检测限制

支持的语言:

Google Security Operations 在检测方面存在以下限制:

  • 每个规则版本每天最多只能进行 10,000 次检测。 此限额会在世界协调时间 (UTC) 午夜重置。

    例如,如果某规则版本在 1 月 1 日下午 3 点(世界协调时间)之前生成了 9,900 次检测,且所有这些检测的检测时间都在 1 月 1 日,那么该规则版本只会再生成 100 次检测,且这些检测的检测时间都在 1 月 1 日。1 月 2 日,该规则版本可以生成 10,000 个新的检测结果。

  • 如果规则版本更新,则限额会重置,并且规则可以在同一天再次生成 10,000 次检测。

    例如,如果某规则版本在 1 月 1 日下午 3 点(世界协调时间)之前生成了 9,900 次检测,且所有这些检测的检测时间都在 1 月 1 日,那么该规则版本只会再生成 100 次检测,且这些检测的检测时间都在 1 月 1 日。如果规则版本在 1 月 1 日下午 4 点更新,则该规则版本可以生成 10,000 次检测,这些检测的检测时间为 1 月 1 日至当天结束。1 月 2 日,该规则版本可以生成 10,000 个新的检测结果。

  • “规则信息中心”最多可显示 50 MB 的检测数据。如果检测结果的总大小超过此限制,界面会显示一条消息,指出数据不完整。这意味着系统生成的检测结果数量超过了界面可显示的上限,但这些检测结果仍然存在,并未丢失。

  • 在更新参考列表后运行回溯搜索不会重置现有的检测限值,也不会生成检测限值。如果已达到现有检测限制,则不会生成新的检测结果。

  • 回溯性搜索的限制:

    • 每位用户的并发回溯搜寻作业数上限为 10。
    • 每个作业最多可包含 300 条 YARA 规则。
    • 所有规则的文本大小总和不得超过 1 MB。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。