检测限制

支持的平台:

Google Security Operations 在检测方面存在以下限制:

  • 每个规则版本每天的检测次数上限为 10,000 次。 此限制会在世界协调时间 (UTC) 零点重置。

    例如,如果某个规则版本在 1 月 1 日下午 3 点(世界协调时间)之前生成了 9900 个检测,并且所有这些检测的检测时间均为 1 月 1 日,那么该规则版本只会再生成 100 个检测,并且这些检测的检测时间也为 1 月 1 日。1 月 2 日,该规则版本可在当天生成 1 万个新检测结果。

  • 如果更新规则版本,系统会重置此限制,并且该规则可以在同一天内再次生成 10,000 次检测。

    例如,如果某个规则版本在 1 月 1 日下午 3 点(世界协调时间)之前生成了 9900 个检测,并且所有这些检测的检测时间均为 1 月 1 日,那么该规则版本只会再生成 100 个检测,并且这些检测的检测时间也为 1 月 1 日。如果规则版本在 1 月 1 日下午 4 点更新,则该规则版本可以生成 1 月 1 日到当天结束的 1 万次检测。1 月 2 日,该规则版本可在当天生成 1 万个新检测结果。

  • 更改参考列表后运行回溯搜索不会重置现有的检测次数限制,并且如果检测次数已达到上限,也不会生成新的检测。