Erkennungslimits

Google Security Operations unterliegt bei der Erkennung von Sicherheitsvorfällen den folgenden Einschränkungen:

• Für jede Regelversion gilt ein Limit von 10.000 Erkennungen pro Tag. Dieses Limit wird um Mitternacht (UTC) zurückgesetzt.

  Wenn mit einer Regelversion beispielsweise bis zum 1. Januar um 15:00 Uhr (UTC) 9.900 Erkennungen generiert wurden und alle diese Erkennungen den 1. Januar als Erkennungszeit haben, werden nur noch 100 weitere Erkennungen mit dem 1. Januar als Erkennungszeit generiert. Am 2. Januar kann die Regelversion 10.000 neue Erkennungen für diesen Tag generieren.

• Wenn die Regelversion aktualisiert wird, wird das Limit zurückgesetzt und die Regel kann am selben Tag wieder 10.000 Erkennungen generieren.

  Wenn mit einer Regelversion beispielsweise bis zum 1. Januar um 15:00 Uhr (UTC) 9.900 Erkennungen generiert wurden und alle diese Erkennungen den 1. Januar als Erkennungszeit haben, werden nur noch 100 weitere Erkennungen mit dem 1. Januar als Erkennungszeit generiert. Wenn die Regelversion am 1. Januar um 16:00 Uhr aktualisiert wird, kann diese Regelversion bis zum Ende des Tages 10.000 Erkennungen mit dem 1. Januar als Erkennungszeit generieren. Am 2. Januar kann die Regelversion 10.000 neue Erkennungen für diesen Tag generieren.

• Wenn Sie nach der Aktualisierung der Referenzliste eine Retrohunt ausführen, werden die vorhandenen Erkennungslimits nicht zurückgesetzt und es werden keine Erkennungslimits generiert. Wenn das vorhandene Erkennungslimit bereits erreicht wurde, werden keine neuen Erkennungen generiert.

• Einschränkungen bei Retrohunts:

  • Maximal 10 gleichzeitige Retrohunt-Jobs pro Nutzer.
  • Jeder Job kann bis zu 300 YARA-Regeln enthalten.
  • Die Gesamtgröße aller Regeln darf 1 MB nicht überschreiten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten