「選項」專區語法
YARA-L 查詢的 options 區段僅適用於規則。
你可以使用 key = value 語法指定選項,其中 key 必須是預先定義的選項名稱,而 value 必須是選項的有效值:
rule RuleOptionsExample {
// Other rule sections
options:
allow_zero_values = true
}
選項值
可用的選項值如下:
「允許零值」選項
allow_zero_values 選項的有效值為 true 和 false (預設),可決定是否啟用該選項。如果查詢中未指定 allow_zero_values 選項,系統會停用該選項。
如要啟用 allow_zero_values 設定,請在查詢的 options 區段中加入下列內容:allow_zero_values = true
如「比對區段中的零值」一文所述,這項動作可防止查詢在 match 區段中使用的預留位置零值遭到隱含篩除。
suppression_window 選項
suppression_window 選項提供可擴充的機制,可控制快訊量並重複資料刪除,特別適合從 Splunk (和其他平台) 轉移的使用者,這些平台採用類似的快訊節流功能。
suppression_window 採用滾動式時間區間方法,也就是固定大小且不重疊的時間區間,可抑制重複偵測。您可以選擇提供 suppression_key,進一步縮減 suppression window 中要停用的查詢例項。系統會根據規則類型,查看不同的去重複鍵 (suppression_key),藉此判斷事件是否重複:
- 單一事件查詢會使用名為
suppression_key的outcome變數定義重複資料刪除範圍。如未指定suppression_key,系統會在時間範圍內全面禁止所有查詢執行個體。
範例:單一事件查詢的封鎖期選項
在下列範例中,suppression_window 會設為 5m,而 suppression_key 會設為 $hostname 變數。查詢觸發 $hostname 的偵測後,接下來五分鐘內,系統會抑制 $hostname 的任何後續偵測。不過,如果查詢觸發的事件具有不同主機名稱,系統就會建立偵測結果。
rule SingleEventSuppressionWindowExample {
// Other rule sections
outcome:
$suppression_key = $hostname
options:
suppression_window = 5m
}- 多個事件查詢會使用
match區段中定義的變數,判斷要抑制的內容。suppression_window值也必須大於match視窗。
範例:多事件查詢的抑制時間範圍選項
在以下範例中,suppression_window 會設為 1h。查詢在 10m 視窗中觸發 ($hostname、$ip) 的偵測後,接下來一小時內,系統會抑制 ($hostname、$ip) 的任何後續偵測。不過,如果查詢觸發的事件組合不同,系統就會建立偵測結果。
rule MultipleEventSuppressionWindowExample {
// Other rule sections
match:
$hostname, $ip over 10m
options:
suppression_window = 1h
}其他資訊
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。