Syntaxe de la liste de référence

Vous pouvez utiliser des listes de référence dans les sections events ou outcome. Voici la syntaxe à utiliser pour différents types de listes de référence dans une règle :

// STRING reference list
$e.principal.hostname in %string_reference_list

// REGEX reference list
$e.principal.hostname in regex %regex_reference_list

// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list

Vous pouvez également utiliser les opérateurs not et nocase avec des listes de référence, comme illustré dans l'exemple suivant :

// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list

// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase

L'opérateur nocase est compatible avec les listes STRING et REGEX.

Pour des raisons de performances, le moteur de détection limite l'utilisation des listes de référence.

• Nombre maximal d'instructions in dans une règle, avec ou sans opérateurs spéciaux : 7
• Nombre maximal d'instructions in avec l'opérateur regex : 4
• Nombre maximal d'instructions in avec l'opérateur cidr : 2

Pour en savoir plus sur le comportement et la syntaxe des listes de références, consultez Listes de références.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.