検出イベントのサンプリング

マルチイベント ルールによる検出には、アラートをトリガーしたイベントのコンテキストを提供するイベント サンプルが含まれます。ルールで定義されたイベント変数ごとに、最大 10 個のイベント サンプルを使用できます。たとえば、ルールで 2 つのイベント変数を定義した場合、各検出には最大 20 個のイベント サンプルを含めることができます。この上限は、各イベント変数に個別に適用されます。1 つのイベント変数にこの検出で適用されるイベントが 2 つあり、もう 1 つのイベント変数に適用されるイベントが 10 個ある場合、検出結果には 12 個のイベント サンプル（2 + 10）が含まれます。

上限を超えるイベント サンプルは検出から除外されます。

検出の原因となったイベントの詳細情報を取得する場合は、結果セクションで集計を使用して、検出で追加情報を出力できます。

UI で検出結果を表示している場合は、検出結果のすべてのイベント サンプルをダウンロードできます。詳しくは、イベントをダウンロードするをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。