了解检测限制

支持的平台：

Google SecOps SIEM

Google Security Operations 在规则检测方面存在以下限制：

每个规则版本每天最多只能检测到 10,000 次。此限制会在世界协调时间 (UTC) 午夜重置。

例如，某规则版本可能会在 1 月 1 日下午 3 点（世界协调时间 [UTC]）之前生成 9,900 次检测。如果 1 月 1 日记录了所有这些检测结果，那么当天只会再生成 100 个检测结果。1 月 2 日，规则版本可以生成 10,000 个新的检测结果。
如果规则版本更新，则限额会重置，并且规则可以在同一天再次生成 10,000 次检测。

例如，如果某规则版本在 1 月 1 日下午 3 点（世界协调时间）之前生成了 9,900 次检测，并且所有这些检测的检测时间都在 1 月 1 日，那么该规则版本当天只会再生成 100 次检测。如果规则版本在 1 月 1 日下午 4 点更新，则该规则版本可以在 1 月 1 日生成 10,000 次检测，检测时间为 1 月 1 日直至当天结束。1 月 2 日，该规则版本可以再生成 10,000 个新的检测结果。
规则信息中心最多可显示 50 MB 的检测数据。如果检测结果的总大小超过此限制，界面会显示一条消息，指出数据不完整。这意味着系统生成的检测结果数量超过了界面可显示的上限，但检测结果仍然存在，并未丢失。
更新参考列表后运行回溯搜索不会重置现有检测限制或生成新的检测限制。如果已达到现有检测限制，则不会生成新的检测结果。
回溯性检测的限制：
- 每个 Google SecOps 实例或租户最多可同时运行 3 个回溯分析作业。
- 所有规则的文本大小总和不得超过 1 MB。
- 如果您并行运行多个回溯搜索，系统会从同一 Google SecOps 实例分配资源。这可能会导致性能下降或作业完成延迟。