In der Liste der Regeln suchen
Mit der Regelsuche können Sie bestimmte Regeln in Ihrer einheitlichen Regelliste finden. Sie können Regeln mithilfe des einfachen Keyword-Abgleichs finden oder eine erweiterte, AIP-160-kompatible strukturierte Suchsyntax für sehr gezielte Anfragen verwenden. Diese Suchfunktionen werden sowohl im Dashboard „Regeln“ als auch über die ListRules API vollständig unterstützt.
Suchmethoden
Keyword-Suche: Führt eine einfache, weit gefasste Suche direkt im Regeltext durch.
Beispiel:
my_rule_nameStrukturierte Suche: Hier werden Ihre Regeln nach bestimmten Metadaten gefiltert, z. B. nach Anzeigename, Text, Tags oder Livestatus.
Beispiel:
display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"
Unterstützte Operatoren in der Suche
| Operator | Beispiel | Bedeutung |
|---|---|---|
| : | string_field: "str"
|
Der Feldwert enthält den Teilstring str
Eines der Feldelemente enthält den Teilstring |
| = | string_field = "str"
|
Der Feldwert ist genau str
Der Feldwert ist genau der boolesche Wert
Der Feldwert entspricht genau dem Enum
Der Feldwert ist genau das Datum |
| != | string_field != "str"
|
Feldwert ist NICHT str
Feldwert ist NICHT
Der Feldwert ist NICHT der Enum-Wert |
| > | string_field > "str"
|
Der Feldwert ist lexikalisch nach str sortiert.
Der Feldwert liegt nach dem |
| >= | string_field >= "str"
|
Der Feldwert ist lexikalisch nach oder gleich str sortiert.
Der Feldwert ist am oder nach dem |
| < | string_field < "str"
|
Der Feldwert wird lexikalisch vor str sortiert.
Der Feldwert liegt vor dem |
| <= | string_field <<>= "str"
|
Der Feldwert ist lexikalisch vor oder gleich str.
Der Feldwert liegt am oder vor dem |
Unterstützte Felder für die strukturierte Suche
rule_owner
Feldbeschreibung: Die Ersteller-Entität der Regel
Feldtyp:enum
Unterstützte Werte:
Kunden
google
* (beliebiger Eigentümer)
Unterstützte Operatoren
| Operator | Beispiel | Bedeutung |
|---|---|---|
:
|
rule_owner: "customer"
|
Nur benutzerdefinierte Regeln zurückgeben Nur kuratierte Regeln zurückgeben Sowohl benutzerdefinierte als auch kuratierte Regeln zurückgeben |
=
|
rule_owner = "customer"
|
Nur benutzerdefinierte Regeln zurückgeben Nur kuratierte Regeln zurückgeben |
!=
|
rule_owner != "customer"
|
Rückgaberegeln, die keine benutzerdefinierten Regeln sind Rückgaberegeln, die keine kuratierten Regeln sind |
Hinweis: Standardmäßig wird bei API-Aufrufen ohne rule_owner-Filter der Filter rule_owner: "customer" angewendet. Der Platzhalterwert \* ist hilfreich, wenn sowohl benutzerdefinierte als auch kuratierte Regeln abgerufen werden.
create_time
Feldbeschreibung: Der Zeitstempel, zu dem die Regel erstellt wurde.
Feldtyp:timestamp
Unterstützte Operatoren:
| Operator | Beispiel | Bedeutung |
|---|---|---|
| > | create_time > "2025-11-19"
|
Rückgaberegeln, die nach dem 2025-11-19 erstellt wurden
|
| >= | create_time >= "2025-11-19"
|
Rückgaberegeln, die am oder nach dem 2025-11-19 erstellt wurden
|
| < | create_time < "2025-11-19"
|
Rückgaberegeln, die vor dem 2025-11-19 erstellt wurden
|
| <= | create_time <= "2025-11-19"
|
Rückgaberegeln, die am oder vor dem 2025-11-19 erstellt wurden
|
revision_create_time
Feldbeschreibung: Der Zeitstempel, zu dem die aktuelle Regelversion erstellt wurde.
Feldtyp:timestamp
Unterstützte Operatoren:
| Operator | Beispiel | Bedeutung |
|---|---|---|
>
|
revision_create_time > "2025-11-19"
|
Regeln mit der letzten Textaktualisierung nach dem 2025-11-19 zurückgeben
|
>=
|
revision_create_time >= "2025-11-19"
|
Rückgaberegeln mit letzter Textaktualisierung am oder nach dem 2025-11-19 zurückgeben
|
<
|
revision_create_time < "2025-11-19"
|
Regeln mit letzter Textaktualisierung vor dem 2025-11-19 zurückgeben
|
<=
|
revision_create_time <= "2025-11-19"
|
Rückgabebedingungen mit letzter Textaktualisierung am oder vor dem 2025-11-19
|
Name
Feldbeschreibung: Der Ressourcenname der Regel, die eine eindeutige Kennung enthält.
Feldtyp:string
Unterstützte Operatoren:
| Operator | Beispiel | Bedeutung |
|---|---|---|
:
|
Name: „ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b“ | Regeln mit dem Bezeichner „ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b“ im Ressourcennamen zurückgeben |
display_name
Feldbeschreibung: Der für Menschen lesbare Name der Regeln, die aus der ersten Zeile des Regeltexts extrahiert wurden.
Feldtyp: string
Unterstützte Operatoren:
| Operator | Beispiel | Bedeutung |
|---|---|---|
:
|
display_name: "aws"
|
Regeln mit dem Teilstring aws im Anzeigenamen zurückgeben
|
=
|
display_name = "my_rule_7"
|
Gib Regeln mit dem Anzeigenamen my_rule_7 zurück.
|
!=
|
display_name != "my_rule_7"
|
Regeln ohne Anzeigenamen my_rule_7 zurückgeben
|
>
|
display_name > "b"
|
Gibt Regeln zurück, deren Anzeigename mit einem Zeichen beginnt, das lexikalisch nach dem Buchstaben b eingeordnet wird.
|
>=
|
display_name > "b"
|
Gibt Regeln mit einem Anzeigenamen zurück, der mit dem Buchstaben „b“ oder einem Zeichen beginnt, das lexikalisch nach dem Buchstaben b eingeordnet wird.
|
<
|
display_name < "b"
|
Gibt Regeln zurück, deren Anzeigename mit einem Zeichen beginnt, das lexikalisch vor dem Buchstaben b steht.
|
<=
|
display_name <= "b"
|
Gibt Regeln zurück, deren Anzeigename mit dem Buchstaben „b“ oder einem Zeichen beginnt, das lexikalisch vor dem Buchstaben b steht.
|
Text
Feldbeschreibung: Der Regeltext.
Feldtyp:string
Unterstützte Operatoren:
| Operator | Beispiel | Bedeutung |
|---|---|---|
:
|
Text: "invoke-web request"
|
Rückgaberegeln mit dem Teilstring aws im Regeltext
Gibt Regeln mit dem Teilstring |
Autor
Feldbeschreibung: Der Autor der Regel, wie im Metadatenabschnitt des Regeltexts angegeben.
Feldtyp: string
Unterstützte Operatoren:
| Operator | Beispiel | Bedeutung |
| : | Autor: „alice“ | Regeln mit dem Teilstring „alice“ im Autorwert zurückgeben |
| = | author = "alice@google.com" | Regeln mit dem Autorwert „alice@google.com“ zurückgeben |
| != | author != "alice@google.com" | Rückgaberegeln ohne den Autor „alice@google.com“ |
| > | author > "b" | Regeln mit einem Autor zurückgeben, der mit einem Zeichen beginnt, das lexikalisch nach dem Buchstaben „b“ eingeordnet wird |
| >= | author > "b" | Gibt Regeln zurück, deren Autor mit dem Buchstaben „b“ oder einem Zeichen beginnt, das lexikalisch nach dem Buchstaben „b“ eingeordnet wird. |
| < | author < "b" | Regeln mit einem Autor zurückgeben, der mit einem Zeichen beginnt, das lexikalisch vor dem Buchstaben „b“ steht |
| <= | author <= "b" | Gibt Regeln mit einem Autor zurück, der mit dem Buchstaben „b“ oder einem Zeichen beginnt, das lexikalisch vor dem Buchstaben „b“ steht. |
die Ausprägung
**Feldbeschreibung**: Der Schweregrad der Regel, wie im Metadatenabschnitt des Regeltexts angegeben
Feldtyp:Nachricht
Unterstützte Operatoren:
| Operator | Beispiel | Bedeutung |
| : | severity: "low" | Gibt Regeln mit dem Teilstring „low“ im Schweregradwert zurück. |
| = | severity = "medium" | Regeln mit dem Schweregrad „mittel“ zurückgeben |
| != | severity != "high" | Regeln zurückgeben, die nicht den Schweregrad „hoch“ haben |
Tags
**Feldbeschreibung**: Mit der Regel verknüpfte Tags
Feldtyp:Wiederholter String
Unterstützte Operatoren
| Operator | Beispiel | Bedeutung |
| : | Tag: „ta0001“ | Gibt Regeln mit mindestens einem MITRE-Tag zurück, dessen Tag-Name den Teilstring „ta0001“ enthält. |
archived
**Feldbeschreibung**: Gibt an, ob die Regel archiviert wurde.
Feldtyp:boolean
Unterstützte Operatoren
| Operator | Beispiel | Bedeutung |
| = | archived = true | Archivierte Rückgaberegeln zurückgeben |
| != | archived != true | Regeln zurückgeben, die nicht als archiviert markiert sind |
live_mode_enabled
**Feldbeschreibung**: Gibt an, ob die Regel als Live-Regel ausgeführt wird.
Feldtyp:boolean
Unterstützte Operatoren
| Operator | Beispiel | Bedeutung |
| = | live_mode_enabled = true | Rückgaberegeln, die als aktive Regeln ausgeführt werden |
| != | live_mode_enabled != true | Rückgaberegeln, die nicht als Live-Regeln ausgeführt werden |
alerting_enabled
**Feldbeschreibung**: Gibt an, ob neue Erkennungen für die Regel als Warnungserkennungen markiert werden sollen.
Feldtyp:boolean
Unterstützte Operatoren
| Operator | Beispiel | Bedeutung |
| = | alerting_enabled = true | Rückgabe von Regeln, die als „alerting“ gekennzeichnet sind |
| != | alerting_enabled != true | Regeln zurückgeben, die nicht als „alerting“ markiert sind |
run_frequency
**Feldbeschreibung**: Wenn die Regel als Live-Regel aktiviert ist, bezieht sich dies auf die Häufigkeit der Live-Ausführungen.
Feldtyp:enum
Unterstützte Werte
- Live
- Stündlich
- Täglich
Unterstützte Operatoren
| Operator | Beispiel | Bedeutung |
| = | run_frequency = hourly | Regeln mit der stündlichen run_frequency zurückgeben |
| != | run_frequency != hourly | Rückgaberegeln mit einer anderen run_frequency als „hourly“ |
execution_state
**Feldbeschreibung**: Gibt an, ob die Ausführung von Live-Regeln wie erwartet erfolgt, gedrosselt wird oder nicht ausgeführt werden kann.
Feldtyp:enum
Unterstützte Werte
- Standard
- Begrenzt
- Pausiert
Unterstützte Operatoren
| Operator | Beispiel | Bedeutung |
| = | execution_state = limited
execution_state = default |
Gibt Live-Regeln zurück, die derzeit gedrosselt werden.
Live-Regeln zurückgeben, die wie erwartet ausgeführt werden |
| != | execution_state = limited | Aktive Regeln zurückgeben, die sich derzeit nicht in einem gedrosselten Zustand befinden |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten