Syntax der Referenzliste
Unterstützt in:
Google SecOps
SIEM
Sie können Referenzlisten in den Abschnitten events oder outcome verwenden. Hier finden Sie die Syntax für die Verwendung verschiedener Arten von Referenzlisten in einer Regel:
// STRING reference list
$e.principal.hostname in %string_reference_list
// REGEX reference list
$e.principal.hostname in regex %regex_reference_list
// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list
Sie können auch den Operator not und den Operator nocase mit Referenzlisten verwenden, wie im folgenden Beispiel gezeigt:
// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list
// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase
Der Operator nocase ist mit STRING- und REGEX-Listen kompatibel.
Aus Leistungsgründen schränkt die Detection Engine die Verwendung von Referenzlisten ein.
- Maximale Anzahl von
in-Anweisungen in einer Regel, mit oder ohne spezielle Operatoren: 7 - Maximale Anzahl von
in-Anweisungen mit dem Operatorregex: 4 - Maximale Anzahl von
in-Anweisungen mit dem Operatorcidr: 2
Weitere Informationen zum Verhalten und zur Syntax von Referenzlisten finden Sie unter Referenzlisten.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten