Best practice per YARA-L
Questo documento descrive le best practice consigliate da Google Security Operations per la scrittura di regole in YARA-L.
Filtra i valori zero
I campi potrebbero essere omessi automaticamente negli eventi su cui esegui le regole. Quando i campi vengono omessi, vengono impostati per impostazione predefinita sui valori pari a zero.
Ad esempio, un valore stringa omesso viene impostato per impostazione predefinita su "".
Se equipari due campi omessi, entrambi potrebbero essere impostati come predefiniti sui valori pari a zero. Ciò potrebbe portare a corrispondenze non intenzionali in cui due campi corrispondono perché hanno entrambi valori pari a zero. Puoi evitare questo comportamento specificando esplicitamente il valore zero.
Ad esempio, se hai una regola che equipara due eventi in base a due campi, è possibile che entrambi i campi siano vuoti, causando una corrispondenza:
$e1.field1 = $e2.field2
Se e1.field1 e e2.field2 vengono omessi nei dati, "" = "" è true, causando una corrispondenza.
Le seguenti espressioni di confronto assicurano che non venga trovata alcuna corrispondenza perché e1.field1 e e2.field2 non includono dati:
$e1.field1 = $e2.field2
$e1.field != ""
Valori pari a zero e regole che dipendono dall'arricchimento
Se una regola dipende da dati arricchiti che non sono ancora stati aggiornati, il valore potrebbe essere nullo o zero. Pertanto, è buona prassi filtrare i valori zero (controlli null) nelle regole che dipendono dall'arricchimento. Scopri come Google SecOps arricchisce i dati di eventi ed entità e come utilizzare i dati arricchiti di contesto nelle regole.
Aggiungere un filtro per tipo di evento
Nell'esempio seguente, gli indirizzi IP per ogni evento UDM vengono confrontati con l'elenco di riferimento, consumando molte risorse:
events:
// For every UDM event, check if the target.ip is listed in
// the suspicious_ip_addresses reference list.
$e.target.ip in %suspicious_ip_addresses
Se la tua regola YARA-L rileva solo eventi UDM di un determinato tipo di evento, l'aggiunta di un filtro per il tipo di evento può contribuire a ottimizzare la regola riducendo il numero di eventi che deve valutare.
events:
// For every UDM event of type NETWORK_DNS, check if the target.ip is
// listed in the suspicious_ip_addresses reference list.
$e.metadata.event_type = "NETWORK_DNS"
$e.target.ip in %suspicious_ip_addresses
Aggiungi questi filtri all'inizio della sezione degli eventi. Inoltre, devi inserire i filtri di uguaglianza prima delle espressioni regolari o di altri confronti. I filtri vengono applicati nell'ordine in cui appaiono nella regola.
Per i blog della community sull'utilizzo di YARA-L, vedi:
- Nozioni di base su YARA-L
- Variabili delle regole YARA-L
- Operatori e modificatori YARA-L
- Creare una regola per un singolo evento utilizzando un'espressione regolare
- Aggregare eventi nelle regole
- Impostare una soglia nelle condizioni
- Navigazione nell'editor delle regole
- Opzioni della regola YARA-L
- Creare una regola per un singolo evento: corrispondenza di stringhe
- Creare una regola per più eventi: unire gli eventi
- Creare una regola per più eventi: ordinare gli eventi
- Creare una regola per più eventi: più unioni e conteggi nelle condizioni
- Creazione di una regola per più eventi - Finestre scorrevoli
- Introduzione dei risultati in una regola per un singolo evento
- Risultati in una regola per più eventi - Conteggi
- Risultati nelle regole per più eventi - Array
- Risultati in una regola per più eventi: max, min, somma
- Risultati: punteggio di rischio, logica condizionale e operatori matematici
- Funzioni - strings.concat
- Funzioni - strings.coalesce
- Funzioni - Rete
- Elenco dei riferimenti
- Elenchi di riferimento CIDR
- Elenchi di riferimento delle espressioni regolari
- Funzione Stringhe - Maiuscole o minuscole
- Funzione di espressione regolare - re.regex
- Funzione di espressione regolare - re.capture
- Funzione stringa - strings.base64_decode
- Funzione di espressione regolare: re.replace
- Iniziare a utilizzare la ricerca statistica
- Ricerca statistica: più di un conteggio
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.