Halaman ini diterjemahkan oleh Cloud Translation API.

Sintaksis daftar referensi

Didukung di:

Google secops SIEM

Anda dapat menggunakan daftar referensi di bagian events atau outcome. Berikut adalah sintaksis untuk menggunakan berbagai jenis daftar referensi dalam aturan:

// STRING reference list
$e.principal.hostname in %string_reference_list

// REGEX reference list
$e.principal.hostname in regex %regex_reference_list

// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list

Anda juga dapat menggunakan operator not dan operator nocase dengan daftar referensi seperti yang ditunjukkan dalam contoh berikut:

// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list

// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase

Operator nocase kompatibel dengan daftar STRING dan daftar REGEX.

Untuk alasan performa, Detection Engine membatasi penggunaan daftar referensi.

Pernyataan in maksimum dalam aturan, dengan atau tanpa operator khusus: 7
Pernyataan in maksimum dengan operator regex: 4
Pernyataan in maksimum dengan operator cidr: 2

Untuk mengetahui informasi selengkapnya tentang perilaku daftar referensi dan sintaksis daftar referensi, lihat Daftar Referensi.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.