Limites de detecção
O Google Security Operations tem as seguintes limitações em relação às detecções:
Cada versão de regra tem um limite de 10.000 detecções por dia. Esse limite é redefinido à meia-noite UTC.
Por exemplo, se uma versão de regra produzir 9.900 detecções até as 15h UTC de 1º de janeiro e todas elas tiverem um horário de detecção em 1º de janeiro, ela vai gerar apenas mais 100 detecções com um horário de detecção em 1º de janeiro. Em 2 de janeiro, a versão da regra pode gerar 10.000 novas detecções para esse dia.
Se a versão da regra for atualizada, o limite será redefinido,e a regra poderá gerar 10.000 detecções novamente no mesmo dia.
Por exemplo, se uma versão de regra produzir 9.900 detecções até as 15h UTC de 1º de janeiro e todas elas tiverem um horário de detecção em 1º de janeiro, ela vai gerar apenas mais 100 detecções com um horário de detecção em 1º de janeiro. Se a versão da regra for atualizada às 16h do dia 1º de janeiro, ela poderá gerar 10.000 detecções com horário de detecção no dia 1º de janeiro até o fim do dia. Em 2 de janeiro, a versão da regra pode gerar 10.000 novas detecções para esse dia.
O painel de regras pode mostrar até 50 MB de dados de detecção. Se o tamanho total das detecções exceder esse limite, a interface vai mostrar uma mensagem indicando que os dados estão incompletos. Isso significa que o sistema gerou mais detecções do que a interface pode mostrar, mas elas ainda existem e não foram perdidas.
Executar uma retrocaça após atualizar a lista de referência não redefine os limites de detecção atuais e não gera limites de detecção. Se o limite de detecção já tiver sido atingido, nenhuma nova detecção será gerada.
Limitações das retrohunts:
- Máximo de 10 jobs de retrohunt simultâneos por usuário.
- Cada job pode incluir até 300 regras YARA.
- O tamanho combinado do texto de todas as regras não pode exceder 1 MB.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.