瞭解偵測限制

支援的國家/地區:

Google Security Operations 在規則偵測方面有下列限制:

  • 每個規則版本每天最多可偵測 10,000 次。這項限制會在世界標準時間午夜重設。

    舉例來說,規則版本可能在 1 月 1 日下午 3 點 (世界標準時間) 前產生 9,900 次偵測結果。如果 1 月 1 日已記錄所有這些偵測結果,當天只會再產生 100 個偵測結果。1 月 2 日,規則版本可產生 10,000 個新偵測結果。

  • 如果規則版本更新,系統會重設上限,規則當天可再次生成 10,000 次偵測結果。

    舉例來說,如果規則版本在 1 月 1 日世界標準時間下午 3 點前產生 9,900 項偵測結果,且這些結果的偵測時間都在 1 月 1 日,則當天只會再產生 100 項偵測結果。如果規則版本在 1 月 1 日下午 4 點更新,該規則版本在當天結束前,最多可產生 10,000 項偵測結果。1 月 2 日,規則版本可再產生 10,000 個新的偵測項目。

  • 「規則資訊主頁」最多可顯示 50 MB 的偵測資料。如果偵測結果的總大小超過這個限制,介面會顯示訊息,指出資料不完整。這表示系統偵測到的項目數量超出介面顯示上限,但這些項目仍存在,不會遺失。

  • 更新參照清單後執行回溯搜尋,不會重設或產生現有的偵測上限。如果已達到現有的偵測上限,系統就不會產生新的偵測結果。

  • 回溯搜尋限制:

    • 每個 Google SecOps 執行個體或租戶最多可同時執行 3 項回溯搜尋工作。
    • 所有規則的文字大小總和不得超過 1 MB。
    • 如果您並行執行多個回溯搜尋,系統會從同一個 Google SecOps 例項分配資源。這可能會導致效能變慢,或工作完成時間延遲。

需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。