Muestreo de eventos de detección
Las detecciones de reglas de varios eventos contienen muestras de eventos, que proporcionan contexto sobre los eventos que han activado la alerta. Hay un límite de hasta 10 ejemplos de eventos por cada variable de evento definida en la regla. Por ejemplo, si una regla define dos variables de evento, cada detección puede tener hasta 20 muestras de evento. El límite se aplica a cada variable de evento por separado. Si una variable de evento tiene dos eventos aplicables en esta detección y la otra variable de evento tiene diez eventos aplicables, la detección resultante contiene 12 muestras de eventos (2 + 10).
Las muestras de eventos que superen el límite se omitirán de la detección.
Si quiere obtener más información sobre los eventos que han provocado la detección, puede usar agregaciones en la sección de resultados para mostrar información adicional en la detección.
Si estás viendo las detecciones en la interfaz de usuario, puedes descargar todas las muestras de eventos de una detección. Para obtener más información, consulta Descargar eventos.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.