PSOE#5(detection-engineering)

YARA-L 2.0 で reference list を参照して既知のホワイトリスト IP を除外する記述として正しいものはどれですか。

A. $e.principal.ip in %allowed_ips を events に記述
B. reference allowed_ips を meta セクションに記述してリスト宣言を導入し、events で利用できるようにする
C. $e.principal.ip not match allowed_ips を outcome セクションに記述して非一致条件を表現する
D. $e.principal.ip = list(allowed_ips) を condition セクションに記述してリスト関数で照合判定を行うように記述する

正解と解説ディスカッション 0

正解：A

reference list は %list_name 形式で events セクション内の述語として参照します。in 演算子で包含判定、否定する場合は not in を使用します。

用途	構文
包含	field in %list
除外	not field in %list

コメント