Informazioni sui limiti di rilevamento

Supportato in:

Google Security Operations presenta le seguenti limitazioni per quanto riguarda il rilevamento delle regole:

  • Ogni versione della regola ha un limite di 10.000 rilevamenti al giorno. Questo limite viene reimpostato a mezzanotte UTC.

    Ad esempio, una versione della regola potrebbe generare 9900 rilevamenti entro le 15:00 UTC del 1° gennaio. Se tutti questi rilevamenti vengono registrati il 1° gennaio, vengono generati solo altri 100 rilevamenti quel giorno. Il 2 gennaio, la versione della regola può generare 10.000 nuovi rilevamenti.

  • Se la versione della regola viene aggiornata, il limite viene reimpostato e la regola può di nuovo generare 10.000 rilevamenti nello stesso giorno.

    Ad esempio, se una versione della regola produce 9900 rilevamenti entro le 15:00 UTC del 1° gennaio e tutti questi rilevamenti hanno un orario di rilevamento il 1° gennaio, genera solo altri 100 rilevamenti per quel giorno. Se la versione della regola viene aggiornata alle 16:00 del 1° gennaio, può generare 10.000 rilevamenti con un orario di rilevamento il 1° gennaio fino alla fine della giornata. Il 2 gennaio, la versione della regola può generare altri 10.000 nuovi rilevamenti.

  • La dashboard delle regole può visualizzare fino a 50 MB di dati di rilevamento. Se le dimensioni totali dei rilevamenti superano questo limite, l'interfaccia mostra un messaggio che indica che i dati sono incompleti. Ciò significa che il sistema ha generato più rilevamenti di quanti l'interfaccia possa visualizzare, ma i rilevamenti esistono ancora e non sono persi.

  • L'esecuzione di una retrocaccia dopo l'aggiornamento dell'elenco di riferimento non reimposta i limiti di rilevamento esistenti né ne genera di nuovi. Se il limite di rilevamento esistente è già stato raggiunto, non vengono generate nuove rilevazioni.

  • Limitazioni delle retrohunt:

    • Esegui un massimo di tre job retrohunt simultanei per ogni istanza o tenant Google SecOps.
    • Le dimensioni combinate del testo di tutte le regole non devono superare 1 MB.
    • Se esegui più retrohunt in parallelo, il sistema alloca le risorse dalla stessa istanza di Google SecOps. Ciò può comportare un rendimento più lento o ritardi nel completamento del job.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.