Capacité des règles Google SecOps

Compatible avec :

Présentation

Les règles Google Security Operations (également appelées détections organisées) sont des ensembles de règles créés par Google Cloud Threat Intelligence (GCTI) et utilisés par les clients Google SecOps. La capacité des règles Google SecOps limite le nombre d'ensembles de règles qui peuvent être activés à un moment donné dans un compte Google SecOps.

Une valeur de capacité est attribuée à chaque ensemble de règles. Lorsque des règles (précises, générales ou les deux) sont activées pour un ensemble de règles, la capacité totale de l'ensemble de règles est atteinte et comptabilisée dans la capacité des règles Google SecOps. Il n'est pas possible d'activer d'autres ensembles de règles lorsqu'un compte a atteint sa capacité de règles Google SecOps. La capacité par défaut des règles Google SecOps pour un compte Google SecOps est de 150.

La capacité des règles Google SecOps n'est pas un nombre, mais la pondération attribuée à un ensemble de règles. La pondération d'un ensemble de règles est basée sur sa complexité. Les ensembles de règles plus complexes ont une pondération plus élevée. La pondération d'un ensemble de règles est également affectée par le nombre d'événements qu'il traite. Les ensembles de règles qui traitent plus d'événements ont une pondération plus élevée.

La somme des pondérations doit être inférieure à 150. Vous ne pouvez pas activer un ensemble de règles qui fait que la somme des ensembles activés dépasse 150. Pour afficher la pondération de chaque ensemble de règles dans la console, accédez à Détection > Règles et détections.

Si vous dépassez la capacité des règles organisées, vous pouvez continuer à exécuter les règles existantes, mais vous ne pouvez pas en créer de nouvelles. Si vous souhaitez une capacité plus élevée, contactez l'équipe responsable de votre compte Google SecOps.

Afficher les détails de la capacité

L'onglet Ensembles de règles de la page Détections organisées affiche une colonne Capacité et un bouton Capacité des détections organisées (en haut à droite).

La valeur de capacité d'un ensemble de règles représente la capacité totale de l'ensemble de règles. La capacité totale de l'ensemble de règles est atteinte si l'ensemble de règles est activé. Un ensemble de règles est considéré comme activé lorsque ses règles précises, ses règles générales ou les deux sont activées. Lorsque la capacité d'un ensemble de règles est atteinte, elle est comptabilisée dans la capacité des règles Google SecOps pour le compte Google SecOps. Par exemple, si la capacité de l'ensemble de règles A est de 8 et que celle de l'ensemble de règles B est de 7, alors 15 sont comptabilisés dans la capacité totale des règles Google SecOps. Si la capacité des règles Google SecOps est de 150, la capacité de l'ensemble de règles est de 15/150. Pour afficher la capacité des règles Google SecOps pour le compte, cliquez sur le bouton d'état Capacité des détections organisées. Lorsque la capacité des règles Google SecOps est atteinte, il n'est pas possible d'activer d'autres ensembles de règles.

Vérifier la capacité avant d'activer tous les ensembles de règles

Vous pouvez activer toutes les règles de tous les ensembles de règles. Toutefois, cette action nécessite que votre compte dispose d'une capacité de détections organisées qui permette d'activer tous les ensembles de règles de votre compte. Pour savoir comment afficher les capacités de tous vos ensembles de règles afin de vous assurer que leur capacité combinée totale lorsqu'ils sont activés ne dépasse pas la capacité totale disponible des règles Google SecOps, consultez Afficher les détails de la capacité.

Pour activer tous les ensembles de règles :

  1. Cliquez sur le menu déroulant Actions rapides.

  2. Sélectionnez Configurer les paramètres de règle recommandés.

  3. Cliquez sur Activer toutes les règles de tous les ensembles de règles.

  4. Vérifiez votre utilisation de la capacité : dans Règles et détections > Tableau de bord des règles, cliquez sur Capacité des règles (en haut à droite).

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.