Comprendre les limites de détection

Compatible avec :

Google Security Operations présente les limites suivantes en ce qui concerne les détections de règles :

  • Chaque version de règle est limitée à 10 000 détections par jour. Cette limite est réinitialisée à minuit UTC.

    Par exemple, une version de règle peut générer 9 900 détections d'ici 15h UTC le 1er janvier. Si toutes ces détections sont enregistrées le 1er janvier, seules 100 détections supplémentaires seront générées ce jour-là. Le 2 janvier, la version de la règle peut générer 10 000 nouvelles détections.

  • Si la version de la règle est mise à jour, la limite est réinitialisée et la règle peut à nouveau générer 10 000 détections le même jour.

    Par exemple, si une version de règle génère 9 900 détections d'ici le 1er janvier à 15h00 UTC et que toutes ces détections ont une heure de détection le 1er janvier, elle ne générera que 100 détections supplémentaires pour ce jour. Si la version d'une règle est mise à jour à 16h le 1er janvier, elle peut générer 10 000 détections avec une heure de détection le 1er janvier jusqu'à la fin de la journée. Le 2 janvier, la version de la règle peut générer 10 000 nouvelles détections.

  • Le tableau de bord des règles peut afficher jusqu'à 50 Mo de données de détection. Si la taille totale des détections dépasse cette limite, l'interface affiche un message indiquant que les données sont incomplètes. Cela signifie que le système a généré plus de détections que l'interface ne peut en afficher, mais que les détections existent toujours et ne sont pas perdues.

  • L'exécution d'une rétrochasse après la mise à jour de la liste de référence ne réinitialise pas les limites de détection existantes et n'en génère pas de nouvelles. Si la limite de détection existante a déjà été atteinte, aucune nouvelle détection n'est générée.

  • Limites des rétroanalyses :

    • Exécutez un maximum de trois tâches de rétrochasse simultanées pour chaque instance ou locataire Google SecOps.
    • La taille combinée du texte de toutes les règles ne doit pas dépasser 1 Mo.
    • Si vous exécutez plusieurs analyses rétroactives en parallèle, le système alloue des ressources à partir de la même instance Google SecOps. Cela peut entraîner un ralentissement des performances ou des retards dans l'exécution des tâches.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.