Compreenda os limites de deteção

Compatível com:

O Google Security Operations tem as seguintes limitações relativamente às deteções:

  • Cada versão da regra tem um limite de 10 000 deteções por dia. Este limite é reposto à meia-noite UTC.

    Por exemplo, se uma versão da regra tiver produzido 9900 deteções até às 15:00 UTC de 1 de janeiro e todas estas deteções tiverem uma hora de deteção a 1 de janeiro, só vai gerar mais 100 deteções com uma hora de deteção a 1 de janeiro. A 2 de janeiro, a versão da regra pode gerar 10 000 novas deteções para esse dia.

  • Se a versão da regra for atualizada, o limite é reposto e a regra pode gerar novamente 10 000 deteções nesse mesmo dia.

    Por exemplo, se uma versão da regra tiver produzido 9900 deteções até às 15:00 UTC de 1 de janeiro e todas estas deteções tiverem uma hora de deteção a 1 de janeiro, só vai gerar mais 100 deteções com uma hora de deteção a 1 de janeiro. Se a versão da regra for atualizada às 16:00 a 1 de janeiro, essa versão da regra pode gerar 10 000 deteções com a hora de deteção a 1 de janeiro até ao final do dia. A 2 de janeiro, a versão da regra pode gerar 10 000 novas deteções para esse dia.

  • O painel de controlo de regras pode apresentar até 50 MB de dados de deteção. Se o tamanho total das deteções exceder este limite, a interface mostra uma mensagem a indicar que os dados estão incompletos. Isto significa que o sistema gerou mais deteções do que a interface pode apresentar, mas as deteções continuam a existir e não são perdidas.

  • A execução de uma retrocaça após a atualização da lista de referência não repõe os limites de deteções existentes e não gera limites de deteções. Se o limite de deteção existente já tiver sido atingido, não são geradas novas deteções.

  • Limitações das retrohunts:

    • Máximo de 10 tarefas de retrohunt simultâneas por instância ou inquilino do Google SecOps.
    • Cada tarefa pode incluir até 300 regras YARA-L.
    • O tamanho combinado do texto de todas as regras não pode exceder 1 MB.
    • Se executar várias retrocaças em paralelo, o sistema atribui recursos da mesma instância do Google SecOps. Isto pode levar a um desempenho mais lento ou a atrasos na conclusão da tarefa.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.