PSOE#1(detection-engineering)
YARA-L 2.0 ルールで、特定の親プロセスから生成された PowerShell プロセスを検知したい場合、必須となる構造はどれですか。
正解:C
正解の根拠
YARA-L 2.0 では meta、events、condition の三つのセクションは必須です。events セクションでイベント条件と変数 (placeholder) の関連付けを記述します。
| セクション | 必須/任意 |
|---|---|
| meta | 必須 |
| events | 必須 |
| condition | 必須 |
| match / outcome / options | 任意 |
不正解の理由
- B は condition セクションが必須のため誤りです。条件記述なくしてルールは成立しません。
- C は events セクションを書かないと検知ロジックが定義されず、ルールが動作しません。
- D は match セクションが任意であり、24 時間固定という制約も存在しません。
コメント