Cómo buscar en la lista de reglas
La función de búsqueda de reglas te ayuda a encontrar reglas específicas en tu lista de reglas unificadas. Puedes encontrar reglas con la concordancia básica de palabras clave o aprovechar una sintaxis de búsqueda estructurada avanzada que cumpla con la AIP-160 para realizar búsquedas altamente segmentadas. Estas capacidades de búsqueda son totalmente compatibles tanto en el panel de Rules como a través de la API de ListRules.
Métodos de búsqueda
Búsqueda de palabras clave: Realiza una búsqueda simple y amplia directamente en el texto de la regla.
Ejemplo:
my_rule_nameBúsqueda estructurada: Filtra tus reglas según facetas de metadatos específicos, como el nombre visible, el texto, las etiquetas, el estado en vivo, etcétera.
Ejemplo:
display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"
Operadores admitidos en la Búsqueda
| Operador | Ejemplo | Significado |
|---|---|---|
| : | string_field: "str"
|
El valor del campo contiene la subcadena str
Uno de los elementos del campo contiene la subcadena |
| = | string_field = "str"
|
El valor del campo es exactamente str
El valor del campo es exactamente el valor booleano
El valor del campo es exactamente la enumeración
El valor del campo es exactamente la fecha |
| != | string_field != "str"
|
El valor del campo NO es str
El valor del campo NO es
El valor del campo NO es la enumeración |
| > | string_field > "str"
|
El valor del campo se ordena léxicamente después de str
El valor del campo es posterior a |
| >= | string_field >= "str"
|
El valor del campo es lexicográficamente mayor o igual que str.
El valor del campo es igual o posterior a |
| < | string_field < "str"
|
El valor del campo está ordenado lexicográficamente antes de str
El valor del campo es anterior a |
| <= | string_field <<>= "str"
|
El valor del campo se ordena léxicamente antes de str o es igual a este.
El valor del campo es el |
Campos compatibles con la búsqueda estructurada
rule_owner
Descripción del campo: Es la entidad creadora de la regla.
Tipo de campo: enum
Valores admitidos:
customer
google
* (cualquier propietario)
Operadores admitidos
| Operador | Ejemplo | Significado |
|---|---|---|
:
|
rule_owner: "customer"
|
Devuelve solo las reglas personalizadas Devuelve solo las reglas seleccionadas Devuelve reglas personalizadas y seleccionadas. |
=
|
rule_owner = "customer"
|
Devuelve solo las reglas personalizadas Devuelve solo las reglas seleccionadas |
!=
|
rule_owner != "customer"
|
Reglas de devolución que no son personalizadas Reglas de devolución que no son reglas seleccionadas |
Nota: De forma predeterminada, las llamadas a la API sin filtros rule_owner tendrán aplicado el filtro rule_owner: "customer". El valor comodín \* es útil cuando se recuperan reglas personalizadas y seleccionadas.
create_time
Descripción del campo: Es la marca de tiempo en la que se creó la regla.
Tipo de campo: timestamp
Operadores admitidos:
| Operador | Ejemplo | Significado |
|---|---|---|
| > | create_time > "2025-11-19"
|
Reglas de devolución creadas después del 2025-11-19
|
| >= | create_time >= "2025-11-19"
|
Reglas de devolución creadas a partir del 2025-11-19
|
| < | create_time < "2025-11-19"
|
Reglas de devolución creadas antes del 2025-11-19
|
| <= | create_time <= "2025-11-19"
|
Reglas de devolución creadas hasta el 2025-11-19
|
revision_create_time
Descripción del campo: Es la marca de tiempo en la que se creó la versión de regla más reciente.
Tipo de campo: timestamp
Operadores admitidos:
| Operador | Ejemplo | Significado |
|---|---|---|
>
|
revision_create_time > "2025-11-19"
|
Devuelve las reglas con la última actualización de texto posterior a 2025-11-19
|
>=
|
revision_create_time >= "2025-11-19"
|
Devuelve las reglas con la última actualización de texto en la fecha 2025-11-19 o después de ella.
|
<
|
revision_create_time < "2025-11-19"
|
Devuelve las reglas con la última actualización de texto anterior al 2025-11-19
|
<=
|
revision_create_time <= "2025-11-19"
|
Devuelve las reglas con la última actualización de texto en la fecha 2025-11-19 o antes.
|
nombre
Descripción del campo: Es el nombre del recurso de la regla que contiene un identificador único.
Tipo de campo: string
Operadores admitidos:
| Operador | Ejemplo | Significado |
|---|---|---|
:
|
Name: "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b"" | Devuelve reglas con el identificador "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b" en el nombre del recurso. |
display_name
Descripción del campo: Es el nombre legible de las reglas extraídas de la primera línea del texto de la regla.
Tipo de campo: string
Operadores admitidos:
| Operador | Ejemplo | Significado |
|---|---|---|
:
|
display_name: "aws"
|
Devuelve reglas con la subcadena aws en el nombre visible.
|
=
|
display_name = "my_rule_7"
|
Devuelve reglas con el nombre visible exactamente my_rule_7
|
!=
|
display_name != "my_rule_7"
|
Devuelve reglas que no tienen el nombre visible my_rule_7
|
>
|
display_name > "b"
|
Devuelve reglas con nombres visibles que comienzan con un carácter que se ordena léxicamente después de la letra b.
|
>=
|
display_name > "b"
|
Devuelve las reglas con un nombre visible que comienza con la letra "b" o un carácter que se ordena léxicamente después de la letra b.
|
<
|
display_name < "b"
|
Devuelve reglas con nombres visibles que comienzan con un carácter que se ordena léxicamente antes de la letra b.
|
<=
|
display_name <= "b"
|
Devuelve reglas con nombres visibles que comienzan con la letra "b" o un carácter que se ordena léxicamente antes de la letra b.
|
texto
Descripción del campo: Es el texto de la regla.
Tipo de campo: string
Operadores admitidos:
| Operador | Ejemplo | Significado |
|---|---|---|
:
|
Text: "invoke-web request"
|
Devuelve las reglas que contienen la subcadena aws en el texto de la regla.
Devuelve reglas con la subcadena |
author
Descripción del campo: Es el autor de la regla, como se indica en la sección de metadatos del texto de la regla.
Tipo de campo: string
Operadores admitidos:
| Operador | Ejemplo | Significado |
| : | author: "alice" | Devuelve reglas con la subcadena "alice" en el valor del autor. |
| = | author = "alice@google.com" | Devuelve las reglas con el valor de autor exactamente "alice@google.com". |
| != | author != "alice@google.com" | Devuelve reglas que no tienen el autor "alice@google.com". |
| > | autor > "b" | Devuelve reglas con un autor que comienza con un carácter ordenado léxicamente después de la letra "b". |
| >= | autor > "b" | Devuelve las reglas con el autor que comienza con la letra "b" o un carácter que se ordena léxicamente después de la letra "b". |
| < | author < "b" | Devuelve reglas con un autor que comienza con un carácter ordenado léxicamente antes de la letra "b". |
| <= | author <= "b" | Devuelve las reglas con el autor que comienza con la letra "b" o un carácter que se ordena léxicamente antes de la letra "b". |
gravedad,
**Descripción del campo: **La gravedad de la regla, como se indica en la sección de metadatos del texto de la regla
Tipo de campo: Mensaje
Operadores admitidos:
| Operador | Ejemplo | Significado |
| : | severity: "low" | Devuelve reglas con la subcadena "low" en el valor de gravedad. |
| = | severity = "medium" | Devuelve reglas con el valor de gravedad exactamente "medio". |
| != | gravedad != "alta" | Devuelve las reglas que no tienen gravedad "alta". |
tags
**Descripción del campo: **Etiquetas asociadas a la regla
Tipo de campo: Cadena repetida
Operadores admitidos
| Operador | Ejemplo | Significado |
| : | Etiqueta: "ta0001" | Devuelve reglas con al menos 1 etiqueta de MITRE que contenga la subcadena "ta0001" en el nombre de la etiqueta. |
archivado
**Descripción del campo: **Indica si se archivó la regla.
Tipo de campo: booleano
Operadores admitidos
| Operador | Ejemplo | Significado |
| = | archived = true | Devuelve las reglas marcadas como archivadas |
| != | archived != true | Devuelve las reglas que no están marcadas como archivadas. |
live_mode_enabled
**Descripción del campo: **Indica si la regla se ejecuta como una regla activa.
Tipo de campo: booleano
Operadores admitidos
| Operador | Ejemplo | Significado |
| = | live_mode_enabled = true | Devuelve las reglas que se ejecutan como reglas activas. |
| != | live_mode_enabled != true | Reglas de devolución que no se ejecutan como reglas activas |
alerting_enabled
**Descripción del campo: **Indica si las detecciones nuevas de la regla se deben marcar como detecciones de alerta.
Tipo de campo: booleano
Operadores admitidos
| Operador | Ejemplo | Significado |
| = | alerting_enabled = true | Devuelve las reglas marcadas como alertas. |
| != | alerting_enabled != true | Devuelve las reglas que no están marcadas como alertas. |
run_frequency
**Descripción del campo: **Cuando la regla está habilitada como regla activa, se refiere a la frecuencia de las ejecuciones en vivo.
Tipo de campo: enum
Valores admitidos
- En vivo
- Cada hora
- Diario
Operadores admitidos
| Operador | Ejemplo | Significado |
| = | run_frequency = hourly | Devuelve reglas con run_frequency por hora |
| != | run_frequency != hourly | Devuelve reglas con run_frequency que no sea hourly |
execution_state
**Descripción del campo: **Indica si las ejecuciones de reglas activas se ejecutan según lo previsto, si se limitan o si se les impide ejecutarse.
Tipo de campo: enum
Valores admitidos
- Predeterminado
- Limitado
- En pausa
Operadores admitidos
| Operador | Ejemplo | Significado |
| = | execution_state = limited
execution_state = default |
Devuelve las reglas activas que actualmente están limitadas.
Devuelve las reglas en vivo que se ejecutan según lo previsto |
| != | execution_state = limited | Devuelve las reglas en vivo que no se encuentran en un estado de limitación. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.