Sintaxis de la lista de referencia

Puedes usar listas de referencia en las secciones events o outcome. A continuación, se muestra la sintaxis para usar varios tipos de listas de referencia en una regla:

// STRING reference list
$e.principal.hostname in %string_reference_list

// REGEX reference list
$e.principal.hostname in regex %regex_reference_list

// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list

También puedes usar el operador not y el operador nocase con listas de referencia, como se muestra en el siguiente ejemplo:

// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list

// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase

El operador nocase es compatible con las listas STRING y REGEX.

Por motivos de rendimiento, Detection Engine restringe el uso de listas de referencia.

• Cantidad máxima de instrucciones in en una regla, con o sin operadores especiales: 7
• Cantidad máxima de sentencias in con el operador regex: 4
• Cantidad máxima de sentencias in con el operador cidr: 2

Para obtener más información sobre el comportamiento y la sintaxis de las listas de referencia, consulta Listas de referencia.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.