Información sobre los límites de detección

Se admite en los siguientes sistemas operativos:

Google Security Operations tiene las siguientes limitaciones con respecto a las detecciones de reglas:

  • Cada versión de la regla tiene un límite de 10,000 detecciones por día. Este límite se restablece a la medianoche (UTC).

    Por ejemplo, una versión de la regla podría generar 9,900 detecciones a las 3 p.m. (UTC) del 1 de enero. Si todas estas detecciones se registran el 1 de enero, solo se generarán 100 detecciones más ese día. El 2 de enero, la versión de la regla puede generar 10,000 detecciones nuevas.

  • Si se actualiza la versión de la regla, se restablece el límite y la regla puede volver a generar 10,000 detecciones ese mismo día.

    Por ejemplo, si una versión de la regla produce 9,900 detecciones a las 3 p.m. (UTC) del 1 de enero, y todas estas detecciones tienen una hora de detección el 1 de enero, solo generará 100 detecciones más para ese día. Si la versión de la regla se actualiza a las 4 p.m. del 1 de enero, puede generar 10,000 detecciones con una hora de detección del 1 de enero hasta el final del día. El 2 de enero, la versión de la regla puede generar otras 10,000 detecciones nuevas.

  • El Panel de reglas puede mostrar hasta 50 MB de datos de detección. Si el tamaño total de las detecciones supera este límite, la interfaz mostrará un mensaje que indica que los datos están incompletos. Esto significa que el sistema generó más detecciones de las que puede mostrar la interfaz, pero las detecciones siguen existiendo y no se perdieron.

  • Ejecutar una búsqueda retroactiva después de actualizar la lista de referencias no restablece los límites de detecciones existentes ni genera nuevos. Si ya se alcanzó el límite de detección existente, no se generarán nuevas detecciones.

  • Limitaciones de Retrohunts:

    • Ejecuta un máximo de 3 trabajos de retrohunt simultáneos para cada instancia o arrendatario de Google SecOps.
    • El tamaño combinado del texto de todas las reglas no debe superar 1 MB.
    • Si ejecutas varias búsquedas retroactivas en paralelo, el sistema asigna recursos de la misma instancia de Google SecOps. Esto puede provocar un rendimiento más lento o demoras en la finalización del trabajo.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.