参考列表语法
支持的平台:
Google SecOps
SIEM
您可以在 events 或 outcome 部分中使用参考列表。以下是在规则中使用各种类型的参考列表的语法:
// STRING reference list
$e.principal.hostname in %string_reference_list
// REGEX reference list
$e.principal.hostname in regex %regex_reference_list
// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list
您还可以将 not 运算符和 nocase 运算符与参考列表搭配使用,如以下示例所示:
// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list
// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase
nocase 运算符与 STRING 列表和 REGEX 列表兼容。
出于性能方面的考虑,检测引擎会限制参考列表的使用。
- 规则中
in语句的最大数量(无论是否包含特殊运算符):7 - 含
regex运算符的in语句数上限:4 - 使用
cidr运算符的in语句数上限:2
如需详细了解参考列表行为和参考列表语法,请参阅参考列表。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。