Limites de detecção

Compatível com:

O Google Security Operations tem as seguintes limitações em relação às detecções:

  • Cada versão da regra tem um limite de 10.000 detecções por dia. Esse limite é redefinido à meia-noite UTC.

    Por exemplo, se uma versão da regra produzir 9.900 detecções até as 15h UTC em 1º de janeiro e todas elas tiverem um horário de detecção em 1º de janeiro, ela vai gerar apenas mais 100 detecções com um horário de detecção em 1º de janeiro. Em 2 de janeiro, a versão da regra pode gerar 10.000 novas detecções para esse dia.

  • Se a versão da regra for atualizada, o limite será redefinido,e a regra poderá gerar 10.000 detecções no mesmo dia.

    Por exemplo, se uma versão da regra produzir 9.900 detecções até as 15h UTC em 1º de janeiro e todas elas tiverem um horário de detecção em 1º de janeiro, ela vai gerar apenas mais 100 detecções com um horário de detecção em 1º de janeiro. Se a versão da regra for atualizada às 16h do dia 1º de janeiro, ela poderá gerar 10.000 detecções com horário de detecção em 1º de janeiro até o fim do dia. Em 2 de janeiro, a versão da regra pode gerar 10.000 novas detecções para esse dia.

  • A execução de uma retrohunt após a atualização da lista de referência não redefinirá os limites de detecção existentes nem gerará limites de detecção. Se o limite de detecção já tiver sido atingido, nenhuma nova detecção será gerada.

  • Limitações das retrohunts:

    • Máximo de 10 jobs de retrohunt simultâneos por usuário.
    • Cada job pode incluir até 300 regras YARA.
    • O tamanho do texto combinado de todas as regras não pode exceder 1 MB.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.