检测限制
支持的平台:
Google SecOps
SIEM
Google Security Operations 在检测方面存在以下限制:
每个规则版本每天的检测次数上限为 10,000 次。 此限制会在世界协调时间 (UTC) 零点重置。
例如,如果某个规则版本在 1 月 1 日下午 3 点(世界协调时间)之前生成了 9900 个检测,并且所有这些检测的检测时间均为 1 月 1 日,那么该规则版本只会再生成 100 个检测,并且这些检测的检测时间也为 1 月 1 日。1 月 2 日,该规则版本可在当天生成 1 万个新检测结果。
如果更新规则版本,系统会重置此限制,并且该规则可以在同一天内再次生成 10,000 次检测。
例如,如果某个规则版本在 1 月 1 日下午 3 点(世界协调时间)之前生成了 9900 个检测,并且所有这些检测的检测时间均为 1 月 1 日,那么该规则版本只会再生成 100 个检测,并且这些检测的检测时间也为 1 月 1 日。如果规则版本在 1 月 1 日下午 4 点更新,则该规则版本可以生成 1 月 1 日到当天结束的 1 万次检测。1 月 2 日,该规则版本可在当天生成 1 万个新检测结果。
更改参考列表后运行回溯搜索不会重置现有的检测次数限制,并且如果检测次数已达到上限,也不会生成新的检测。