Sintassi dell'elenco di riferimento
Supportato in:
Google secops
SIEM
Puoi utilizzare gli elenchi di riferimenti nelle sezioni events o outcome. Ecco la sintassi per utilizzare vari tipi di elenchi di riferimento in una regola:
// STRING reference list
$e.principal.hostname in %string_reference_list
// REGEX reference list
$e.principal.hostname in regex %regex_reference_list
// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list
Puoi utilizzare anche l'operatore not e l'operatore nocase con gli elenchi di riferimenti, come mostrato nell'esempio seguente:
// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list
// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase
L'operatore nocase è compatibile con gli elenchi STRING e REGEX.
Per motivi di prestazioni, il motore di rilevamento limita l'utilizzo degli elenchi di riferimento.
- Numero massimo di istruzioni
inin una regola, con o senza operatori speciali: 7 - Massimo
inistruzioni con l'operatoreregex: 4 - Massimo
inistruzioni con l'operatorecidr: 2
Per saperne di più sul comportamento e sulla sintassi degli elenchi di riferimento, consulta Elenchi di riferimento.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.