Cercare nell'elenco delle regole
La funzionalità di ricerca delle regole ti aiuta a individuare regole specifiche nell'elenco unificato delle regole. Puoi trovare le regole utilizzando la corrispondenza di base delle parole chiave o sfruttare una sintassi di ricerca strutturata avanzata conforme ad AIP-160 per query altamente mirate. Queste funzionalità di ricerca sono completamente supportate sia nella dashboard delle regole sia tramite l'API ListRules.
Metodi di ricerca
Ricerca per parola chiave: esegue una ricerca semplice e generica direttamente nel testo della regola.
Esempio:
my_rule_nameRicerca strutturata: filtra le regole in base a sfaccettature specifiche dei metadati, come nome visualizzato, testo, tag, stato live e così via.
Esempio:
display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"
Operatori supportati nella ricerca
| Operatore | Esempio | Significato |
|---|---|---|
| : | string_field: "str"
|
Il valore del campo contiene la sottostringa str
Uno degli elementi del campo contiene la sottostringa |
| = | string_field = "str"
|
Il valore del campo è esattamente str
Il valore del campo è esattamente il valore booleano
Il valore del campo è esattamente l'enum
Il valore del campo è esattamente la data |
| != | string_field != "str"
|
Il valore del campo NON è str
Il valore del campo NON è
Il valore del campo NON è l'enum |
| > | string_field > "str"
|
Il valore del campo è ordinato lessicalmente dopo str
Il valore del campo è successivo a |
| >= | string_field >= "str"
|
Il valore del campo è ordinato lessicalmente dopo o uguale a str
Il valore del campo è uguale o successivo a |
| < | string_field < "str"
|
Il valore del campo è ordinato lessicalmente prima di str
Il valore del campo è precedente a |
| <= | string_field <<>= "str"
|
Il valore del campo è ordinato lessicalmente prima o uguale a str
Il valore del campo è precedente o uguale a |
Campi supportati per la ricerca strutturata
rule_owner
Descrizione del campo: l'entità autore della regola
Tipo di campo: enum
Valori supportati:
cliente
google
* (qualsiasi proprietario)
Operatori supportati
| Operatore | Esempio | Significato |
|---|---|---|
:
|
rule_owner: "customer"
|
Restituisci solo regole personalizzate Restituisci solo le regole curate Restituisci regole personalizzate e curate |
=
|
rule_owner = "customer"
|
Restituisci solo regole personalizzate Restituisci solo le regole curate |
!=
|
rule_owner != "customer"
|
Regole di reso che non sono regole personalizzate Regole di reso che non sono regole curate |
Nota: per impostazione predefinita, alle chiamate API senza filtri rule_owner verrà applicato il filtro rule_owner: "customer". Il valore jolly \* è
utile quando vengono recuperate regole personalizzate e curate.
create_time
Descrizione del campo: il timestamp della creazione della regola.
Tipo di campo: timestamp
Operatori supportati:
| Operatore | Esempio | Significato |
|---|---|---|
| > | create_time > "2025-11-19"
|
Regole di reso create dopo il giorno 2025-11-19
|
| >= | create_time >= "2025-11-19"
|
Regole di reso create a partire dal giorno 2025-11-19
|
| < | create_time < "2025-11-19"
|
Regole di reso create prima del giorno 2025-11-19
|
| <= | create_time <= "2025-11-19"
|
Regole di reso create il giorno 2025-11-19 o prima
|
revision_create_time
Descrizione campo: il timestamp in cui viene creata l'ultima versione della regola.
Tipo di campo: timestamp
Operatori supportati:
| Operatore | Esempio | Significato |
|---|---|---|
>
|
revision_create_time > "2025-11-19"
|
Restituisce le regole con l'ultimo aggiornamento del testo dopo il giorno 2025-11-19
|
>=
|
revision_create_time >= "2025-11-19"
|
Restituisci le regole con l'ultimo aggiornamento del testo a partire dal giorno 2025-11-19
|
<
|
revision_create_time < "2025-11-19"
|
Restituisce le regole con l'ultimo aggiornamento del testo precedente al giorno 2025-11-19
|
<=
|
revision_create_time <= "2025-11-19"
|
Restituisci le regole con l'ultimo aggiornamento del testo in data 2025-11-19 o precedente
|
nome
Descrizione del campo: il nome della risorsa della regola che contiene un identificatore univoco.
Tipo di campo: string
Operatori supportati:
| Operatore | Esempio | Significato |
|---|---|---|
:
|
Name: "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b"" | Restituisci le regole con l'identificatore "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b" nel nome della risorsa |
display_name
Descrizione campo: il nome leggibile delle regole estratte dalla prima riga del testo della regola.
Tipo di campo: string
Operatori supportati:
| Operatore | Esempio | Significato |
|---|---|---|
:
|
display_name: "aws"
|
Restituisce le regole con la sottostringa aws nel nome visualizzato
|
=
|
display_name = "my_rule_7"
|
Restituisci le regole con il nome visualizzato esattamente my_rule_7
|
!=
|
display_name != "my_rule_7"
|
Restituisci le regole che non hanno il nome visualizzato my_rule_7
|
>
|
display_name > "b"
|
Restituisci le regole con il nome visualizzato che inizia con un carattere in ordine lessicale dopo la lettera b
|
>=
|
display_name > "b"
|
Restituisci le regole con il nome visualizzato che inizia con la lettera "b" o un carattere in ordine lessicale dopo la lettera b
|
<
|
display_name < "b"
|
Restituisci le regole con il nome visualizzato che inizia con un carattere in ordine lessicale prima della lettera b
|
<=
|
display_name <= "b"
|
Restituisci le regole con il nome visualizzato che inizia con la lettera "b" o un carattere in ordine lessicale prima della lettera b
|
testo
Descrizione del campo: il testo della regola.
Tipo di campo: string
Operatori supportati:
| Operatore | Esempio | Significato |
|---|---|---|
:
|
Text: "invoke-web request"
|
Restituisce le regole con la sottostringa aws nel testo della regola
Restituisce le regole con la sottostringa |
autore
Descrizione del campo: l'autore della regola indicato nella sezione dei metadati del testo della regola.
Tipo di campo: string
Operatori supportati:
| Operatore | Esempio | Significato |
| : | autore: "alice" | Regole di restituzione con la sottostringa "alice" nel valore dell'autore |
| = | author = "alice@google.com" | Restituisci le regole con il valore dell'autore esattamente "alice@google.com" |
| != | author != "alice@google.com" | Regole di reso che non hanno l'autore "alice@google.com" |
| > | autore > "b" | Restituisce le regole con l'autore che inizia con un carattere in ordine lessicale successivo alla lettera "b" |
| >= | autore > "b" | Restituisce le regole con l'autore che inizia con la lettera"b" o un carattere in ordine lessicale successivo alla lettera "b" |
| < | autore < "b" | Restituisce le regole con l'autore che inizia con un carattere in ordine lessicale prima della lettera "b" |
| <= | autore <= "b" | Restituisce le regole con l'autore che inizia con la lettera"b" o un carattere che viene ordinato lessicalmente prima della lettera "b". |
gravità
**Descrizione campo**: la gravità della regola indicata nella sezione dei metadati del testo della regola
Tipo di campo: Messaggio
Operatori supportati:
| Operatore | Esempio | Significato |
| : | severity: "low" | Restituisci le regole con la sottostringa "low" nel valore di gravità |
| = | severity = "medium" | Restituisce le regole con valore di gravità esattamente "media" |
| != | severity != "high" | Restituisci le regole che non hanno gravità "alta" |
Tag
**Descrizione del campo: **tag associati alla regola
Tipo di campo: stringa ripetuta
Operatori supportati
| Operatore | Esempio | Significato |
| : | Tag: "ta0001" | Restituisce regole con almeno un tag MITRE contenente la sottostringa "ta0001" nel nome del tag. |
archived
**Descrizione del campo**: indica se la regola è stata archiviata
Tipo di campo: booleano
Operatori supportati
| Operatore | Esempio | Significato |
| = | archived = true | Restituisce le regole di reso contrassegnate come archiviate |
| != | archived != true | Regole di reso non contrassegnate come archiviate |
live_mode_enabled
**Descrizione del campo**: indica se la regola è in esecuzione come regola attiva
Tipo di campo: booleano
Operatori supportati
| Operatore | Esempio | Significato |
| = | live_mode_enabled = true | Restituisce le regole in esecuzione come regole attive |
| != | live_mode_enabled != true | Regole di reso che non vengono eseguite come regole attive |
alerting_enabled
**Descrizione del campo**: indica se i nuovi rilevamenti per la regola devono essere contrassegnati come rilevamenti di avviso
Tipo di campo: booleano
Operatori supportati
| Operatore | Esempio | Significato |
| = | alerting_enabled = true | Regole di reso contrassegnate come avvisi |
| != | alerting_enabled != true | Restituisce le regole che non sono contrassegnate come avvisi. |
run_frequency
**Descrizione del campo**: quando la regola è abilitata come regola attiva, si riferisce alla frequenza delle esecuzioni attive.
Tipo di campo: enum
Valori supportati
- In diretta
- Ogni ora
- Ogni giorno
Operatori supportati
| Operatore | Esempio | Significato |
| = | run_frequency = hourly | Restituisci le regole con run_frequency oraria |
| != | run_frequency != hourly | Regole di reso con run_frequency diverso da hourly |
execution_state
**Descrizione del campo**: indica se le esecuzioni delle regole live vengono eseguite come previsto, limitate o impedite.
Tipo di campo: enum
Valori supportati
- Predefinito
- Limitata
- In pausa
Operatori supportati
| Operatore | Esempio | Significato |
| = | execution_state = limited
execution_state = default |
Restituisce le regole live attualmente limitate
Restituisce le regole attive che funzionano come previsto |
| != | execution_state = limited | Restituisce le regole attive che non sono attualmente in stato di limitazione |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.