Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הסבר על מגבלות הזיהוי

נתמך ב:

Google secops SIEM

אלו הן המגבלות של Google Security Operations בנוגע לזיהויים של כללים:

לכל גרסה של כלל יש מגבלה של 10,000 זיהויים ביום. המגבלה הזו מתאפסת בחצות לפי שעון UTC.

לדוגמה, גרסת כלל עשויה ליצור 9,900 זיהויים עד השעה 15:00 לפי שעון UTC ב-1 בינואר. אם כל הגילויים האלה נרשמים ב-1 בינואר, המערכת תפיק רק 100 גילויים נוספים באותו יום. ב-2 בינואר, גרסת הכלל יכולה ליצור 10,000 זיהויים חדשים.
אם הגרסה של הכלל מתעדכנת, המגבלה מתאפסת והכלל יכול שוב ליצור 10,000 זיהויים באותו יום.

לדוגמה, אם גרסת כלל מסוימת מפיקה 9,900 זיהויים עד השעה 15:00 UTC ב-1 בינואר, וכל הזיהויים האלה מתבצעים ב-1 בינואר, היא תפיק רק עוד 100 זיהויים באותו יום. אם גרסת הכלל מתעדכנת בשעה 16:00 ב-1 בינואר, היא יכולה להפיק 10,000 זיהויים עם זמן זיהוי ב-1 בינואר עד סוף היום. ב-2 בינואר, גרסת הכלל יכולה להפיק עוד 10,000 זיהויים חדשים.
לוח הבקרה של הכללים יכול להציג עד 50MB של נתוני זיהוי. אם הגודל הכולל של הזיהויים חורג מהמגבלה הזו, בממשק מוצגת הודעה שמציינת שהנתונים לא מלאים. המשמעות היא שהמערכת יצרה יותר זיהויים ממה שאפשר להציג בממשק, אבל הזיהויים עדיין קיימים ולא אבדו.
הפעלת חיפוש רטרו אחרי עדכון רשימת ההפניות לא מאפסת את מגבלות הזיהוי הקיימות ולא יוצרת מגבלות חדשות. אם כבר הגעתם למגבלת הזיהוי הקיימת, לא ייווצרו זיהויים חדשים.
מגבלות של חיפושים רטרואקטיביים:
- אפשר להריץ עד 3 משימות חיפוש רטרו בו-זמנית לכל מכונת Google SecOps או דייר.
- הגודל הכולל של הטקסט בכל הכללים לא יכול להיות יותר מ-1MB.
- אם מריצים כמה חיפושים רטרוספקטיביים במקביל, המערכת מקצה משאבים מאותו מופע של Google SecOps. הדבר עלול להוביל לביצועים איטיים יותר או לעיכובים בהשלמת העבודה.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.