Esta página se ha traducido con Cloud Translation API.

Información sobre los límites de detección

Disponible en:

SecOps de Google SIEM

Google Security Operations tiene las siguientes limitaciones en cuanto a las detecciones:

Cada versión de una regla tiene un límite de 10.000 detecciones al día. Este límite se restablece a medianoche (UTC).

Por ejemplo, si una versión de una regla ha generado 9900 detecciones a las 15:00 (UTC) del 1 de enero y todas estas detecciones tienen una hora de detección del 1 de enero, solo generará 100 detecciones más que tengan una hora de detección del 1 de enero. El 2 de enero, la versión de la regla puede generar 10.000 detecciones nuevas ese día.
Si se actualiza la versión de la regla, el límite se restablece y la regla puede volver a generar 10.000 detecciones ese mismo día.

Por ejemplo, si una versión de una regla ha generado 9900 detecciones a las 15:00 (UTC) del 1 de enero y todas estas detecciones tienen una hora de detección del 1 de enero, solo generará 100 detecciones más que tengan una hora de detección del 1 de enero. Si la versión de la regla se actualiza a las 16:00 del 1 de enero, esa versión puede generar 10.000 detecciones que tengan la hora de detección del 1 de enero hasta el final del día. El 2 de enero, la versión de la regla puede generar 10.000 detecciones nuevas ese día.
El panel de control de reglas puede mostrar hasta 50 MB de datos de detección. Si el tamaño total de las detecciones supera este límite, la interfaz muestra un mensaje que indica que los datos están incompletos. Esto significa que el sistema ha generado más detecciones de las que puede mostrar la interfaz, pero las detecciones siguen existiendo y no se han perdido.
Si ejecutas una búsqueda retrospectiva después de actualizar la lista de referencia, no se restablecerán los límites de detección actuales y no se generarán límites de detección. Si ya se ha alcanzado el límite de detección, no se generarán nuevas detecciones.
Limitaciones de Retrohunts:
- Se permiten un máximo de 3 trabajos de búsqueda retrospectiva simultáneos por instancia o inquilino de Google SecOps.
- El tamaño de texto combinado de todas las reglas no debe superar 1 MB.
- Si ejecutas varias retrohunts en paralelo, el sistema asigna recursos de la misma instancia de Google SecOps. Esto puede provocar un rendimiento más lento o retrasos en la finalización de los trabajos.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.