Halaman ini diterjemahkan oleh Cloud Translation API.

Sintaksis bagian opsi

Didukung di:

Google secops SIEM

Bagian options dari kueri YARA-L hanya tersedia untuk Aturan.

Anda dapat menentukan opsi menggunakan sintaksis key = value, dengan key harus berupa nama opsi yang telah ditentukan sebelumnya dan value harus berupa nilai yang valid untuk opsi:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

Nilai opsi

Nilai berikut untuk opsi tersedia:

allow_zero_values
suppression_window

Opsi izinkan nilai nol

Nilai yang valid untuk opsi allow_zero_values adalah true dan false (default), yang menentukan apakah opsi diaktifkan atau tidak. Opsi allow_zero_values dinonaktifkan jika tidak ditentukan dalam kueri.

Untuk mengaktifkan setelan allow_zero_values, tambahkan hal berikut ke bagian options kueri Anda: allow_zero_values = true

Tindakan ini mencegah kueri memfilter secara implisit nilai nol placeholder yang digunakan di bagian match, seperti yang dijelaskan dalam Nilai nol di bagian kecocokan.

Opsi suppression_window

Opsi suppression_window memungkinkan Anda mengontrol seberapa sering aturan memicu deteksi. Hal ini mencegah aturan yang sama menghasilkan beberapa deteksi dalam periode waktu yang ditentukan, meskipun kondisi kueri terpenuhi beberapa kali.

Windowing penekanan menggunakan pendekatan jendela bergulir, yang menekan duplikat di jendela berukuran tetap yang tidak tumpang-tindih.

Secara opsional, Anda dapat memberikan suppression_key untuk lebih menyaring instance kueri yang dihentikan dalam periode penghentian. Jika tidak ditentukan, semua instance kueri akan dibatalkan. Kunci ini ditentukan sebagai variabel hasil dan hanya dipertimbangkan untuk kueri peristiwa tunggal.

Beberapa kueri peristiwa akan menggunakan variabel kecocokan dari bagian match untuk menentukan apa yang harus dibatalkan. Nilai suppression_window juga harus lebih besar dari jendela kecocokan.

Nilai default suppression_window adalah 0; artinya, jendela penekanan dinonaktifkan secara default.

Contoh: opsi periode peredaman untuk kueri peristiwa tunggal

Dalam contoh berikut, suppression_window disetel ke 5m dan suppression_key disetel ke variabel $hostname. Setelah kueri memicu deteksi untuk $hostname, deteksi lebih lanjut untuk $hostname akan dihentikan selama lima menit berikutnya. Namun, jika kueri dipicu pada peristiwa dengan nama host yang berbeda, deteksi akan dibuat.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

Contoh: opsi periode peredaman untuk kueri multi-peristiwa

Dalam contoh berikut, suppression_window disetel ke 1h. Setelah kueri memicu deteksi untuk ($hostname, $ip) selama periode 10m, deteksi lebih lanjut untuk ($hostname, $ip) akan dihentikan selama satu jam berikutnya. Namun, jika kueri dipicu pada peristiwa dengan kombinasi yang berbeda, deteksi akan dibuat.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

Informasi tambahan

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.