Google Security Operations 规则容量
概览
Google Security Operations 规则(也称为“精选检测”)是由 Google Cloud Threat Intelligence (GCTI) 创建的规则集,供 Google Security Operations 客户使用。Google Security Operations 规则容量限制了 Google Security Operations 账号中可在任何给定时间启用的规则集数量。
每个规则集都有分配的容量值。为规则集启用任何规则(精确规则和/或宽泛规则)后,该规则集的容量便会用尽,并计入 Google Security Operations 规则容量。如果账号已达到 Google 安全运营规则的容量上限,则无法启用其他规则集。Google Security Operations 账号的默认 Google Security Operations 规则容量为 150 条。
Google Security Operations 规则容量不是计数,而是分配给规则集的权重。规则集的权重取决于其复杂性。规则集越复杂,权重就越高。规则集的权重还受规则集处理的事件数量的影响。处理更多事件的规则集的权重更高。
权重的总和必须小于 150。您不能启用会导致启用集总数超过 150 的规则集。如需查看控制台中每个规则集的权重,请依次前往检测 > 规则和检测。
如果您超出精选规则的容量上限,则可以继续运行现有规则,但无法创建新规则。如果您需要更高的容量,请与您的 Google Security Operations 客户支持团队联系。
查看容量详情
精选检测页面上的规则集标签页会显示容量列和精选检测容量按钮(右上角)。
规则集的容量值表示规则集的总容量。如果规则集已启用,则该规则集的容量已满。当规则集的精确规则或宽泛规则(或两者)处于启用状态时,该规则集即被视为处于启用状态。当规则集的容量用尽时,该容量会计入 Google Security Operations 账号的 Google Security Operations 规则容量。例如,如果规则集 A 的容量为 8,规则集 B 的容量为 7,则 Google 安全运营规则的总容量为 15。如果 Google Security Operations 规则容量为 150,则规则集容量为 15/150。如需查看账号的 Google Security Operations 规则容量,请点击精选检测容量状态按钮。达到 Google 安全运营规则容量上限后,您将无法再启用其他规则集。
在启用所有规则集之前,请检查容量
您可以启用所有规则集中的所有规则。不过,执行此操作需要您的账号具有经过人工审核的检测功能,且支持启用您账号的所有规则集。如需详细了解如何查看所有规则集的容量,以确保启用后它们的总容量不会超过 Google Security Operations 可用规则的总容量,请查看容量详情。
如需启用所有规则集,请执行以下操作:
点击快捷操作下拉菜单。
选择完成建议的规则设置。
点击启用所有规则集的所有规则。
点击 Google Security Operations Rules Capacity 按钮(位于右上角),确认您的容量用量。