규칙 목록 검색

다음에서 지원:

규칙 검색 기능을 사용하면 통합 규칙 목록에서 특정 규칙을 찾을 수 있습니다. 기본 키워드 일치를 사용하여 규칙을 찾거나, 고급 AIP-160 준수 구조화된 검색 구문을 활용하여 타겟팅된 쿼리를 실행할 수 있습니다. 이러한 검색 기능은 규칙 대시보드와 ListRules API를 통해 모두 완벽하게 지원됩니다.

검색 방법

  • 키워드 검색: 규칙 텍스트에 대해 직접 간단하고 광범위한 검색을 실행합니다.

    예: my_rule_name

  • 구조화된 검색: 표시 이름, 텍스트, 태그, 라이브 상태 등 특정 메타데이터 패싯을 기준으로 규칙을 필터링합니다.

    예: display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"

연산자 의미
: string_field: "str"

repeated_field: "str"

필드 값에 하위 문자열 str이 포함됨

필드 요소 중 하나에 하위 문자열 str가 포함됨

= string_field = "str"

bool_field = true

enum_field = "VAL"

timestamp_field = "2025-01-01"

필드 값이 정확히 str

필드 값이 불리언 값 TRUE과 정확히 일치함

필드 값이 정확히 enum VAL입니다.

필드 값이 정확히 2025-01-01인 날짜

!= string_field != "str"

bool_field != true

enum_field != "VAL"

필드 값이 str이 아님

필드 값이 TRUE이 아님

필드 값이 enum VAL이 아님

> string_field > "str"

timestamp_field > "2025-01-01"

필드 값이 str 뒤에 사전순으로 정렬됩니다.

필드 값이 2025-01-01 이후임

>= string_field >= "str"

timestamp_field >= "2025-01-01"

필드 값이 str보다 크거나 같습니다.

필드 값이 2025-01-01 이후임

< string_field < "str"

timestamp_field < "2025-01-01"

필드 값이 str 전에 사전순으로 정렬됩니다.

필드 값이 2025-01-01 이전임

<= string_field <<>= "str"

timestamp_field <<>= "2025-01-01"

필드 값이 str보다 사전순으로 앞서거나 같습니다.

필드 값이 2025-01-01 이하입니다.

rule_owner

필드 설명: 규칙의 생성자 엔티티

필드 유형: enum

지원 값:

  • 고객

  • google

  • * (모든 소유자)

지원되는 연산자

연산자 의미
: rule_owner: "customer"

rule_owner: "google"

rule_owner:*

맞춤 규칙만 반환

선별된 규칙만 반환

맞춤 규칙과 선별된 규칙을 모두 반환합니다.

= rule_owner = "customer"

rule_owner = "google"

맞춤 규칙만 반환

선별된 규칙만 반환

!= rule_owner != "customer"

rule_owner != "google"

맞춤 규칙이 아닌 반품 규칙

선별된 규칙이 아닌 반품 규칙

참고: 기본적으로 rule_owner 필터가 없는 API 호출에는 rule_owner: "customer" 필터가 적용됩니다. 와일드 카드 \* 값은 맞춤 규칙과 선별된 규칙을 모두 가져올 때 유용합니다.

create_time

필드 설명: 규칙이 생성된 타임스탬프입니다.

필드 유형: timestamp

지원되는 연산자:

연산자 의미
> create_time > "2025-11-19" 2025-11-19 이후에 생성된 반품 규칙
>= create_time >= "2025-11-19" 2025-11-19 이후에 생성된 반품 규칙
< create_time < "2025-11-19" 2025-11-19 전에 생성된 반품 규칙
<= create_time <= "2025-11-19" 2025-11-19 또는 그 이전에 생성된 반품 규칙

revision_create_time

필드 설명: 최신 규칙 버전이 생성된 타임스탬프입니다.

필드 유형: timestamp

지원되는 연산자:

연산자 의미
> revision_create_time > "2025-11-19" 2025-11-19 이후에 마지막 텍스트 업데이트가 있는 규칙 반환
>= revision_create_time >= "2025-11-19" 2025-11-19 이후에 마지막 텍스트 업데이트가 있는 규칙을 반환합니다.
< revision_create_time < "2025-11-19" 2025-11-19 이전의 마지막 텍스트 업데이트가 있는 규칙 반환
<= revision_create_time <= "2025-11-19" 2025-11-19 당일 또는 그 이전에 마지막 텍스트 업데이트가 있는 규칙을 반환합니다.

name

필드 설명: 고유 식별자가 포함된 규칙의 리소스 이름입니다.

필드 유형: string

지원되는 연산자:

연산자 의미
: Name: "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b"" 리소스 이름에 식별자 'ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b'이 있는 규칙을 반환합니다.

display_name

필드 설명: 규칙 텍스트의 첫 번째 줄에서 추출한 규칙의 사람이 읽을 수 있는 이름입니다.

필드 유형: string

지원되는 연산자:

연산자 의미
: display_name: "aws" 표시 이름에 하위 문자열 aws이 포함된 규칙 반환
= display_name = "my_rule_7" 표시 이름이 정확히 my_rule_7인 규칙을 반환합니다.
!= display_name != "my_rule_7" 표시 이름이 my_rule_7이 아닌 규칙 반환
> display_name > "b" b 문자 뒤에 사전순으로 오는 문자로 시작하는 표시 이름이 있는 규칙을 반환합니다.
>= display_name > "b" 표시 이름이 문자 'b' 또는 문자 b 뒤에 오는 문자로 시작하는 규칙을 반환합니다.
< display_name < "b" 표시 이름이 문자 b보다 어휘적으로 앞에 오는 문자로 시작하는 규칙을 반환합니다.
<= display_name <= "b" 표시 이름이 문자 'b' 또는 문자 b보다 사전순으로 앞에 오는 문자로 시작하는 규칙을 반환합니다.

텍스트

필드 설명: 규칙 텍스트입니다.

필드 유형: string

지원되는 연산자:

연산자 의미
: Text: "invoke-web request"

Text: "$ip = \"0.0.0.0\""

규칙 텍스트에 하위 문자열 aws이(가) 있는 규칙을 반환합니다.

하위 문자열 $ip = "0.0.0.0"이 포함된 규칙을 반환합니다.

작성자

필드 설명: 규칙 텍스트의 메타데이터 섹션에 표시된 규칙의 작성자입니다.

필드 유형: string

지원되는 연산자:

연산자 의미
: author: "alice" 저자 값에 하위 문자열 'alice'가 포함된 규칙을 반환합니다.
= author = "alice@google.com" 작성자 값이 정확히 'alice@google.com'인 규칙을 반환합니다.
!= author != "alice@google.com" 저자가 'alice@google.com'이 아닌 반품 규칙
> author > "b" 'b' 문자 뒤에 오는 문자로 시작하는 작성자가 있는 규칙을 반환합니다.
>= author > "b" 저자가 문자 'b' 또는 문자 'b' 뒤에 오는 문자로 시작하는 규칙을 반환합니다.
< author < "b" 'b' 문자보다 사전순으로 앞에 오는 문자로 시작하는 작성자가 있는 규칙을 반환합니다.
<= author <= "b" 저자가 문자 'b' 또는 문자 'b'보다 사전순으로 앞에 오는 문자로 시작하는 규칙을 반환합니다.

줄이는 것을

**필드 설명: **규칙 텍스트의 메타데이터 섹션에 표시된 규칙의 심각도

필드 유형: 메시지

지원되는 연산자:

연산자 의미
: severity: 'low' 심각도 값에 'low' 하위 문자열이 있는 규칙을 반환합니다.
= severity = "medium" 심각도 값이 정확히 'medium'인 규칙을 반환합니다.
!= severity != 'high' 심각도가 '높음'이 아닌 규칙 반환

tags

**필드 설명: **규칙과 연결된 태그

필드 유형: 반복 문자열

지원되는 연산자

연산자 의미
: 태그: 'ta0001' 태그 이름에 하위 문자열 'ta0001'이 포함된 MITRE 태그가 하나 이상 있는 규칙을 반환합니다.

archived

**필드 설명: **규칙이 보관처리되었는지 여부

필드 유형: 불리언

지원되는 연산자

연산자 의미
= archived = true 보관처리됨으로 표시된 규칙을 반환합니다.
!= archived != true 보관처리로 표시되지 않은 규칙 반환

live_mode_enabled

**필드 설명: **규칙이 실시간 규칙으로 실행되는지 여부

필드 유형: 불리언

지원되는 연산자

연산자 의미
= live_mode_enabled = true 실시간 규칙으로 실행되는 규칙을 반환합니다.
!= live_mode_enabled != true 실시간 규칙으로 실행되지 않는 반품 규칙

alerting_enabled

**필드 설명: **규칙의 새로운 감지를 알림 감지로 표시할지 여부

필드 유형: 불리언

지원되는 연산자

연산자 의미
= alerting_enabled = true 알림으로 표시된 반품 규칙
!= alerting_enabled != true 알림으로 표시되지 않은 규칙을 반환합니다.

run_frequency

**필드 설명: **규칙이 실시간 규칙으로 사용 설정된 경우 실시간 실행 빈도를 나타냅니다.

필드 유형: enum

지원 값

  • 실시간
  • 매시간
  • 매일

지원되는 연산자

연산자 의미
= run_frequency = hourly 시간별 run_frequency가 있는 규칙 반환
!= run_frequency != hourly run_frequency가 hourly가 아닌 규칙을 반환합니다.

execution_state

**필드 설명: **실시간 규칙 실행이 예상대로 실행되는지, 제한되는지, 실행이 금지되는지 여부입니다.

필드 유형: enum

지원 값

  • 기본값
  • 제한됨
  • 일시중지됨

지원되는 연산자

연산자 의미
= execution_state = limited

execution_state = default

현재 제한된 라이브 규칙을 반환합니다.

예상대로 실행되는 라이브 규칙 반환

!= execution_state = limited 현재 제한 상태가 아닌 실시간 규칙을 반환합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.