Erkennungslimits

Unterstützt in:

Für Google Security Operations gelten in Bezug auf Regelerkennungen die folgenden Einschränkungen:

  • Für jede Regelversion gilt ein Limit von 10.000 Erkennungen pro Tag. Dieses Limit wird um Mitternacht UTC zurückgesetzt.

    Beispiel: Eine Regelversion generiert am 1. Januar bis 15:00 Uhr UTC 9.900 Erkennungen. Wenn alle diese Erkennungen am 1. Januar aufgezeichnet werden, werden an diesem Tag nur 100 weitere Erkennungen generiert. Am 2. Januar können mit der Regelversion 10.000 neue Erkennungen generiert werden.

  • Wenn die Regelversion aktualisiert wird, wird das Limit zurückgesetzt und die Regel kann am selben Tag wieder 10.000 Erkennungen generieren.

    Wenn beispielsweise eine Regelversion bis zum 1. Januar um 15:00 Uhr UTC 9.900 Erkennungen erzeugt und alle diese Erkennungen eine Erkennungszeit am 1. Januar haben, werden für diesen Tag nur 100 weitere Erkennungen generiert. Wenn die Regelversion am 1. Januar um 16:00 Uhr aktualisiert wird, kann sie bis zum Ende des Tages 10.000 Erkennungen mit einer Erkennungszeit am 1. Januar generieren. Am 2. Januar können mit der Regelversion weitere 10.000 neue Erkennungen generiert werden.

  • Im Regel-Dashboard können bis zu 50 MB an Erkennungsdaten angezeigt werden. Wenn die Gesamtgröße der erkannten Elemente dieses Limit überschreitet, wird in der Benutzeroberfläche eine Meldung angezeigt, dass die Daten unvollständig sind. Das bedeutet, dass das System mehr Erkennungen generiert hat, als in der Benutzeroberfläche angezeigt werden können. Die Erkennungen sind aber weiterhin vorhanden und gehen nicht verloren.

  • Wenn Sie nach der Aktualisierung der Referenzliste eine Retrohunt ausführen, werden die vorhandenen Erkennungslimits nicht zurückgesetzt und es werden keine neuen generiert. Wenn das vorhandene Erkennungslimit bereits erreicht wurde, werden keine neuen Erkennungen generiert.

  • Einschränkungen bei Retrohunts:

    • Führen Sie maximal drei gleichzeitige Retrohunt-Jobs für jede Google SecOps-Instanz oder jeden Google SecOps-Mandanten aus.
    • Die kombinierte Textgröße aller Regeln darf 1 MB nicht überschreiten.
    • Wenn Sie mehrere Retrohunts parallel ausführen, werden Ressourcen aus derselben Google SecOps-Instanz zugewiesen. Dies kann zu einer langsameren Leistung oder Verzögerungen beim Abschluss von Jobs führen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten