Entender os limites de detecção

Compatível com:

O Google Security Operations tem as seguintes limitações em relação às detecções de regras:

  • Cada versão de regra tem um limite de 10.000 detecções por dia. Esse limite é redefinido à meia-noite UTC.

    Por exemplo, uma versão de regra pode gerar 9.900 detecções até as 15h UTC de 1º de janeiro. Se todas essas detecções forem registradas em 1º de janeiro, serão geradas apenas mais 100 detecções naquele dia. Em 2 de janeiro, a versão da regra pode gerar 10.000 novas detecções.

  • Se a versão da regra for atualizada, o limite será redefinido,e a regra poderá gerar 10.000 detecções novamente no mesmo dia.

    Por exemplo, se uma versão de regra produzir 9.900 detecções até as 15h UTC de 1º de janeiro, e todas elas tiverem um horário de detecção em 1º de janeiro, ela vai gerar apenas mais 100 detecções para esse dia. Se a versão da regra for atualizada às 16h do dia 1º de janeiro, ela poderá gerar 10.000 detecções com um horário de detecção no dia 1º de janeiro até o fim do dia. Em 2 de janeiro, a versão da regra pode gerar mais 10.000 novas detecções.

  • O painel de regras pode mostrar até 50 MB de dados de detecção. Se o tamanho total das detecções exceder esse limite, a interface vai mostrar uma mensagem indicando que os dados estão incompletos. Isso significa que o sistema gerou mais detecções do que a interface pode mostrar, mas elas ainda existem e não foram perdidas.

  • Executar uma retrocaça após atualizar a lista de referência não redefine os limites de detecção atuais nem gera novos. Se o limite de detecção já tiver sido atingido, nenhuma nova detecção será gerada.

  • Limitações das retrocaças:

    • Execute no máximo três jobs de retrocaça simultâneos para cada instância ou locatário do Google SecOps.
    • O tamanho combinado do texto de todas as regras não pode exceder 1 MB.
    • Se você executar várias retrocaças em paralelo, o sistema vai alocar recursos da mesma instância do Google SecOps. Isso pode levar a um desempenho mais lento ou atrasos na conclusão do job.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.