprimen de forma global durante el periodo.

Ejemplo: opción de ventana de supresión para consultas de un solo evento

En el siguiente ejemplo, suppression_window se asigna a 5m y suppression_key se asigna a la variable $hostname. Después de que la consulta active una detección de $hostname, se suprimirán las detecciones posteriores de $hostname durante los cinco minutos siguientes. Sin embargo, si la consulta se activa en un evento con un nombre de host diferente, se crea una detección.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Las consultas de varios eventos usan las variables definidas en la sección match para determinar qué se debe suprimir. El valor de suppression_window también debe ser mayor que la ventana match.

Ejemplo: opción de ventana de supresión para consultas de varios eventos

En el siguiente ejemplo, suppression_window se ha definido como 1h. Después de que la consulta active una detección de ($hostname, $ip) en un periodo de 10m, se suprimirán las detecciones posteriores de ($hostname, $ip) durante la hora siguiente. Sin embargo, si la consulta se activa en eventos con una combinación diferente, se creará una detección.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Información adicional

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.