Google Security Operations présente les limites suivantes en ce qui concerne les détections :
Chaque version de règle est limitée à 10 000 détections par jour.
Cette limite est réinitialisée à minuit UTC.
Par exemple, si une version de règle a généré 9 900 détections avant 15h00 UTC le 1er janvier et que toutes ces détections ont une heure de détection le 1er janvier, elle ne générera que 100 détections supplémentaires avec une heure de détection le 1er janvier. Le 2 janvier, la version de la règle peut générer 10 000 nouvelles détections pour cette journée.
Si la version de la règle est mise à jour, la limite est réinitialisée et la règle peut à nouveau générer 10 000 détections le même jour.
Par exemple, si une version de règle a généré 9 900 détections avant 15h00 UTC le 1er janvier et que toutes ces détections ont une heure de détection le 1er janvier, elle ne générera que 100 détections supplémentaires avec une heure de détection le 1er janvier. Si la version d'une règle est mise à jour à 16h le 1er janvier, elle peut générer 10 000 détections dont l'heure de détection est le 1er janvier jusqu'à la fin de la journée. Le 2 janvier, la version de la règle peut générer 10 000 nouvelles détections pour cette journée.
Le tableau de bord des règles peut afficher jusqu'à 50 Mo de données de détection. Si la taille totale des détections dépasse cette limite, l'interface affiche un message indiquant que les données sont incomplètes. Cela signifie que le système a généré plus de détections que l'interface ne peut en afficher, mais que les détections existent toujours et ne sont pas perdues.
L'exécution d'une recherche rétroactive après la mise à jour de la liste de référence ne réinitialise pas les limites de détection existantes et n'en génère pas. Si la limite de détection existante a déjà été atteinte, aucune nouvelle détection n'est générée.
Vous ne pouvez pas exécuter plus de trois jobs de rétrochasse simultanément par instance ou locataire Google SecOps.
La taille combinée du texte de toutes les règles ne doit pas dépasser 1 Mo.
Si vous exécutez plusieurs analyses rétroactives en parallèle, le système alloue des ressources à partir de la même instance Google SecOps. Cela peut entraîner un ralentissement des performances ou des retards dans l'exécution des tâches.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eGoogle Security Operations rule versions are limited to 10,000 detections per day, resetting at midnight UTC.\u003c/p\u003e\n"],["\u003cp\u003eIf a rule version is updated, the daily detection limit is reset, allowing for an additional 10,000 detections on that same day.\u003c/p\u003e\n"],["\u003cp\u003eRetrohunts after reference list changes do not reset detection limits, and no new detections are generated once the limit is reached.\u003c/p\u003e\n"]]],[],null,["Understand detection limits \nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nGoogle Security Operations has the following limitations with regards to detections:\n\n- Each rule version has a limit of 10,000 detections per day.\n This limit resets at midnight UTC.\n\n For example, if a rule version produced 9900 detections by 3PM UTC on January 1 and all of these detections have a detection time on January 1, it will only generate 100 more detections that have a detection time on January 1. On January 2, the rule version can generate 10,000 new detections for that day.\n- If the rule version is updated, the limit is reset and the rule can again generate 10,000 detections in that same day.\n\n For example, if a rule version produced 9900 detections by 3PM UTC on January 1 and all of these detections have a detection time on January 1, it will only generate 100 more detections that have a detection time on January 1. If rule version is updated at 4PM on January 1, that rule version can generate 10,000 detections that have detection time on January 1 till end of day. On January 2, the rule version can generate 10,000 new detections for that day.\n- The Rules Dashboard can display up to 50 MB of detection data. If the total size of\n the detections exceeds this limit, the interface shows a message indicating that the data\n is incomplete. This means that the system generated more detections than the\n interface can display, but the detections still exist and are not lost.\n\n- Running a retrohunt after updating the reference list doesn't reset the existing detections limits and won't generate detection limits. If the existing detection limit has already been reached, no new detections are generated.\n\n- [Retrohunts](/chronicle/docs/detection/run-rule-historical-data) limitations:\n\n - Maximum of 3 concurrent retrohunt jobs are allowed per Google SecOps instance or tenant.\n - The combined text size of all rules must not exceed 1 MB.\n - If you run multiple retrohunts in parallel, the system allocates resources from the same Google SecOps instance. This can lead to slower performance or delays in job completion.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
