옵션 섹션 구문

다음에서 지원:

YARA-L 쿼리의 options 섹션은 규칙에만 사용할 수 있습니다.

key = value 문법을 사용하여 옵션을 지정할 수 있습니다. 여기서 key는 사전 정의된 옵션 이름이어야 하고 value는 옵션에 유효한 값이어야 합니다.

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

옵션 값

옵션에 사용할 수 있는 값은 다음과 같습니다.

allow_zero_values 옵션

allow_zero_values 옵션에 유효한 값은 옵션의 사용 설정 여부를 결정하는 truefalse (기본값)입니다. allow_zero_values 옵션은 쿼리에 지정되지 않은 경우 사용 중지됩니다.

allow_zero_values 설정을 사용 설정하려면 쿼리의 options 섹션에 다음을 추가하세요. allow_zero_values = true

이 작업을 수행하면 일치 섹션의 0값에 설명된 대로 쿼리가 match 섹션에 사용되는 자리표시자의 0값을 암시적으로 필터링하지 못합니다.

suppression_window 옵션

suppression_window 옵션을 사용하면 규칙이 감지를 트리거하는 빈도를 제어할 수 있습니다. 쿼리의 조건이 여러 번 충족되더라도 지정된 시간 내에 동일한 규칙에서 여러 감지가 생성되지 않도록 합니다.

억제 윈도우는 텀블링 윈도우 접근 방식을 사용하며, 이 접근 방식은 고정 크기의 겹치지 않는 윈도우에서 중복을 억제합니다.

선택적으로 suppression_key를 제공하여 차단 기간 내에 차단되는 쿼리 인스턴스를 추가로 세부 조정할 수 있습니다. 지정하지 않으면 쿼리의 모든 인스턴스가 억제됩니다. 이 키는 결과 변수로 정의되며 단일 이벤트 쿼리에만 고려됩니다.

여러 이벤트 쿼리match 섹션의 일치 변수를 사용하여 억제해야 할 항목을 결정합니다. suppression_window 값은 일치 창보다 커야 합니다.

suppression_window의 기본값은 0입니다. 즉, 억제 창은 기본적으로 사용 중지되어 있습니다.

예: 단일 이벤트 쿼리의 서프레션 기간 옵션

다음 예시에서 suppression_window5m로 설정되고 suppression_key$hostname 변수로 설정됩니다. 쿼리가 $hostname 감지를 트리거한 후에는 다음 5분 동안 $hostname에 대한 추가 감지가 억제됩니다. 하지만 쿼리가 호스트 이름이 다른 이벤트에서 트리거되면 감지가 생성됩니다.

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

예: 다중 이벤트 쿼리의 억제 기간 옵션

다음 예시에서는 suppression_window1h로 설정되었습니다. 쿼리가 10m 기간 동안 ($hostname, $ip)에 대한 감지를 트리거한 후에는 다음 한 시간 동안 ($hostname, $ip)에 대한 추가 감지가 억제됩니다. 하지만 쿼리가 다른 조합의 이벤트에서 트리거되면 감지가 생성됩니다.

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

추가 정보

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.