參照清單語法

支援的國家/地區:

您可以在 eventsoutcome 區段中使用參照清單。以下是在規則中使用各種參照清單的語法:

// STRING reference list
$e.principal.hostname in %string_reference_list

// REGEX reference list
$e.principal.hostname in regex %regex_reference_list

// CIDR reference list
$e.principal.ip in cidr %cidr_reference_list

您也可以搭配參照清單使用 not 運算子和 nocase 運算子,如下列範例所示:

// Exclude events whose hostnames match substrings in my_regex_list.
not $e.principal.hostname in regex %my_regex_list

// Event hostnames must match at least 1 string in my_string_list (case insensitive).
$e.principal.hostname in %my_string_list nocase

nocase 運算子與 STRING 清單和 REGEX 清單相容。

基於效能考量,Detection Engine 會限制參考清單的使用。

  • 規則中的 in 陳述式上限 (無論是否使用特殊運算子):7
  • 使用 regex 運算子的 in 陳述式數量上限:4
  • 使用 cidr 運算子的 in 陳述式數量上限:2

如要進一步瞭解參照清單行為和參照清單語法,請參閱「參照清單」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。