Rechercher dans la liste des règles
La fonctionnalité de recherche de règles vous permet de trouver des règles spécifiques dans votre liste de règles unifiée. Vous pouvez trouver des règles à l'aide de la correspondance de mots clés de base ou utiliser une syntaxe de recherche structurée avancée conforme à l'AIP-160 pour des requêtes très ciblées. Ces fonctionnalités de recherche sont entièrement compatibles avec le tableau de bord des règles et l'API ListRules.
Méthodes de recherche
Recherche par mot clé : effectue une recherche simple et large directement dans le texte de la règle.
Exemple :
my_rule_nameRecherche structurée : filtre vos règles en fonction de facettes de métadonnées spécifiques, telles que le nom à afficher, le texte, les tags, l'état en direct, etc.
Exemple :
display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"
Opérateurs compatibles dans la recherche
| Opérateur | Exemple | Signification |
|---|---|---|
| : | string_field: "str"
|
La valeur du champ contient la sous-chaîne str
L'un des éléments du champ contient la sous-chaîne |
| = | string_field = "str"
|
La valeur du champ est exactement str
La valeur du champ est exactement la valeur booléenne
La valeur du champ correspond exactement à l'énumération
La valeur du champ correspond exactement à la date |
| != | string_field != "str"
|
La valeur du champ n'est PAS str
La valeur du champ n'est PAS
La valeur du champ N'EST PAS l'énumération |
| > | string_field > "str"
|
La valeur du champ est classée par ordre lexicographique après str
La valeur du champ est postérieure à |
| >= | string_field >= "str"
|
La valeur du champ est lexicographiquement supérieure ou égale à str.
La valeur du champ est le |
| < | string_field < "str"
|
La valeur du champ est classée par ordre lexicographique avant str
La valeur du champ est antérieure à |
| <= | string_field <<>= "str"
|
La valeur du champ est inférieure ou égale à str dans l'ordre lexicographique.
La valeur du champ correspond ou est antérieure à la date " |
Champs compatibles avec la recherche structurée
rule_owner
Description du champ : entité créatrice de la règle
Type de champ : enum
Valeurs acceptées :
customer
google
* (n'importe quel propriétaire)
Opérateurs compatibles
| Opérateur | Exemple | Signification |
|---|---|---|
:
|
rule_owner: "customer"
|
Renvoyer uniquement les règles personnalisées Renvoyer uniquement les règles sélectionnées Renvoyer les règles personnalisées et sélectionnées |
=
|
rule_owner = "customer"
|
Renvoyer uniquement les règles personnalisées Renvoyer uniquement les règles sélectionnées |
!=
|
rule_owner != "customer"
|
Règles de retour qui ne sont pas des règles personnalisées Règles de retour qui ne sont pas des règles sélectionnées |
Remarque : Par défaut, le filtre rule_owner: "customer" est appliqué aux appels d'API sans filtre rule_owner. La valeur générique \* est utile pour récupérer à la fois les règles personnalisées et celles sélectionnées.
create_time
Description du champ : code temporel de création de la règle.
Type de champ : timestamp
Opérateurs compatibles :
| Opérateur | Exemple | Signification |
|---|---|---|
| > | create_time > "2025-11-19"
|
Règles de retour créées après le 2025-11-19
|
| >= | create_time >= "2025-11-19"
|
Règles de retour créées le 2025-11-19 ou après
|
| < | create_time < "2025-11-19"
|
Règles de retour créées avant le 2025-11-19
|
| <= | create_time <= "2025-11-19"
|
Règles de retour créées le 2025-11-19 ou avant
|
revision_create_time
Description du champ : code temporel de création de la dernière version de la règle.
Type de champ : timestamp
Opérateurs compatibles :
| Opérateur | Exemple | Signification |
|---|---|---|
>
|
revision_create_time > "2025-11-19"
|
Renvoyer les règles dont le dernier texte a été mis à jour après 2025-11-19
|
>=
|
revision_create_time >= "2025-11-19"
|
Renvoyer les règles dont le dernier texte a été mis à jour le 2025-11-19 ou après
|
<
|
revision_create_time < "2025-11-19"
|
Renvoyer les règles dont le dernier texte a été mis à jour avant le 2025-11-19
|
<=
|
revision_create_time <= "2025-11-19"
|
Règles de retour dont la dernière modification du texte date du 2025-11-19 ou avant
|
nom
Description du champ : nom de ressource de la règle contenant un identifiant unique.
Type de champ : string
Opérateurs compatibles :
| Opérateur | Exemple | Signification |
|---|---|---|
:
|
Name: "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b"" | Renvoie les règles dont l'identifiant est "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b" dans le nom de ressource. |
display_name
Description du champ : nom lisible des règles extraites de la première ligne du texte de la règle.
Type de champ : string
Opérateurs compatibles :
| Opérateur | Exemple | Signification |
|---|---|---|
:
|
display_name: "aws"
|
Renvoie les règles dont le nom à afficher contient la sous-chaîne aws.
|
=
|
display_name = "my_rule_7"
|
Renvoyer les règles dont le nom à afficher est exactement my_rule_7
|
!=
|
display_name != "my_rule_7"
|
Renvoyer les règles qui n'ont pas de nom à afficher my_rule_7
|
>
|
display_name > "b"
|
Renvoyez les règles de retour dont le nom à afficher commence par un caractère qui est lexicalement ordonné après la lettre b.
|
>=
|
display_name > "b"
|
Renvoyer les règles dont le nom à afficher commence par la lettre "b" ou par un caractère qui est lexicalement ordonné après la lettre b
|
<
|
display_name < "b"
|
Renvoyez les règles dont le nom à afficher commence par un caractère qui est lexicalement ordonné avant la lettre b.
|
<=
|
display_name <= "b"
|
Renvoyer les règles dont le nom à afficher commence par la lettre "b" ou par un caractère dont l'ordre lexical est antérieur à la lettre b
|
texte
Description du champ : texte de la règle.
Type de champ : string
Opérateurs compatibles :
| Opérateur | Exemple | Signification |
|---|---|---|
:
|
Text: "invoke-web request"
|
Règles de retour contenant la sous-chaîne aws dans le texte de la règle
Règles de retour contenant la sous-chaîne |
Author (Auteur)
Description du champ : auteur de la règle, tel qu'indiqué dans la section des métadonnées du texte de la règle.
Type de champ : string
Opérateurs compatibles :
| Opérateur | Exemple | Signification |
| : | author: "alice" | Renvoyer les règles dont la valeur de l'auteur contient la sous-chaîne "alice" |
| = | author = "alice@google.com" | Renvoie les règles dont la valeur de l'auteur est exactement "alice@google.com". |
| != | author != "alice@google.com" | Règles de retour dont l'auteur n'est pas "alice@google.com" |
| > | author > "b" | Renvoyer les règles dont l'auteur commence par un caractère qui est classé lexicalement après la lettre "b" |
| >= | author > "b" | Renvoie les règles dont l'auteur commence par la lettre"b" ou un caractère qui est lexicalement ordonné après la lettre "b" |
| < | author < "b" | Renvoyer les règles dont l'auteur commence par un caractère qui est lexicalement ordonné avant la lettre "b" |
| <= | author <= "b" | Renvoyer les règles dont l'auteur commence par la lettre"b" ou par un caractère qui est lexicalement ordonné avant la lettre "b" |
de gravité,
**Description du champ** : niveau de gravité de la règle indiqué dans la section des métadonnées du texte de la règle
Type de champ : message
Opérateurs compatibles :
| Opérateur | Exemple | Signification |
| : | severity: "low" | Renvoyer les règles dont la sous-chaîne "low" figure dans la valeur de gravité |
| = | severity = "medium" | Renvoie les règles dont la valeur de gravité est exactement "moyenne" |
| != | severity != "high" | Renvoyer les règles dont la gravité n'est pas "élevée" |
tags
**Description du champ** : balises associées à la règle
Type de champ : chaîne répétée
Opérateurs compatibles
| Opérateur | Exemple | Signification |
| : | Balise : "ta0001" | Renvoie les règles comportant au moins un tag MITRE dont le nom contient la sous-chaîne "ta0001". |
archived
**Description du champ** : indique si la règle a été archivée.
Type de champ : booléen
Opérateurs compatibles
| Opérateur | Exemple | Signification |
| = | archived = true | Règles de retour marquées comme archivées |
| != | archived != true | Règles de retour non marquées comme archivées |
live_mode_enabled
**Description du champ** : indique si la règle est exécutée en tant que règle active.
Type de champ : booléen
Opérateurs compatibles
| Opérateur | Exemple | Signification |
| = | live_mode_enabled = true | Règles de retour exécutées en tant que règles actives |
| != | live_mode_enabled != true | Règles de retour qui ne sont pas exécutées en tant que règles en direct |
alerting_enabled
**Description du champ** : indique si les nouvelles détections pour la règle doivent être marquées comme détections d'alerte.
Type de champ : booléen
Opérateurs compatibles
| Opérateur | Exemple | Signification |
| = | alerting_enabled = true | Renvoyer les règles d'alerte |
| != | alerting_enabled != true | Règles de retour non marquées comme générant des alertes |
run_frequency
**Description du champ** : lorsque la règle est activée en tant que règle active, cela fait référence à la fréquence des exécutions en direct.
Type de champ : enum
Valeurs acceptées
- En direct
- Toutes les heures
- Tous les jours
Opérateurs compatibles
| Opérateur | Exemple | Signification |
| = | run_frequency = hourly | Renvoyer les règles avec une fréquence d'exécution horaire |
| != | run_frequency != hourly | Règles de retour avec une run_frequency autre qu'horaire |
execution_state
**Description du champ** : indique si les exécutions de règles en direct se déroulent comme prévu, sont limitées ou ne peuvent pas être exécutées.
Type de champ : enum
Valeurs acceptées
- Par défaut
- Limité
- Suspendue
Opérateurs compatibles
| Opérateur | Exemple | Signification |
| = | execution_state = limited
execution_state = default |
Renvoie les règles en direct actuellement limitées.
Renvoyer les règles en direct qui fonctionnent comme prévu |
| != | execution_state = limited | Renvoie les règles en direct qui ne sont pas actuellement limitées. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.