PSOE#4(detection-engineering)
YARA-L 2.0 の match セクションで使用できる時間ウィンドウの上限はどれですか。
正解:C
正解の根拠
match セクションの時間ウィンドウは最小 1 分から最大 48 時間まで指定できます。それ以上長い相関分析が必要な場合は別の手段を検討します。
| 項目 | 値 |
|---|---|
| 最小 | 1 分 |
| 最大 | 48 時間 |
不正解の理由
- A の 7 日はストア検索などの保持期間と混同したものでルール上の上限ではありません。
- B の 30 日は本機能の上限を大きく超えており、サポート対象外です。
- D の 90 日は UDM ログの保持期間目安であり、match の上限とは異なります。
コメント