検出の上限について

Google Security Operations のルール検出には、次の制限があります。

• 各ルール バージョンの検出上限は 1 日あたり 10,000 件です。この上限は午前 0 時（UTC）にリセットされます。

  たとえば、ルール バージョンで 1 月 1 日午後 3 時（UTC）までに 9,900 件の検出が生成されることがあります。これらの検出がすべて 1 月 1 日に記録された場合、その日に生成される検出は残り 100 件のみです。1 月 2 日には、ルール バージョンで 10,000 件の新しい検出を生成できます。

• ルール バージョンが更新されると、上限がリセットされ、その日のうちにルールで 10,000 件の検出を再度生成できます。

  たとえば、ルール バージョンで 1 月 1 日午後 3 時（UTC）までに 9,900 件の検出が生成され、すべての検出が 1 月 1 日の検出だった場合、その日の検出は残り 100 件に限られます。ルール バージョンが 1 月 1 日午後 4 時に更新された場合、そのルール バージョンで 1 月 1 日の検出時間からそに日の終わりまで 10,000 件の検出を生成できます。1 月 2 日には、ルール バージョンでさらに 10,000 件の新しい検出を生成できます。

• [ルール ダッシュボード] には、最大 50 MB の検出データを表示できます。検出の合計サイズがこの上限を超えると、インターフェースにデータが不完全であることを示すメッセージが表示されます。これは、システムがインターフェースで表示できるよりも多くの検出を生成したことを意味します。検出は失われずに残っています。

• 参照リストを更新した後に Retrohunt を実行しても、既存の検出結果の上限はリセットされず、新しい検出結果も生成されません。既存の検出結果の上限に達している場合、新しい検出結果は生成されません。

• Retrohunt の制限事項:

  • Google SecOps インスタンスまたはテナントごとに、最大 3 つの同時実行レトロハント ジョブを実行します。
  • すべてのルールのテキストの合計サイズは 1 MB を超えてはなりません。
  • 複数のレトロハントを並行して実行すると、システムは同じ Google SecOps インスタンスからリソースを割り当てます。これにより、パフォーマンスの低下やジョブの完了の遅延が発生する可能性があります。

ご不明な点がございましたら、コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。