Diese Seite wurde von der Cloud Translation API übersetzt.

Google SecOps-Regelkapazität

Unterstützt in:

Google SecOps SIEM

Übersicht

Google Security Operations-Regeln (auch kuratierte Erkennungsmechanismen genannt) sind Regelsätze, die von Google Cloud Threat Intelligence (GCTI) erstellt werden und von Google SecOps-Kunden verwendet werden. Die Google SecOps-Regelkapazität begrenzt die Anzahl der Regelsätze, die zu einem bestimmten Zeitpunkt in einem Google SecOps-Konto aktiviert werden können.

Jedem Regelsatz ist ein Kapazitätswert zugewiesen. Wenn für einen Regelsatz Regeln (genaue Regeln, allgemeine Regeln oder beides) aktiviert sind, ist die maximale Kapazität des Regelsatzes erreicht und wird auf die Kapazität von Google SecOps Rules angerechnet. Zusätzliche Regelsätze können nicht aktiviert werden, wenn ein Konto die Kapazität für Google SecOps Rules erreicht hat. Die Standardkapazität für Google SecOps-Regeln für ein Google SecOps-Konto beträgt 150.

Die Google SecOps-Regelkapazität ist keine Anzahl, sondern das Gewicht, das einem Regelsatz zugewiesen wird. Das Gewicht eines Regelsatzes hängt von seiner Komplexität ab. Komplexere Regelsätze haben ein höheres Gewicht. Das Gewicht eines Regelsatzes wird auch durch die Anzahl der Ereignisse beeinflusst, die vom Regelsatz verarbeitet werden. Regelsätze, die mehr Ereignisse verarbeiten, haben ein höheres Gewicht.

Die Summe der Gewichte muss kleiner als 150 sein. Sie können kein Regelset aktivieren, durch das die Summe der aktivierten Sets 150 überschreitet. Das Gewicht der einzelnen Regelsätze in der Console finden Sie unter Detection > Rules & Detections.

Wenn Sie die Kapazität für kuratierte Regeln überschreiten, können Sie die vorhandenen Regeln weiterhin ausführen, aber keine neuen erstellen. Wenn Sie eine höhere Kapazität benötigen, wenden Sie sich an Ihr Google SecOps-Account-Management-Team.

Kapazitätsdetails ansehen

Auf dem Tab Regelsätze auf der Seite Ausgewählte Erkennungen werden die Spalte Kapazität und die Schaltfläche Kapazität für ausgewählte Erkennungen (oben rechts) angezeigt.

Der Kapazitätswert für einen Regelsatz entspricht der vollen Kapazität des Regelsatzes. Die maximale Kapazität eines Regelsatzes ist erreicht, wenn der Regelsatz aktiviert ist. Ein Regelsatz gilt als aktiviert, wenn seine exakten Regeln, ungefähren Regeln oder beide aktiviert sind. Wenn die Kapazität eines Regelsatzes erreicht ist, wird die Kapazität auf die Google SecOps-Regelkapazität für das Google SecOps-Konto angerechnet. Wenn beispielsweise die Kapazität von 8 für Regelsatz A und die Kapazität von 7 für Regelsatz B erreicht sind, werden 15 auf die Gesamtkapazität für Google SecOps-Regeln angerechnet. Wenn die Google SecOps-Regelkapazität 150 beträgt, liegt die Regelsatzkapazität bei 15/150. Wenn Sie die Kapazität der Google SecOps-Regeln für das Konto aufrufen möchten, klicken Sie auf die Status-Schaltfläche Curated Detections Capacity (Kapazität für kuratierte Erkennungen). Wenn die Kapazität für Google SecOps-Regeln erreicht ist, können keine zusätzlichen Regelsätze aktiviert werden.

Kapazität prüfen, bevor alle Regelsätze aktiviert werden

Sie können alle Regeln in allen Regelsätzen aktivieren. Dafür muss Ihr Konto jedoch über eine Kapazität für kuratierte Erkennungen verfügen, die das Aktivieren aller Regelsätze Ihres Kontos unterstützt. Weitere Informationen zum Ansehen der Kapazitäten aller Regelsätze

So aktivieren Sie alle Regelsätze:

Klicken Sie auf das Drop-down-Menü Schnellaktionen.
Wählen Sie Empfohlene Regeleinstellungen einrichten aus.
Klicken Sie auf Alle Regeln in allen Regelsätzen aktivieren.
Prüfen Sie Ihre Kapazitätsauslastung: Klicken Sie unter Regeln und Erkennungen > „Regel-Dashboard“ rechts oben auf Regelkapazität.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten