Règles et opérateurs logiques
Une règle est composée d'un élément, d'un opérateur logique et d'une valeur définie.
Lorsque vous cliquez sur + Ajouter une règle, une fenêtre indépendante s'ouvre. Elle contient une liste d'éléments divisés en catégorie. Par exemple :
Logiciel installé > Nom de l'application
Cartes réseau > Adresse MAC
Édition du SE > Nom du SE
Vous pouvez consulter la liste de toutes les règles disponibles dans cet article de la base de connaissances ESET.
Pour créer une règle, sélectionnez un élément, choisissez un opérateur logique et spécifiez une valeur. La règle est évaluée selon la valeur spécifiée et l'opérateur logique utilisé.
Les types de valeurs acceptées sont les suivants : nombre(s), chaîne(s), énumération(s), adresse(s) IP, masques de produit et ID d'ordinateur. Chaque type de valeur est associé à des opérateurs logiques différents. ESET PROTECT Web Console n'affiche automatiquement que les opérateurs pris en charge.
•= (égal) : les valeurs du symbole et du modèle doivent correspondre. Les chaînes sont comparées sans tenir compte de la casse.
•> (supérieur à) : la valeur du symbole doit être supérieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
•≥ (supérieur ou égal à) : la valeur du symbole doit être supérieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
•< (inférieur à) : la valeur du symbole doit être inférieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
•≤ (inférieur ou égal à) : la valeur du symbole doit être inférieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
•contient : la valeur du symbole contient celle du modèle. Dans le cas de chaînes, cet opérateur permet de rechercher une sous-chaîne. La recherche ne respecte pas la casse.
•contient un préfixe : la valeur du symbole contient le même préfixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le préfixe est "Micros", "Micr", "Microsof", etc.
•contient un suffixe : la valeur du symbole contient le même suffixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le suffixe est "319" ou "0.30319", etc.
•contient un masque : la valeur du symbole doit correspondre à un masque défini dans un modèle. La mise en forme du masque autorise n'importe quel caractère, les symboles spéciaux « * » (zéro, un ou plusieurs caractères) et « ? » (un caractère uniquement, par exemple : "6.2.*" ou "6.2.2033.?".
•"regex" : la valeur du symbole doit correspondre à l'expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl.
|
Une expression régulière, une regex ou une regexp est une séquence de caractères qui définit un modèle de recherche. Par exemple, gray|grey et gr(a|e)y sont des modèles équivalents qui correspondent tous les deux à ces deux mots : "gray", "grey". |
•appartient à : la valeur du symbole doit correspondre à n'importe quelle valeur d'une liste d'un modèle. Cliquez sur + Ajouter pour ajouter un élément. Chaque ligne est un nouvel élément dans la liste. Les chaînes sont comparées sans tenir compte de la casse.
•appartient (masque de chaîne) : la valeur du symbole doit correspondre à n'importe quel masque d'une liste d'un modèle. Les chaînes sont comparées en tenant compte de la casse. Exemples : *endpoint-pc*, *Endpoint-PC*.
•a la valeur
Opérateurs de négation :
|
Les opérateurs de négation doivent être utilisés avec précaution, car en cas de journaux à plusieurs lignes, comme « application installée », toutes les lignes sont testées par rapport à ces conditions. Examinez les exemples inclus (Évaluation des règles de modèle et Modèle de groupe dynamique - exemples) pour déterminer comment les opérateurs et les opérations de négation doivent être utilisés pour obtenir les résultats escomptés. |
•≠ (différent de) : les valeurs du symbole et du modèle ne doivent pas correspondre. Les chaînes sont comparées sans tenir compte de la casse.
•ne contient pas : la valeur du symbole ne contient pas la valeur du modèle. La recherche ne respecte pas la casse.
•n'a pas de préfixe : la valeur du symbole ne contient pas le même préfixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse.
•n'a pas de suffixe : la valeur du symbole ne contient pas de suffixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse.
•n'a pas de masque : la valeur du symbole ne doit pas correspondre à un masque défini dans un modèle.
•n'est pas une expression regex : la valeur du symbole ne doit pas correspondre à une expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl. L'opération de négation est fournie à titre d'exemple pour éviter toute réécriture.
•n'appartient pas à : la valeur du symbole ne doit pas correspondre à n'importe quelle valeur de la liste d'un modèle. Les chaînes sont comparées sans tenir compte de la casse.
•n'appartient pas à (masque de chaîne) : la valeur du symbole ne doit pas correspondre à n'importe quel masque d'une liste d'un modèle.
•n'a pas la valeur