Sintaxis de la lista de referencias
Disponible en:
SecOps de Google
SIEM
Puedes usar listas de referencia en las secciones events o outcome. Esta es la sintaxis para usar varios tipos de listas de referencia en una regla:
// STRING reference list
$e.principal.hostname in %string_reference_list
// REGEX reference list
$e.principal.hostname in regex %regex_reference_list
// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list
También puedes usar los operadores not y nocase con listas de referencia, como se muestra en el siguiente ejemplo:
// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list
// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase
El operador nocase es compatible con las listas STRING y REGEX.
Por motivos de rendimiento, Detection Engine restringe el uso de listas de referencia.
- Número máximo de instrucciones
inen una regla, con o sin operadores especiales: 7 - Número máximo de instrucciones
incon el operadorregex: 4 - Número máximo de instrucciones
incon el operadorcidr: 2
Para obtener más información sobre el comportamiento y la sintaxis de las listas de referencia, consulta Listas de referencia.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.