Sintaksis bagian opsi
Bagian options dari kueri YARA-L hanya tersedia untuk Aturan.
Anda dapat menentukan opsi menggunakan sintaksis key = value, dengan key harus berupa
nama opsi yang telah ditentukan sebelumnya dan value harus berupa nilai yang valid untuk opsi:
rule RuleOptionsExample {
// Other rule sections
options:
allow_zero_values = true
}
Nilai opsi
Nilai berikut untuk opsi tersedia:
Opsi allow_zero_values
Nilai yang valid untuk opsi allow_zero_values adalah true dan false (default), yang
menentukan apakah opsi diaktifkan atau tidak. Opsi
allow_zero_values dinonaktifkan jika tidak ditentukan dalam kueri.
Untuk mengaktifkan setelan allow_zero_values, tambahkan hal berikut ke bagian options
kueri Anda:
allow_zero_values = true
Tindakan ini mencegah kueri memfilter secara implisit nilai nol
placeholder yang digunakan di bagian match, seperti yang dijelaskan dalam
Nilai nol di bagian kecocokan.
Opsi suppression_window
Opsi suppression_window menyediakan mekanisme yang dapat diskalakan untuk mengontrol volume pemberitahuan dan menghapus duplikat temuan, terutama bagi pengguna yang beralih dari Splunk (dan platform lain) yang menggunakan kemampuan pembatasan pemberitahuan serupa.
suppression_window menggunakan pendekatan jendela bergulir—jendela berukuran tetap yang tidak tumpang-tindih dan menekan deteksi duplikat. Secara opsional, Anda dapat memberikan suppression_key untuk lebih menyaring instance kueri mana yang dihentikan dalam suppression window. Kunci penghapusan duplikat (suppression_key), titik data spesifik yang dilihat sistem untuk memutuskan apakah suatu peristiwa adalah duplikat, bervariasi menurut jenis aturan:
- Kueri peristiwa tunggal menggunakan variabel
outcomebernamasuppression_keyuntuk menentukan cakupan penghapusan duplikat. Jika Anda tidak menentukansuppression_key, semua instance kueri akan dibatalkan secara global selama periode tersebut.
Contoh: opsi periode peniadaan untuk kueri peristiwa tunggal
Dalam contoh berikut, suppression_window disetel ke 5m dan suppression_key disetel
ke variabel $hostname. Setelah kueri memicu deteksi untuk
$hostname, deteksi lebih lanjut untuk $hostname akan dihentikan selama lima menit
berikutnya. Namun, jika kueri dipicu pada peristiwa dengan nama host yang berbeda, deteksi akan dibuat.
rule SingleEventSuppressionWindowExample {
// Other rule sections
outcome:
$suppression_key = $hostname
options:
suppression_window = 5m
}- Beberapa kueri peristiwa menggunakan variabel yang ditentukan di bagian
matchuntuk menentukan apa yang harus disembunyikan. Nilaisuppression_windowjuga harus lebih besar dari periodematch.
Contoh: opsi periode penekanan untuk kueri multi-peristiwa
Dalam contoh berikut, suppression_window disetel ke 1h. Setelah kueri memicu deteksi untuk
($hostname, $ip) selama periode 10m, deteksi lebih lanjut untuk ($hostname, $ip)
akan dihentikan selama satu jam berikutnya. Namun, jika kueri dipicu pada peristiwa dengan kombinasi yang berbeda, deteksi akan dibuat.
rule MultipleEventSuppressionWindowExample {
// Other rule sections
match:
$hostname, $ip over 10m
options:
suppression_window = 1h
}Informasi tambahan
- Ekspresi, operator, dan konstruksi yang digunakan di YARA-L 2.0
- Fungsi di YARA-L 2.0
- Membangun aturan deteksi komposit
- Contoh: Kueri YARA-L 2.0
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.