Cette page a été traduite par l'API Cloud Translation.

Capacité des règles Google SecOps

Compatible avec :

Google SecOps SIEM

Présentation

Les règles Google Security Operations (également appelées détections organisées) sont des ensembles de règles créés par Google Cloud Threat Intelligence (GCTI) et utilisés par les clients Google SecOps. La capacité des règles Google SecOps limite le nombre d'ensembles de règles pouvant être activés à un moment donné dans un compte Google SecOps.

Chaque ensemble de règles dispose d'une valeur de capacité. Lorsqu'une ou plusieurs règles (précises et/ou générales) sont activées pour un ensemble de règles, la capacité totale de l'ensemble de règles est atteinte et comptabilisée dans la capacité des règles Google SecOps. Il est impossible d'activer d'autres ensembles de règles lorsqu'un compte a atteint sa capacité de règles Google SecOps. La capacité par défaut des règles Google SecOps pour un compte Google SecOps est de 150.

La capacité des règles Google SecOps n'est pas un nombre, mais le poids attribué à un ensemble de règles. La pondération d'un ensemble de règles dépend de sa complexité. Les ensembles de règles plus complexes ont une pondération plus élevée. Le poids d'un ensemble de règles est également affecté par le nombre d'événements qu'il traite. Les ensembles de règles qui traitent plus d'événements ont un poids plus élevé.

La somme des pondérations doit être inférieure à 150. Vous ne pouvez pas activer un ensemble de règles qui porte la somme des ensembles activés à plus de 150. Pour afficher le poids de chaque ensemble de règles dans la console, accédez à Détection > Règles et détections.

Si vous dépassez la capacité des règles sélectionnées, vous pouvez continuer à exécuter les règles existantes, mais vous ne pouvez pas en créer d'autres. Si vous avez besoin d'une capacité plus élevée, contactez l'équipe chargée de votre compte Google SecOps.

Afficher les détails de la capacité

L'onglet Ensembles de règles de la page Détections sélectionnées affiche une colonne Capacité et un bouton Capacité des détections sélectionnées (en haut à droite).

La valeur de capacité d'un ensemble de règles représente la capacité totale de l'ensemble de règles. La capacité totale d'un ensemble de règles est atteinte si l'ensemble de règles est activé. Un ensemble de règles est considéré comme activé lorsque ses règles précises, ses règles générales ou les deux sont activées. Lorsque la capacité d'un ensemble de règles est atteinte, elle est comptabilisée dans la capacité des règles Google SecOps pour le compte Google SecOps. Par exemple, si la capacité de 8 règles de l'ensemble de règles A est atteinte et que la capacité de 7 règles de l'ensemble de règles B est atteinte, 15 règles sont comptabilisées dans la capacité totale des règles Google SecOps. Si la capacité des règles Google SecOps est de 150, la capacité de l'ensemble de règles est de 15/150. Pour afficher la capacité de règles Google SecOps du compte, cliquez sur le bouton d'état Capacité de détection organisée. Lorsque la capacité des règles Google SecOps est atteinte, vous ne pouvez pas activer d'ensembles de règles supplémentaires.

Vérifier la capacité avant d'activer tous les ensembles de règles

Vous pouvez activer toutes les règles de tous les ensembles de règles. Toutefois, cette action nécessite que votre compte dispose d'une capacité de détection sélectionnée permettant d'activer tous les ensembles de règles de votre compte. Pour savoir comment afficher la capacité de tous vos ensembles de règles et vous assurer que leur capacité combinée totale, une fois activée, ne dépasse pas la capacité totale disponible des règles Google SecOps, consultez les détails de la capacité.

Pour activer tous les ensembles de règles :

Cliquez sur le menu déroulant Actions rapides.
Sélectionnez Configurer les paramètres de règle recommandés.
Cliquez sur Activer toutes les règles de tous les ensembles de règles.
Vérifiez votre utilisation de la capacité : dans Règles et détections> Tableau de bord des règles, cliquez sur Capacité des règles (en haut à droite).

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.