Menelusuri daftar aturan
Fitur penelusuran aturan membantu Anda menemukan aturan tertentu di seluruh daftar aturan terpadu. Anda dapat menemukan aturan menggunakan pencocokan kata kunci dasar atau memanfaatkan sintaksis penelusuran terstruktur yang canggih dan sesuai dengan AIP-160 untuk kueri yang sangat bertarget. Kemampuan penelusuran ini didukung sepenuhnya di dasbor Aturan dan melalui ListRules API.
Metode penelusuran
Penelusuran kata kunci: Melakukan penelusuran luas dan sederhana langsung terhadap teks aturan.
Contoh:
my_rule_namePenelusuran terstruktur: Memfilter aturan Anda berdasarkan aspek metadata tertentu, seperti nama tampilan, teks, tag, status aktif, dan sebagainya.
Contoh:
display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"
Operator yang didukung di Penelusuran
| Operator | Contoh | Arti |
|---|---|---|
| : | string_field: "str"
|
Nilai kolom berisi substring str
Salah satu elemen kolom berisi substring |
| = | string_field = "str"
|
Nilai kolom persis str
Nilai kolom sama persis dengan nilai boolean
Nilai kolom sama persis dengan enum
Nilai kolom persis tanggal |
| != | string_field != "str"
|
Nilai kolom BUKAN str
Nilai kolom BUKAN
Nilai kolom BUKAN enum |
| > | string_field > "str"
|
Nilai kolom diurutkan secara leksikal setelah str
Nilai kolom setelah |
| >= | string_field >= "str"
|
Nilai kolom diurutkan secara leksikal setelah atau sama dengan str
Nilai kolom tepat pada atau setelah |
| < | string_field < "str"
|
Nilai kolom diurutkan secara leksikal sebelum str
Nilai kolom sebelum |
| <= | string_field <<>= "str"
|
Nilai kolom diurutkan secara leksikal sebelum atau sama dengan str
Nilai kolom adalah pada atau sebelum |
Kolom yang didukung untuk penelusuran terstruktur
rule_owner
Deskripsi kolom: Entitas pembuat aturan
Jenis kolom: enum
Nilai yang didukung:
layanan
google
* (pemilik mana pun)
Operator yang didukung
| Operator | Contoh | Arti |
|---|---|---|
:
|
rule_owner: "customer"
|
Hanya menampilkan aturan kustom Hanya menampilkan aturan yang dikurasi Mengembalikan aturan kustom dan hasil seleksi |
=
|
rule_owner = "customer"
|
Hanya menampilkan aturan kustom Hanya menampilkan aturan yang dikurasi |
!=
|
rule_owner != "customer"
|
Aturan pengembalian yang bukan aturan khusus Aturan pengembalian yang bukan aturan yang dikurasi |
Catatan: Secara default, panggilan API tanpa filter rule_owner akan menerapkan
filter rule_owner: "customer". Nilai karakter pengganti \* berguna saat mengambil aturan kustom dan pilihan.
create_time
Deskripsi kolom: Stempel waktu saat aturan dibuat.
Jenis kolom: timestamp
Operator yang didukung:
| Operator | Contoh | Arti |
|---|---|---|
| > | create_time > "2025-11-19"
|
Aturan pengembalian yang dibuat setelah 2025-11-19
|
| >= | create_time >= "2025-11-19"
|
Aturan pengembalian yang dibuat pada atau setelah 2025-11-19
|
| < | create_time < "2025-11-19"
|
Aturan pengembalian yang dibuat sebelum 2025-11-19
|
| <= | create_time <= "2025-11-19"
|
Aturan pengembalian yang dibuat pada atau sebelum 2025-11-19
|
revision_create_time
Deskripsi kolom: Stempel waktu saat versi aturan terbaru dibuat.
Jenis kolom: timestamp
Operator yang didukung:
| Operator | Contoh | Arti |
|---|---|---|
>
|
revision_create_time > "2025-11-19"
|
Menampilkan aturan dengan pembaruan teks terakhir setelah 2025-11-19
|
>=
|
revision_create_time >= "2025-11-19"
|
Menampilkan aturan dengan pembaruan teks terakhir pada atau setelah 2025-11-19
|
<
|
revision_create_time < "2025-11-19"
|
Menampilkan aturan dengan pembaruan teks terakhir sebelum 2025-11-19
|
<=
|
revision_create_time <= "2025-11-19"
|
Menampilkan aturan dengan pembaruan teks terakhir pada atau sebelum 2025-11-19
|
nama
Deskripsi kolom: Nama resource aturan yang berisi ID unik.
Jenis kolom: string
Operator yang didukung:
| Operator | Contoh | Arti |
|---|---|---|
:
|
Name: "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b"" | Menampilkan aturan dengan ID "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b" dalam nama resource |
display_name
Deskripsi kolom: Nama aturan yang dapat dibaca manusia yang diekstrak dari baris pertama teks aturan.
Jenis kolom: string
Operator yang didukung:
| Operator | Contoh | Arti |
|---|---|---|
:
|
display_name: "aws"
|
Menampilkan aturan dengan substring aws di nama tampilan
|
=
|
display_name = "my_rule_7"
|
Aturan pengembalian dengan nama tampilan persis my_rule_7
|
!=
|
display_name != "my_rule_7"
|
Aturan pengembalian yang tidak memiliki nama tampilan my_rule_7
|
>
|
display_name > "b"
|
Aturan pengembalian dengan nama tampilan yang diawali dengan karakter yang diurutkan secara leksikal setelah huruf b
|
>=
|
display_name > "b"
|
Menampilkan aturan dengan nama tampilan yang diawali dengan huruf "b" atau karakter yang diurutkan secara leksikal setelah huruf b
|
<
|
display_name < "b"
|
Menampilkan aturan dengan nama tampilan yang diawali dengan karakter yang diurutkan secara leksikal sebelum huruf b
|
<=
|
display_name <= "b"
|
Menampilkan aturan dengan nama tampilan yang diawali dengan huruf "b" atau karakter yang diurutkan secara leksikal sebelum huruf b
|
teks biasa
Deskripsi kolom: Teks aturan.
Jenis kolom: string
Operator yang didukung:
| Operator | Contoh | Arti |
|---|---|---|
:
|
Text: "invoke-web request"
|
Mengembalikan aturan dengan substring aws dalam teks aturan
Menampilkan aturan dengan substring |
author
Deskripsi kolom: Penulis aturan sebagaimana ditunjukkan di bagian metadata teks aturan.
Jenis kolom: string
Operator yang didukung:
| Operator | Contoh | Arti |
| : | author: "alice" | Menampilkan aturan dengan substring "alice" dalam nilai penulis |
| = | author = "alice@google.com" | Menampilkan aturan dengan nilai penulis "alice@google.com" |
| != | author != "alice@google.com" | Aturan pengembalian yang tidak memiliki penulis "alice@google.com" |
| > | penulis > "b" | Menampilkan aturan dengan penulis yang diawali dengan karakter yang diurutkan secara leksikal setelah huruf "b" |
| >= | penulis > "b" | Menampilkan aturan dengan penulis yang dimulai dengan huruf "b" atau karakter yang diurutkan secara leksikal setelah huruf "b" |
| < | author < "b" | Menampilkan aturan dengan penulis yang dimulai dengan karakter yang diurutkan secara leksikal sebelum huruf "b" |
| <= | penulis <= "b" | Menampilkan aturan dengan penulis yang diawali dengan huruf "b" atau karakter yang diurutkan secara leksikal sebelum huruf "b" |
tingkat keseriusan,
**Deskripsi kolom: **tingkat keparahan aturan sebagaimana ditunjukkan di bagian metadata teks aturan
Jenis kolom: Pesan
Operator yang didukung:
| Operator | Contoh | Arti |
| : | severity: "low" | Menampilkan aturan dengan substring "low" dalam nilai tingkat keparahan |
| = | severity = "medium" | Menampilkan aturan dengan nilai tingkat keparahan "sedang" |
| != | severity != "high" | Aturan yang tidak memiliki tingkat keparahan "tinggi" |
tags
**Deskripsi kolom: **tag yang terkait dengan aturan
Jenis kolom: string berulang
Operator yang didukung
| Operator | Contoh | Arti |
| : | Tag: "ta0001" | Menampilkan aturan dengan minimal 1 tag MITRE yang berisi substring "ta0001" dalam nama tag. |
diarsipkan
**Deskripsi kolom: **apakah aturan telah diarsipkan
Jenis kolom: boolean
Operator yang didukung
| Operator | Contoh | Arti |
| = | archived = true | Menampilkan aturan pengembalian yang ditandai diarsipkan |
| != | archived != true | Aturan pengembalian yang tidak ditandai sebagai diarsipkan |
live_mode_enabled
**Deskripsi kolom: **apakah aturan berjalan sebagai aturan aktif
Jenis kolom: boolean
Operator yang didukung
| Operator | Contoh | Arti |
| = | live_mode_enabled = true | Menampilkan aturan yang berjalan sebagai aturan aktif |
| != | live_mode_enabled != true | Aturan pengembalian yang tidak berjalan sebagai aturan aktif |
alerting_enabled
**Deskripsi kolom: **apakah deteksi baru untuk aturan harus ditandai sebagai deteksi pemberitahuan
Jenis kolom: boolean
Operator yang didukung
| Operator | Contoh | Arti |
| = | alerting_enabled = true | Menampilkan aturan yang ditandai sebagai pemberitahuan |
| != | alerting_enabled != true | Menampilkan aturan yang tidak ditandai sebagai pemberitahuan |
run_frequency
**Deskripsi kolom: **jika aturan diaktifkan sebagai aturan aktif, ini merujuk pada frekuensi eksekusi langsung.
Jenis kolom: enum
Nilai yang didukung
- Aktif
- Per jam
- Harian
Operator yang didukung
| Operator | Contoh | Arti |
| = | run_frequency = hourly | Menampilkan aturan dengan run_frequency per jam |
| != | run_frequency != hourly | Menampilkan aturan dengan run_frequency selain per jam |
execution_state
**Deskripsi kolom: **apakah eksekusi aturan aktif berjalan seperti yang diharapkan, dibatasi, atau dilarang untuk dieksekusi.
Jenis kolom: enum
Nilai yang didukung
- Default
- Terbatas
- Dijeda
Operator yang didukung
| Operator | Contoh | Arti |
| = | execution_state = limited
execution_state = default |
Menampilkan aturan live yang saat ini dibatasi
Menampilkan aturan live yang berjalan sesuai harapan |
| != | execution_state = limited | Menampilkan aturan aktif yang saat ini tidak dalam status dibatasi |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.