Pesquisar na lista de regras
O recurso de pesquisa de regras ajuda você a localizar regras específicas na sua lista unificada. Você pode encontrar regras usando a correspondência básica de palavras-chave ou aproveitar uma sintaxe de pesquisa estruturada avançada e compatível com AIP-160 para consultas altamente segmentadas. Esses recursos de pesquisa são totalmente compatíveis com o painel "Regras" e com a API ListRules.
Métodos de pesquisa
Pesquisa de palavra-chave: realiza uma pesquisa simples e ampla diretamente no texto da regra.
Exemplo:
my_rule_namePesquisa estruturada: filtra suas regras com base em facetas de metadados específicas, como nome de exibição, texto, tags, status ao vivo e assim por diante.
Exemplo:
display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"
Operadores compatíveis na Pesquisa
| Operador | Exemplo | Significado |
|---|---|---|
| : | string_field: "str"
|
O valor do campo contém a substring str
Um dos elementos de campo contém a substring |
| = | string_field = "str"
|
O valor do campo é exatamente str
O valor do campo é exatamente o valor booleano
O valor do campo é exatamente a enumeração
O valor do campo é exatamente a data |
| != | string_field != "str"
|
O valor do campo NÃO é str
O valor do campo NÃO é
O valor do campo NÃO é a enumeração |
| > | string_field > "str"
|
O valor do campo é ordenado lexicalmente após str
O valor do campo é posterior a |
| >= | string_field >= "str"
|
O valor do campo é ordenado lexicalmente após ou igual a str
O valor do campo é |
| < | string_field < "str"
|
O valor do campo está em ordem lexicográfica antes de str
O valor do campo é anterior a |
| <= | string_field <<>= "str"
|
O valor do campo é ordenado lexicalmente antes ou igual a str.
O valor do campo é em ou antes de |
Campos compatíveis com a pesquisa estruturada
rule_owner
Descrição do campo: a entidade criadora da regra.
Tipo de campo:enum
Valores aceitos:
customer
google
* (qualquer proprietário)
Operadores compatíveis
| Operador | Exemplo | Significado |
|---|---|---|
:
|
rule_owner: "customer"
|
Retornar apenas regras personalizadas Retornar apenas regras selecionadas Retornar regras personalizadas e selecionadas |
=
|
rule_owner = "customer"
|
Retornar apenas regras personalizadas Retornar apenas regras selecionadas |
!=
|
rule_owner != "customer"
|
Regras de devolução que não são personalizadas Retornar regras que não são selecionadas |
Observação: por padrão, as chamadas de API sem filtros rule_owner têm o filtro rule_owner: "customer" aplicado a elas. O valor curinga \* é útil ao buscar regras personalizadas e selecionadas.
create_time
Descrição do campo: o carimbo de data/hora em que a regra foi criada.
Tipo de campo:timestamp
Operadores compatíveis:
| Operador | Exemplo | Significado |
|---|---|---|
| > | create_time > "2025-11-19"
|
Regras de devolução criadas após 2025-11-19
|
| >= | create_time >= "2025-11-19"
|
Regras de devolução criadas em 2025-11-19 ou depois dessa data
|
| < | create_time < "2025-11-19"
|
Regras de devolução criadas antes de 2025-11-19
|
| <= | create_time <= "2025-11-19"
|
Regras de devolução criadas até 2025-11-19
|
revision_create_time
Descrição do campo: o carimbo de data/hora em que a versão mais recente da regra foi criada.
Tipo de campo:timestamp
Operadores compatíveis:
| Operador | Exemplo | Significado |
|---|---|---|
>
|
revision_create_time > "2025-11-19"
|
Retornar regras com a última atualização de texto após 2025-11-19
|
>=
|
revision_create_time >= "2025-11-19"
|
Retorna regras com a última atualização de texto em 2025-11-19 ou depois dessa data.
|
<
|
revision_create_time < "2025-11-19"
|
Retornar regras com a última atualização de texto antes de 2025-11-19
|
<=
|
revision_create_time <= "2025-11-19"
|
Retorna regras com a última atualização de texto em ou antes de 2025-11-19
|
nome
Descrição do campo: o nome do recurso da regra que contém um identificador exclusivo.
Tipo de campo:string
Operadores compatíveis:
| Operador | Exemplo | Significado |
|---|---|---|
:
|
Name: "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b"" | Retorna regras com o identificador "ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b" no nome do recurso |
display_name
Descrição do campo: o nome legível das regras extraídas da primeira linha do texto da regra.
Tipo de campo: string
Operadores compatíveis:
| Operador | Exemplo | Significado |
|---|---|---|
:
|
display_name: "aws"
|
Retornar regras com a substring aws no nome de exibição
|
=
|
display_name = "my_rule_7"
|
Retornar regras com o nome de exibição exatamente my_rule_7
|
!=
|
display_name != "my_rule_7"
|
Retornar regras que não têm o nome de exibição my_rule_7
|
>
|
display_name > "b"
|
Retorna regras com nome de exibição que começa com um caractere ordenado lexicalmente depois da letra b
|
>=
|
display_name > "b"
|
Retorna regras com nome de exibição que começa com a letra "b" ou um caractere que está ordenado lexicalmente após a letra b
|
<
|
display_name < "b"
|
Retorna regras com nome de exibição que começa com um caractere ordenado lexicalmente antes da letra b.
|
<=
|
display_name <= "b"
|
Retorna regras com nome de exibição começando com a letra "b" ou um caractere que está em ordem léxica antes da letra b
|
texto
Descrição do campo: o texto da regra.
Tipo de campo:string
Operadores compatíveis:
| Operador | Exemplo | Significado |
|---|---|---|
:
|
Text: "invoke-web request"
|
Retorna regras com a substring aws no texto da regra
Retornar regras com a substring |
author (autor)
Descrição do campo: o autor da regra, conforme indicado na seção de metadados do texto da regra.
Tipo de campo: string
Operadores compatíveis:
| Operador | Exemplo | Significado |
| : | author: "alice" | Retornar regras com a substring "alice" no valor do autor |
| = | author = "alice@google.com" | Retorna regras com o valor do autor exatamente "alice@google.com" |
| != | author != "alice@google.com" | Retorna regras que não têm o autor "alice@google.com" |
| > | author > "b" | Retorna regras com autor que começa com um caractere ordenado lexicalmente depois da letra "b" |
| >= | author > "b" | Retorna regras com autores que começam com a letra "b" ou um caractere que está ordenado lexicalmente depois da letra "b" |
| < | author < "b" | Retornar regras com autor começando com um caractere que está em ordem léxica antes da letra "b" |
| <= | author <= "b" | Retorna regras com autor começando com a letra "b" ou um caractere que está em ordem léxica antes da letra "b" |
gravidade,
**Descrição do campo**: a gravidade da regra, conforme indicado na seção de metadados do texto da regra.
Tipo de campo:mensagem
Operadores compatíveis:
| Operador | Exemplo | Significado |
| : | severity: "low" | Retornar regras com a substring "low" no valor de gravidade |
| = | severity = "medium" | Retorna regras com valor de gravidade exatamente "médio" |
| != | severity != "high" | Retornar regras que não têm gravidade "alta" |
tags
**Descrição do campo**: tags associadas à regra
Tipo de campo:string repetida
Operadores compatíveis
| Operador | Exemplo | Significado |
| : | Tag: "ta0001" | Retorna regras com pelo menos uma tag do MITRE que contenha a substring "ta0001" no nome da tag. |
arquivado
**Descrição do campo**: se a regra foi arquivada
Tipo de campo:booleano
Operadores compatíveis
| Operador | Exemplo | Significado |
| = | archived = true | Retornar regras marcadas como arquivadas |
| != | archived != true | Retorna regras que não estão marcadas como arquivadas |
live_mode_enabled
**Descrição do campo**: se a regra está sendo executada como uma regra ativa
Tipo de campo:booleano
Operadores compatíveis
| Operador | Exemplo | Significado |
| = | live_mode_enabled = true | Retorna regras que estão sendo executadas como regras ativas. |
| != | live_mode_enabled != true | Regras de devolução que não estão sendo executadas como regras ativas |
alerting_enabled
**Descrição do campo**: se novas detecções da regra devem ser marcadas como alertas.
Tipo de campo:booleano
Operadores compatíveis
| Operador | Exemplo | Significado |
| = | alerting_enabled = true | Retorna regras marcadas como "alerta" |
| != | alerting_enabled != true | Retorna regras que não estão marcadas como de alerta |
run_frequency
**Descrição do campo**: quando a regra é ativada como uma regra ativa, isso se refere à frequência das execuções ativas.
Tipo de campo:enum
Valores compatíveis
- Ao vivo
- Por hora
- Diariamente
Operadores compatíveis
| Operador | Exemplo | Significado |
| = | run_frequency = hourly | Retornar regras com run_frequency por hora |
| != | run_frequency != hourly | Retornar regras com run_frequency diferente de "hourly" |
execution_state
**Descrição do campo**: se as execuções de regras ativas estão sendo executadas conforme o esperado, limitadas ou impedidas de serem executadas.
Tipo de campo:enum
Valores compatíveis
- Padrão
- Limitado
- Pausado
Operadores compatíveis
| Operador | Exemplo | Significado |
| = | execution_state = limited
execution_state = default |
Retorna regras ativas que estão sendo limitadas
Retornar regras ativas que estão funcionando conforme o esperado |
| != | execution_state = limited | Retorna regras ativas que não estão em estado de limitação |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.