Memahami batas deteksi

Didukung di:

Google Security Operations memiliki batasan berikut terkait deteksi:

  • Setiap versi aturan memiliki batas 10.000 deteksi per hari. Batas ini direset pada tengah malam UTC.

    Misalnya, jika versi aturan menghasilkan 9.900 deteksi pada pukul 15.00 UTC pada 1 Januari dan semua deteksi ini memiliki waktu deteksi pada 1 Januari, maka hanya akan menghasilkan 100 deteksi lagi yang memiliki waktu deteksi pada 1 Januari. Pada 2 Januari, versi aturan dapat menghasilkan 10.000 deteksi baru untuk hari itu.

  • Jika versi aturan diperbarui, batas akan direset dan aturan dapat menghasilkan 10.000 deteksi lagi pada hari yang sama.

    Misalnya, jika versi aturan menghasilkan 9.900 deteksi pada pukul 15.00 UTC pada 1 Januari dan semua deteksi ini memiliki waktu deteksi pada 1 Januari, maka hanya akan menghasilkan 100 deteksi lagi yang memiliki waktu deteksi pada 1 Januari. Jika versi aturan diperbarui pada pukul 16.00 pada 1 Januari, versi aturan tersebut dapat menghasilkan 10.000 deteksi yang memiliki waktu deteksi pada 1 Januari hingga akhir hari. Pada 2 Januari, versi aturan dapat menghasilkan 10.000 deteksi baru untuk hari itu.

  • Dasbor Aturan dapat menampilkan data deteksi hingga 50 MB. Jika ukuran total deteksi melebihi batas ini, antarmuka akan menampilkan pesan yang menunjukkan bahwa data tidak lengkap. Artinya, sistem menghasilkan lebih banyak deteksi daripada yang dapat ditampilkan antarmuka, tetapi deteksi tersebut masih ada dan tidak hilang.

  • Menjalankan retrohunt setelah memperbarui daftar referensi tidak akan mereset batas deteksi yang ada dan tidak akan menghasilkan batas deteksi. Jika batas deteksi yang ada telah tercapai, tidak ada deteksi baru yang dihasilkan.

  • Batasan Retrohunts:

    • Maksimum 10 tugas retrohunt serentak per instance atau tenant Google SecOps.
    • Setiap tugas dapat menyertakan hingga 300 aturan YARA-L.
    • Ukuran teks gabungan semua aturan tidak boleh melebihi 1 MB.
    • Jika Anda menjalankan beberapa retrohunt secara paralel, sistem akan mengalokasikan resource dari instance Google SecOps yang sama. Hal ini dapat menyebabkan performa yang lebih lambat atau penundaan dalam penyelesaian tugas.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.