Campionamento degli eventi di rilevamento
I rilevamenti delle regole multi-evento contengono campioni di eventi, che forniscono il contesto degli eventi che hanno attivato l'avviso. Esiste un limite massimo di 10 campioni di eventi per ogni variabile evento definita nella regola. Ad esempio, se una regola definisce 2 variabili evento, ogni rilevamento può avere fino a 20 campioni di eventi. Il limite si applica a ogni variabile evento separatamente. Se una variabile evento ha 2 eventi applicabili in questo rilevamento e l'altra variabile evento ha 10 eventi applicabili, il rilevamento risultante contiene 12 campioni di eventi (2 + 10).
Tutti i campioni di eventi che superano il limite vengono omessi dal rilevamento.
Se vuoi maggiori informazioni sugli eventi che hanno causato il rilevamento, puoi utilizzare le aggregazioni nella sezione Risultato per visualizzare informazioni aggiuntive nel rilevamento.
Se visualizzi i rilevamenti nell'interfaccia utente, puoi scaricare tutti i campioni di eventi per un rilevamento. Per saperne di più, vedi Eventi di download.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.