Capacità delle regole di Google SecOps

Supportato in:

Panoramica

Le regole di Google Security Operations (chiamate anche rilevamenti curati) sono set di regole creati da Google Cloud Threat Intelligence (GCTI) e utilizzati dai clienti di Google SecOps. Il limite di capacità delle regole di Google SecOps limita il numero di set di regole che possono essere attivati in un determinato momento in un account Google SecOps.

A ogni serie di regole è assegnato un valore di capacità. Quando una o più regole (precise, generali o entrambe) sono abilitate per una serie di regole, la capacità massima della serie di regole viene raggiunta e conteggiata ai fini della capacità delle regole di Google SecOps. Non è possibile attivare set di regole aggiuntivi quando un account ha raggiunto la capacità delle regole di Google SecOps. La capacità predefinita delle regole di Google SecOps per un account Google SecOps è 150.

La capacità delle regole di Google SecOps non è un conteggio, ma il peso assegnato a un insieme di regole. Il peso di un insieme di regole si basa sulla sua complessità. I set di regole più complessi hanno un peso maggiore. Il peso di un insieme di regole è influenzato anche dal numero di eventi che elabora. I set di regole che elaborano più eventi hanno un peso maggiore.

La somma dei pesi deve essere inferiore a 150. Non puoi attivare un insieme di regole che causa il superamento di 150 della somma degli insiemi attivati. Per visualizzare il peso di ogni insieme di regole nella console, vai a Rilevamento > Regole e rilevamenti.

Se superi la capacità per le regole curate, puoi continuare a eseguire le regole esistenti, ma non puoi crearne di nuove. Se vuoi una capacità maggiore, contatta il team dedicato al tuo account Google SecOps.

Visualizzare i dettagli della capacità

La scheda Set di regole nella pagina Rilevamenti selezionati mostra una colonna Capacità e un pulsante Capacità dei rilevamenti selezionati (in alto a destra).

Il valore della capacità di una serie di regole rappresenta la capacità massima della serie di regole. La capacità massima della serie di regole è raggiunta se la serie di regole è abilitata. Una serie di regole è considerata abilitata quando sono abilitate le regole precise, le regole generali o entrambe. Quando viene raggiunta la capacità di un set di regole, questa viene conteggiata ai fini della capacità delle regole di Google SecOps per l'account Google SecOps. Ad esempio, se la capacità di 8 della serie di regole A è raggiunta e la capacità di 7 della serie di regole B è raggiunta, 15 viene conteggiato ai fini della capacità totale delle regole di Google SecOps. Se la capacità delle regole di Google SecOps è 150, la capacità del set di regole è 15/150. Per visualizzare la capacità delle regole di Google SecOps per l'account, fai clic sul pulsante di stato Capacità di rilevamento curato. Quando viene raggiunta la capacità delle regole di Google SecOps, non è possibile attivare set di regole aggiuntivi.

Controllare la capacità prima di attivare tutte le serie di regole

Puoi abilitare tutte le regole in tutte le serie di regole. Tuttavia, questa azione richiede che il tuo account disponga di una capacità di rilevamento curata che supporti l'attivazione di tutti i set di regole dell'account. Per informazioni dettagliate sulla visualizzazione delle capacità di tutti i tuoi insiemi di regole per assicurarti che la loro capacità combinata totale quando sono attivi non superi la capacità totale disponibile delle regole di Google SecOps, visualizza i dettagli della capacità.

Per attivare tutte le serie di regole:

  1. Fai clic sul menu a discesa Azioni rapide.

  2. Seleziona Configura le impostazioni delle regole suggerite.

  3. Fai clic su Abilita tutte le regole in tutte le serie di regole.

  4. Conferma l'utilizzo della capacità: in Regole e rilevamenti > Dashboard delle regole, fai clic su Capacità delle regole (in alto a destra).

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.