YARA-L 日志检测规则语言
用来在 日志数据里写检测规则的语言,Google Chronicle SIEM 使用。名字来自经典的 YARA(原本用于写 恶意软件文件 特征规则),YARA-L 是它面向日志的变体(L = Logs)。
干什么
把”什么样的日志组合代表一次攻击”写成规则,让 SIEM 自动持续匹配。匹配上就产生告警。
规则的骨架
一条 YARA-L 规则通常包含:
- meta —— 规则描述、作者、严重度
- events —— 要匹配的日志事件条件
- condition —— 什么组合算命中
比如:“同一用户 5 分钟内,先多次登录失败、然后成功、再访问敏感资源” → 告警。
跟 YARA 的区别
| YARA | YARA-L | |
|---|---|---|
| 匹配对象 | 文件 / 内存 | 日志事件 |
| 典型用途 | 识别恶意文件 签名 | 检测日志中的攻击模式 |
| 平台 | 通用 | Google Chronicle |
跟 [spl|SPL]、KQL(Sentinel)并列,都是平台专用的检测/查询语言。会写检测规则是把 威胁狩猎成果固化成自动检测的关键能力。