リファレンス リストの構文

以下でサポートされています。

リファレンス リストは、events または outcome セクションで使用できます。ルールで、さまざまな種類のリファレンス リストを使用する構文は次のとおりです。

// STRING reference list
$e.principal.hostname in %string_reference_list

// REGEX reference list
$e.principal.hostname in regex %regex_reference_list

// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list

次の例に示すように、リファレンス リストで not 演算子と nocase 演算子を使用することもできます。

// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list

// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase

nocase 演算子は、STRING リストおよび REGEX リストと互換性があります。

パフォーマンス上の理由から、Detection Engine では、リファレンス リストの使用が制限されています。

  • ルール内の in ステートメントの最大数(特殊演算子の有無を問わず): 7
  • regex 演算子を含む in ステートメントの最大数: 4
  • cidr 演算子を含む in ステートメントの最大数: 2

リファレンス リストの動作とリファレンス リストの構文の詳細については、リファレンス リストをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。