Capacidad de reglas de Google SecOps
Descripción general
Las reglas de Google Security Operations (también llamadas detecciones seleccionadas) son conjuntos de reglas creados por Google Cloud Threat Intelligence (GCTI) que usan los clientes de Google SecOps. La capacidad de las reglas de Google SecOps limita la cantidad de conjuntos de reglas que se pueden habilitar en un momento determinado en una cuenta de Google SecOps.
Cada conjunto de reglas tiene un valor de capacidad asignado. Cuando se habilitan reglas (precisas, generales o ambas) para un conjunto de reglas, se alcanza la capacidad total del conjunto de reglas y se contabiliza para la capacidad de las reglas de Google SecOps. No se pueden habilitar conjuntos de reglas adicionales cuando una cuenta alcanzó su capacidad de reglas de Google SecOps. La capacidad predeterminada de reglas de Google SecOps para una cuenta de Google SecOps es de 150.
La capacidad de las reglas de Google SecOps no es un recuento, sino el peso asignado a un conjunto de reglas. El peso de un conjunto de reglas se basa en su complejidad. Los conjuntos de reglas más complejos tienen un peso mayor. El peso de un conjunto de reglas también se ve afectado por la cantidad de eventos que procesa. Los conjuntos de reglas que procesan más eventos tienen un peso mayor.
La suma de los pesos debe ser inferior a 150. No puedes habilitar un conjunto de reglas que haga que la suma de los conjuntos habilitados supere los 150. Para ver el peso de cada conjunto de reglas en la consola, ve a Detección > Reglas y detecciones.
Si superas la capacidad de las reglas seleccionadas, podrás seguir ejecutando las reglas existentes, pero no podrás crear reglas nuevas. Si deseas una capacidad mayor, comunícate con tu equipo de cuentas de SecOps de Google.
Cómo ver los detalles de la capacidad
En la pestaña Rule Sets de la página Curated Detections, se muestran una columna Capacity y un botón Curated Detections Capacity (en la esquina superior derecha).
El valor de capacidad de un conjunto de reglas representa la capacidad total del conjunto de reglas. Se alcanza la capacidad total del conjunto de reglas si este está habilitado. Un conjunto de reglas se considera habilitado cuando sus reglas precisas, sus reglas generales o ambas están habilitadas. Cuando se alcanza la capacidad de un conjunto de reglas, esta se contabiliza para la capacidad de reglas de SecOps de Google de la cuenta de SecOps de Google. Por ejemplo, si se alcanza la capacidad de 8 del conjunto de reglas A y la capacidad de 7 del conjunto de reglas B, se contabilizan 15 para la capacidad total de reglas de Google SecOps. Si la capacidad de reglas de Google SecOps es de 150, la capacidad del conjunto de reglas es de 15/150. Para ver la capacidad de las reglas de Google SecOps para la cuenta, haz clic en el botón de estado Capacidad de detecciones seleccionadas. Cuando se alcanza la capacidad de las reglas de SecOps de Google, no se pueden habilitar conjuntos de reglas adicionales.
Verifica la capacidad antes de habilitar todos los conjuntos de reglas
Puedes habilitar todas las reglas en todos los conjuntos de reglas. Sin embargo, esta acción requiere que tu cuenta tenga una capacidad de detección seleccionada que admita la habilitación de todos los conjuntos de reglas de la cuenta. Para obtener detalles sobre cómo ver las capacidades de todos tus conjuntos de reglas y asegurarte de que su capacidad combinada total cuando estén habilitados no supere la capacidad total disponible de las reglas de Google SecOps, consulta los detalles de capacidad.
Para habilitar todos los conjuntos de reglas, sigue estos pasos:
Haz clic en el menú desplegable Acciones rápidas.
Selecciona Establecer la configuración de reglas recomendada.
Haz clic en Habilita todas las reglas en todos los conjuntos de reglas.
Confirma el uso de tu capacidad: En Reglas y detecciones > Panel de reglas, haz clic en Capacidad de reglas (esquina superior derecha).
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.