Sintaxe da lista de referências
Compatível com:
Google SecOps
SIEM
É possível usar listas de referência nas seções events ou outcome. Esta é a sintaxe para usar vários tipos de listas de referência em uma regra:
// STRING reference list
$e.principal.hostname in %string_reference_list
// REGEX reference list
$e.principal.hostname in regex %regex_reference_list
// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list
Também é possível usar os operadores not e nocase com listas de referência, conforme mostrado no exemplo a seguir:
// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list
// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase
O operador nocase é compatível com listas STRING e REGEX.
Por motivos de desempenho, o Detection Engine restringe o uso de listas de referência.
- Número máximo de instruções
inem uma regra, com ou sem operadores especiais: 7 - Número máximo de instruções
incom o operadorregex: 4 - Número máximo de instruções
incom o operadorcidr: 2
Para mais informações sobre o comportamento e a sintaxe das listas de referência, consulte Listas de referência.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.