Google Security Operations のルール容量
概要
Google Security Operations ルール(キュレートされた検出とも呼ばれます)は、Google Security Operations のお客様が使用する、 Google Cloud Threat Intelligence(GCTI)によって作成されたルールセットです。Google Security Operations のルール容量は、Google Security Operations アカウントで一度に有効にできるルールセットの数を制限します。
各ルールセットには容量値が割り当てられています。ルールセットで任意のルール(Precise ルール、Broad ルール、またはその両方)が有効になっている場合、ルールセットの容量の上限に達し、Google Security Operations Rules の容量にカウントされます。アカウントが Google Security Operations ルールの容量に達している場合、追加のルールセットを有効にすることはできません。Google Security Operations アカウントのデフォルトの Google Security Operations ルールの容量は 150 です。
Google Security Operations のルール容量は数ではなく、ルールセットに割り当てられた重みです。ルールセットの重み付けは、その複雑さに応じて行われます。複雑なルールセットほど重み付けが高くなります。ルールセットの重みは、ルールセットが処理するイベント数にも影響されます。より多くのイベントを処理するルールセットの重み付けは高くなります。
重み付けの合計は 150 未満にする必要があります。有効なセットの合計が 150 を超えるルールセットを有効にすることはできません。コンソールで各ルールセットの重みを表示するには、[検出] > [ルールと検出] に移動します。
キュレートされたルールの容量を超えた場合、既存のルールは引き続き実行できますが、新しいルールは作成できません。容量を増やす場合は、Google Security Operations アカウント チームにお問い合わせください。
商品数の上限の詳細を表示する
[キュレートされた検出] ページの [ルールセット] タブには、[容量] 列と [キュレートされた検出の容量] ボタン(右上)が表示されます。
ルールセットの容量値は、ルールセットの最大容量を表します。ルールセットが有効になっている場合、ルールセットの容量の上限に達します。ルールセットは、Precise ルール、Broad ルール、またはその両方が有効になっている場合に有効と見なされます。ルールセットの容量が満たされると、その容量は Google Security Operations アカウントの Google Security Operations ルールの容量にカウントされます。たとえば、ルールセット A の容量 8 が使用され、ルールセット B の容量 7 が使用されている場合、Google Security Operations のルールの合計容量には 15 がカウントされます。Google Security Operations のルール容量が 150 の場合、ルールセットの容量は 15/150 です。アカウントの Google Security Operations ルールの容量を表示するには、[キュレーションされた検出機能の容量] ステータス ボタンをクリックします。Google Security Operations のルール容量に達すると、追加のルールセットを有効にすることはできません。
すべてのルールセットを有効にする前に容量を確認する
すべてのルールセットですべてのルールを有効にできます。ただし、この操作を行うには、アカウントのすべてのルールセットを有効にすることをサポートするキュレート検出の容量がアカウントに必要です。有効にしたときにすべてのルールセットの容量の合計が、使用可能な Google Security Operations ルールの容量の合計を超えないように、すべてのルールセットの容量を表示する方法については、容量の詳細を表示するをご覧ください。
すべてのルールセットを有効にするには:
[クイック アクション] プルダウン メニューをクリックします。
[推奨ルールの設定] を選択します。
[すべてのルールセットですべてのルールを有効にする] をクリックします。
右上の [Google Security Operations ルールの容量] ボタンをクリックして、容量の使用状況を確認します。