Sintaxe da lista de referências

Pode usar listas de referências nas secções events ou outcome. Segue-se a sintaxe para usar vários tipos de listas de referência numa regra:

// STRING reference list
$e.principal.hostname in %string_reference_list

// REGEX reference list
$e.principal.hostname in regex %regex_reference_list

// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list

Também pode usar o operador not e o operador nocase com listas de referência, como mostrado no exemplo seguinte:

// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list

// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase

O operador nocase é compatível com listas STRING e listas REGEX.

Por motivos de desempenho, o motor de deteção restringe a utilização da lista de referências.

• Número máximo de declarações in numa regra, com ou sem operadores especiais: 7
• Máximo de declarações in com o operador regex: 4
• Máximo de in declarações com o operador cidr: 2

Para mais informações acerca do comportamento e da sintaxe das listas de referência, consulte o artigo Listas de referência.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.