Se usó la API de Cloud Translation para traducir esta página.

Sintaxis de la sección de opciones

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

La sección options de una consulta de YARA-L solo está disponible para las reglas.

Puedes especificar opciones con la sintaxis key = value, en la que key debe ser un nombre de opción predefinido y value debe ser un valor válido para la opción:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Valores de opciones

Están disponibles los siguientes valores para las opciones:

allow_zero_values
suppression_window

Opción allow_zero_values

Los valores válidos para la opción allow_zero_values son true y false (predeterminado), que determinan si la opción está habilitada o no. La opción allow_zero_values está inhabilitada si no se especifica en la búsqueda.

Para habilitar el parámetro de configuración allow_zero_values, agrega lo siguiente a la sección options de tu búsqueda: allow_zero_values = true

Esta acción evita que la consulta filtre de forma implícita los valores cero de los marcadores de posición que se usan en la sección match, como se describe en Valores cero en la sección de coincidencias.

Opción suppression_window

La opción suppression_window te permite controlar la frecuencia con la que una regla activa una detección. Evita que la misma regla genere varias detecciones dentro de un período especificado, incluso si las condiciones de la búsqueda se cumplen varias veces.

El sistema de ventanas de supresión usa un enfoque de ventanas de saltos, que suprime los duplicados en una ventana de tamaño fijo y sin superposiciones.

De forma opcional, puedes proporcionar un suppression_key para definir mejor qué instancias de la búsqueda se ocultan dentro del período de ocultamiento. Si no se especifica, se suprimirán todas las instancias de la búsqueda. Esta clave se define como una variable de resultado y solo se considera para las consultas de un solo evento.

Las consultas de varios eventos usarán las variables de coincidencia de la sección match para determinar qué se debe suprimir. El valor de suppression_window también debe ser mayor que la ventana de coincidencias.

El valor predeterminado de suppression_window es 0, es decir, la ventana de supresión está inhabilitada de forma predeterminada.

Ejemplo: Opción de ventana de supresión para búsquedas de un solo evento

En el siguiente ejemplo, suppression_window se establece en 5m y suppression_key se establece en la variable $hostname. Después de que la búsqueda activa una detección para $hostname, se suprimirán las detecciones posteriores para $hostname durante los próximos cinco minutos. Sin embargo, si la búsqueda se activa en un evento con un nombre de host diferente, se crea una detección.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Ejemplo: Opción de período de supresión para búsquedas de múltiples eventos

En el siguiente ejemplo, suppression_window se establece en 1h. Después de que la búsqueda activa una detección para ($hostname, $ip) en un período de 10m, se suprimirán las detecciones posteriores para ($hostname, $ip) durante la próxima hora. Sin embargo, si la búsqueda se activa en eventos con una combinación diferente, se crea una detección.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Información adicional

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.