Diese Seite wurde von der Cloud Translation API übersetzt.

Syntax des Abschnitts „Options“

Unterstützt in:

Google SecOps SIEM

Der Bereich options einer YARA-L-Abfrage ist nur für Regeln verfügbar.

Sie können Optionen mit der Syntax key = value angeben, wobei key ein vordefinierter Optionsname und value ein gültiger Wert für die Option sein muss:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Optionswerte

Folgende Werte für Optionen sind verfügbar:

allow_zero_values
suppression_window

Option „allow_zero_values“

Die gültigen Werte für die Option allow_zero_values sind true und false (Standard), die bestimmen, ob die Option aktiviert ist oder nicht. Die Option allow_zero_values ist deaktiviert, wenn sie in der Abfrage nicht angegeben ist.

Fügen Sie Folgendes in den Abschnitt options Ihrer Anfrage ein, um die Einstellung allow_zero_values zu aktivieren: allow_zero_values = true

Diese Aktion verhindert, dass die Nullwerte von Platzhaltern, die im Abschnitt match verwendet werden, implizit aus der Abfrage herausgefiltert werden, wie unter Nullwerte im Abschnitt „Abgleich“ beschrieben.

Option für Unterdrückungszeitraum

Mit der Option suppression_window können Sie festlegen, wie oft eine Regel eine Erkennung auslösen soll. So wird verhindert, dass durch dieselbe Regel innerhalb eines bestimmten Zeitfensters mehrere Erkennungen generiert werden, auch wenn die Bedingungen der Abfrage mehrmals erfüllt sind.

Beim Suppression-Windowing wird ein rollierendes Fenster verwendet, mit dem Duplikate in einem nicht überlappenden Fenster mit fester Größe unterdrückt werden.

Optional können Sie ein suppression_key angeben, um genauer festzulegen, welche Instanzen der Abfrage im Unterdrückungszeitraum unterdrückt werden. Wenn nichts angegeben ist, werden alle Instanzen der Abfrage unterdrückt. Dieser Schlüssel wird als Ergebnisvariable definiert und nur für Abfragen mit einem einzelnen Ereignis berücksichtigt.

Bei mehreren Ereignisabfragen werden die Abgleichsvariablen aus dem Abschnitt match verwendet, um zu bestimmen, was unterdrückt werden soll. Der Wert suppression_window muss auch größer als das Abgleichszeitfenster sein.

Der Standardwert von suppression_window ist 0. Das bedeutet, dass das Unterdrückungszeitfenster standardmäßig deaktiviert ist.

Beispiel: Option für Unterdrückungszeitraum für Einzelereignisabfragen

Im folgenden Beispiel ist suppression_window auf 5m und suppression_key auf die Variable $hostname festgelegt. Nachdem durch die Abfrage eine Erkennung für $hostname ausgelöst wurde, werden alle weiteren Erkennungen für $hostname für die nächsten fünf Minuten unterdrückt. Wenn die Abfrage jedoch ein Ereignis mit einem anderen Hostnamen auslöst, wird eine Erkennung erstellt.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Beispiel: Option für Unterdrückungszeitraum für Abfragen mit mehreren Ereignissen

Im folgenden Beispiel ist suppression_window auf 1h festgelegt. Nachdem die Abfrage eine Erkennung für ($hostname, $ip) über einen 10m-Zeitraum ausgelöst hat, werden alle weiteren Erkennungen für ($hostname, $ip) für die nächste Stunde unterdrückt. Wenn die Abfrage jedoch Ereignisse mit einer anderen Kombination auslöst, wird eine Erkennung erstellt.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Weitere Informationen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten