「選項」專區語法

支援的國家/地區:

YARA-L 查詢的 options 區段僅適用於規則。

你可以使用 key = value 語法指定選項,其中 key 必須是預先定義的選項名稱,而 value 必須是選項的有效值:

rule RuleOptionsExample {
  // Other rule sections

  options:
    allow_zero_values = true
}

選項值

可用的選項值如下:

「允許零值」選項

allow_zero_values 選項的有效值為 truefalse (預設),可決定是否啟用該選項。如果查詢中未指定 allow_zero_values 選項,該選項就會停用。

如要啟用 allow_zero_values 設定,請在查詢的 options 區段中加入下列內容: allow_zero_values = true

如「比對區段中的零值」一文所述,這項動作可防止查詢在 match 區段中使用的預留位置零值遭到隱含篩除。

suppression_window 選項

suppression_window 選項可讓你控制規則觸發偵測的頻率。即使查詢條件多次符合,系統也不會在指定時間範圍內,透過同一規則產生多項偵測結果。

抑制時間區間設定會採用滾動式時間區間方法,在固定大小的非重疊時間區間內抑制重複項目。

您可以選擇提供 suppression_key,進一步縮小在抑制時間範圍內抑制的查詢例項。如未指定,系統會禁止顯示所有查詢例項。這個鍵定義為結果變數,且只會用於單一事件查詢

多個事件查詢會使用「match」部分中的相符變數,判斷應禁止顯示的內容。suppression_window 值也必須大於比對視窗。

suppression_window 的預設值為 0,也就是預設停用抑制視窗。

範例:單一事件查詢的封鎖期選項

在下列範例中,suppression_window 會設為 5m,而 suppression_key 會設為 $hostname 變數。查詢觸發 $hostname 的偵測後,接下來五分鐘內,系統會抑制 $hostname 的任何後續偵測。不過,如果查詢在主機名稱不同的事件上觸發,系統就會建立偵測結果。

rule SingleEventSuppressionWindowExample {
  // Other rule sections

  outcome:
    $suppression_key = $hostname

  options:
    suppression_window = 5m
}

範例:多事件查詢的抑制時間範圍選項

在以下範例中,suppression_window 會設為 1h。查詢在 10m 視窗中觸發 ($hostname$ip) 的偵測後,接下來一小時內,系統會抑制 ($hostname$ip) 的任何後續偵測。不過,如果查詢觸發的事件組合不同,系統就會建立偵測結果。

rule MultipleEventSuppressionWindowExample {
  // Other rule sections

  match:
    $hostname, $ip over 10m

  options:
    suppression_window = 1h
}

其他資訊

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。