Für Google Security Operations gelten in Bezug auf die Erkennung die folgenden Einschränkungen:
Für jede Regelversion gilt ein Limit von 10.000 Erkennungen pro Tag.
Dieses Limit wird um Mitternacht UTC zurückgesetzt.
Wenn beispielsweise eine Regelversion bis 15:00 Uhr UTC am 1. Januar 9.900 Erkennungen mit einer Erkennungszeit am 1. Januar generiert hat, werden nur noch 100 weitere Erkennungen mit einer Erkennungszeit am 1. Januar generiert. Am 2. Januar kann die Regelversion 10.000 neue Erkennungen für diesen Tag generieren.
Wenn die Regelversion aktualisiert wird, wird das Limit zurückgesetzt und die Regel kann am selben Tag wieder 10.000 Erkennungen generieren.
Wenn beispielsweise eine Regelversion bis 15:00 Uhr UTC am 1. Januar 9.900 Erkennungen mit einer Erkennungszeit am 1. Januar generiert hat, werden nur noch 100 weitere Erkennungen mit einer Erkennungszeit am 1. Januar generiert. Wenn die Regelversion am 1. Januar um 16:00 Uhr aktualisiert wird, können mit dieser Regelversion bis zum Ende des Tages 10.000 Erkennungen mit dem Erkennungszeitpunkt 1. Januar generiert werden. Am 2. Januar kann die Regelversion 10.000 neue Erkennungen für diesen Tag generieren.
Im Regeldashboard können bis zu 50 MB an Erkennungsdaten angezeigt werden. Wenn die Gesamtgröße der erkannten Elemente dieses Limit überschreitet, wird in der Benutzeroberfläche eine Meldung angezeigt, dass die Daten unvollständig sind. Das bedeutet, dass das System mehr Erkennungen generiert hat, als in der Benutzeroberfläche angezeigt werden können. Die Erkennungen sind aber weiterhin vorhanden und nicht verloren.
Wenn Sie nach der Aktualisierung der Referenzliste eine Retro-Suche durchführen, werden die vorhandenen Erkennungslimits nicht zurückgesetzt und es werden keine Erkennungslimits generiert. Wenn das vorhandene Erkennungslimit bereits erreicht wurde, werden keine neuen Erkennungen generiert.
Maximal 10 gleichzeitige Retrohunt-Jobs pro Google SecOps-Instanz oder ‑Mandant.
Jeder Job kann bis zu 300 YARA-L-Regeln enthalten.
Die kombinierte Textgröße aller Regeln darf 1 MB nicht überschreiten.
Wenn Sie mehrere Retrohunts parallel ausführen, werden Ressourcen aus derselben Google SecOps-Instanz zugewiesen. Dies kann zu einer langsameren Leistung oder Verzögerungen beim Abschluss von Jobs führen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-21 (UTC)."],[[["\u003cp\u003eGoogle Security Operations rule versions are limited to 10,000 detections per day, resetting at midnight UTC.\u003c/p\u003e\n"],["\u003cp\u003eIf a rule version is updated, the daily detection limit is reset, allowing for an additional 10,000 detections on that same day.\u003c/p\u003e\n"],["\u003cp\u003eRetrohunts after reference list changes do not reset detection limits, and no new detections are generated once the limit is reached.\u003c/p\u003e\n"]]],[],null,["Understand detection limits \nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nGoogle Security Operations has the following limitations with regards to detections:\n\n- Each rule version has a limit of 10,000 detections per day.\n This limit resets at midnight UTC.\n\n For example, if a rule version produced 9900 detections by 3PM UTC on January 1 and all of these detections have a detection time on January 1, it will only generate 100 more detections that have a detection time on January 1. On January 2, the rule version can generate 10,000 new detections for that day.\n- If the rule version is updated, the limit is reset and the rule can again generate 10,000 detections in that same day.\n\n For example, if a rule version produced 9900 detections by 3PM UTC on January 1 and all of these detections have a detection time on January 1, it will only generate 100 more detections that have a detection time on January 1. If rule version is updated at 4PM on January 1, that rule version can generate 10,000 detections that have detection time on January 1 till end of day. On January 2, the rule version can generate 10,000 new detections for that day.\n- The Rules Dashboard can display up to 50 MB of detection data. If the total size of\n the detections exceeds this limit, the interface shows a message indicating that the data\n is incomplete. This means that the system generated more detections than the\n interface can display, but the detections still exist and are not lost.\n\n- Running a retrohunt after updating the reference list doesn't reset the existing detections limits and won't generate detection limits. If the existing detection limit has already been reached, no new detections are generated.\n\n- [Retrohunts](/chronicle/docs/detection/run-rule-historical-data) limitations:\n\n - Maximum of 3 concurrent retrohunt jobs are allowed per Google SecOps instance or tenant.\n - The combined text size of all rules must not exceed 1 MB.\n - If you run multiple retrohunts in parallel, the system allocates resources from the same Google SecOps instance. This can lead to slower performance or delays in job completion.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
