Reguły i łączniki logiczne

Reguła składa się z elementu, łącznika logicznego (operatora logicznego) i określonej wartości.

Po kliknięciu opcji + Dodaj regułę otworzy się wyskakujące okno z listą elementów podzielonych na kategorie. Na przykład:

Zainstalowane oprogramowanie > Nazwa aplikacji

Karty sieciowe > Adres MAC

Wersja systemu operacyjnego > Nazwa systemu operacyjnego

Listę wszystkich dostępnych zasad znajdziesz w tym artykule w bazie wiedzy ESET.

Aby utworzyć regułę, wybierz element, a następnie wybierz operator logiczny i określ wartość. Reguła zostanie oceniona zgodnie z określoną wartością i użytym operatorem logicznym.

Dopuszczalne typy wartości to liczby, ciągi, wyliczenia, adresy IP, maski produktów i identyfikatory komputerów. Z każdym typem wartości są powiązane różne operatory logiczne, a konsola internetowa ESET PROTECT automatycznie pokaże tylko te obsługiwane.

„= (równy)” — wartość symbolu i wartość szablonu muszą być takie same. Ciągi są porównywane bez uwzględniania wielkości liter.

„> (większy niż)” — wartość symbolu musi być większa od wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.

„≥ (większy lub równy)” — wartość symbolu musi być większa lub równa wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.

„< (mniejszy niż)” — wartość symbolu musi być mniejsza od wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.

„≤ (mniejszy lub równy)” — wartość symbolu musi być mniejsza lub równa wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.

„zawiera” — wartość symbolu zawiera wartość szablonu. W przypadku ciągów powoduje to wyszukanie ciągu częściowego. Wyszukiwanie odbywa się bez uwzględniania wielkości liter.

„ma prefiks” — wartość symbolu ma taki sam prefiks tekstowy jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter. Ciągi są porównywane bez uwzględniania wielkości liter. W przypadku ciągu „Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” prefiksem może być „Micros”, „Micr”, „Microsof” itd.

„ma sufiks” — wartość symbolu ma taki sam sufiks tekstowy jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter. Należy podać kilka pierwszych znaków wyszukiwanego ciągu. W przypadku ciągu „Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” sufiksem może być „319” lub „0.30319” itd.

„ma maskę” — wartość symbolu musi odpowiadać masce zdefiniowanej w szablonie. Formatowanie maski pozwala na stosowanie dowolnych znaków, a następnie symboli specjalnych „*” — zero, jeden lub wiele znaków, a także „?” — dokładnie jeden znak, na przykład: „6.2.*” albo „6.2.2033.?”.

„wyrażenie regularne” — wartość symbolu musi pasować do wyrażenia regularnego z szablonu. Wyrażenie regularne musi być zapisane w formacie języka Perl.


note

Wyrażenie regularne, regex lub regexp to ciąg znaków definiujący wzorzec wyszukiwania. Na przykład gray|grey i gr(a|e)y są równoważnymi wzorcami i oba są zgodne z dwoma wyrazami: „gray”, „grey”.

„w” — wartość symbolu musi być zgodna z dowolną wartością z listy w szablonie. Aby dodać pozycję, kliknij opcję + Dodaj. Każdy wiersz stanowi nową pozycję na liście. Ciągi są porównywane bez uwzględniania wielkości liter.

„w (maska ciągu)” — wartość symbolu musi być zgodna z dowolną maską z listy w szablonie. Ciągi są porównywane z uwzględnianiem wielkości liter. Przykłady: *endpoint-pc*, *Endpoint-PC*.

„ma wartość"

Operatory negujące:


important

operatory negujące należy stosować z ostrożnością, ponieważ w przypadku dzienników z wieloma wierszami (np. „Zainstalowana aplikacja”) wszystkie wiersze są sprawdzane względem tych warunków. Aby poznać zasady posługiwania się operatorami lub operacjami negującymi i otrzymać oczekiwane wyniki, warto przeanalizować podane przykłady (Ocena reguł szablonu i Szablon grupy dynamicznej — przykłady).

„≠ (nie równy)” — wartość symbolu i wartość szablonu nie mogą być takie same. Ciągi są porównywane bez uwzględniania wielkości liter.

„nie zawiera” — wartość symbolu nie zawiera wartości szablonu. Wyszukiwanie odbywa się bez uwzględniania wielkości liter.

„nie ma prefiksu” — wartość symbolu nie ma takiego samego prefiksu tekstowego jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter.

„nie ma sufiksu” — wartość symbolu nie ma takiego samego sufiksu tekstowego jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter.

„nie ma maski” — wartość symbolu nie może odpowiadać masce zdefiniowanej w szablonie.

„nie wyrażenie regularne” — wartość symbolu nie może pasować do wyrażenia regularnego z szablonu. Wyrażenie regularne musi być zapisane w formacie języka Perl. Operacja negacji pomaga zanegować pasujące wyrażenia regularne bez ponownego zapisu.

„nie w” — wartość symbolu nie może być zgodna z żadną wartością z listy w szablonie. Ciągi są porównywane bez uwzględniania wielkości liter.

„nie w (maska ciągu)” — wartość symbolu nie może być zgodna z żadną maską z listy w szablonie.

„nie ma wartości"