Google Security Operations のルール容量

以下でサポートされています。

概要

Google Security Operations ルール(キュレートされた検出とも呼ばれます)は、 Google Cloud Threat Intelligence(GCTI)によって作成され、Google Security Operations のお客様が使用するルールセットです。Google Security Operations のルール容量は、Google Security Operations アカウントで一度に有効にできるルールセットの数を制限します。

各ルールセットには容量値が割り当てられています。ルールセットで任意のルール(Precise ルール、Broad ルール、またはその両方)が有効になっている場合、ルールセットの容量の上限に達し、Google Security Operations Rules の容量にカウントされます。アカウントが Google Security Operations ルールの容量に達している場合、追加のルールセットを有効にすることはできません。Google Security Operations アカウントのデフォルトの Google Security Operations ルールの容量は 150 です。

Google Security Operations のルール容量は数ではなく、ルールセットに割り当てられた重みです。ルールセットの重み付けは、その複雑さに応じて行われます。複雑なルールセットほど重み付けが高くなります。ルールセットの重みは、ルールセットが処理するイベント数にも影響されます。より多くのイベントを処理するルールセットの重み付けは高くなります。

重み付けの合計は 150 未満にする必要があります。有効なセットの合計が 150 を超えるルールセットを有効にすることはできません。コンソールで各ルールセットの重みを表示するには、[Detection] > [Rules & Detections] に移動します。

キュレートされたルールの容量を超えた場合、既存のルールは引き続き実行できますが、新しいルールを作成することはできません。容量を増やす場合は、Google Security Operations アカウント チームにお問い合わせください。

容量の詳細を表示する

[Curated Detections] ページの [Rule Sets] タブには、[Capacity] 列と [Curated Detections Capacity] ボタン(右上)が表示されます。

ルールセットの容量値は、ルールセットの最大容量を表します。ルールセットが有効になっている場合、ルールセットの容量の上限に達します。ルールセットは、Precise ルール、Broad ルール、またはその両方が有効になっている場合に有効と見なされます。ルールセットの容量が満たされると、その容量は Google Security Operations アカウントの Google Security Operations ルールの容量にカウントされます。たとえば、ルールセット A の容量 8 が使用され、ルールセット B の容量 7 が使用されている場合、Google Security Operations のルールの合計容量には 15 がカウントされます。Google Security Operations のルール容量が 150 の場合、ルールセットの容量は 15 / 150 です。アカウントの Google Security Operations ルールの容量を表示するには、[Curated Detections Capacity] ステータス ボタンをクリックします。Google Security Operations のルール容量に達すると、追加のルールセットを有効にすることはできません。

すべてのルールセットを有効にする前に容量を確認する

すべてのルールセットですべてのルールを有効にできます。ただし、この操作を行うには、アカウントのすべてのルールセットを有効にできるキュレート検出の容量がアカウントに必要です。有効にしたときのすべてのルールセットの容量の合計が使用可能な Google Security Operations ルールの容量の合計を超えないようにすべてのルールセットの容量を表示する方法については、容量の詳細を表示するをご覧ください。

すべてのルールセットを有効にするには:

  1. [Quick Actions] プルダウン メニューをクリックします。

  2. [Set up recommended rule settings] を選択します。

  3. [Enable all rules across all rule sets] をクリックします。

  4. 右上の [Google Security Operations Rules Capacity] ボタンをクリックして、容量の使用状況を確認します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。