참조 목록 문법
다음에서 지원:
Google secops
SIEM
events 또는 outcome 섹션에서 참조 목록을 사용할 수 있습니다. 다음은 규칙에 다양한 유형의 참조 목록을 사용하기 위한 문법입니다.
// STRING reference list
$e.principal.hostname in %string_reference_list
// REGEX reference list
$e.principal.hostname in regex %regex_reference_list
// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list
다음 예시와 같이 not 연산자와 nocase 연산자를 참조 목록과 함께 사용할 수도 있습니다.
// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list
// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase
nocase 연산자는 STRING 목록 및 REGEX 목록과 호환됩니다.
성능상의 이유로 Detection Engine은 참조 목록 사용을 제한합니다.
- 특수 연산자가 있거나 없는 규칙의 최대
in문: 7개 regex연산자가 있는 최대in문: 4개cidr연산자가 있는 최대in문: 2개
참조 목록 동작 및 참조 목록 문법에 대한 자세한 내용은 참조 목록을 참고하세요.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.