Google SecOps のルールの容量
概要
Google Security Operations ルール(キュレーテッド検出とも呼ばれます)は、 Google Cloud 脅威インテリジェンス(GCTI)によって作成され、Google SecOps のお客様が使用するルールセットです。Google SecOps ルールの容量は、Google SecOps アカウントで同時に有効にできるルールセットの数を制限します。
各ルールセットには容量値が割り当てられています。ルールセットでルール(Precise ルール、Broad ルール、またはその両方)が有効になっている場合、ルールセットの容量の上限に達し、Google SecOps ルールの容量にカウントされます。アカウントが Google SecOps ルールの容量に達している場合、追加のルールセットを有効にすることはできません。Google SecOps アカウントのデフォルトの Google SecOps ルール容量は 150 です。
Google SecOps のルール容量は、ルールセットに割り当てられた重みであり、カウントではありません。ルールセットの重みは、その複雑さに基づいています。複雑なルールセットほど重みが大きくなります。ルールセットの重みは、ルールセットが処理するイベントの数にも影響されます。より多くのイベントを処理するルールセットには、より高い重みが設定されます。
重みの合計は 150 未満にする必要があります。有効なセットの合計が 150 を超えるルールセットを有効にすることはできません。コンソールで各ルールセットの重みを表示するには、[Detection] > [Rules & Detections] に移動します。
キュレートされたルールの容量を超えた場合、既存のルールは引き続き実行できますが、新しいルールを作成することはできません。容量を増やす場合は、Google SecOps アカウント チームにお問い合わせください。
容量の詳細を表示する
[Curated Detections] ページの [Rule Sets] タブには、[Capacity] 列と [Curated Detections Capacity] ボタン(右上)が表示されます。
ルールセットの容量値は、ルールセットの最大容量を表します。ルールセットが有効になっている場合、ルールセットの容量の上限に達します。ルールセットは、Precise ルール、Broad ルール、またはその両方が有効になっている場合に有効と見なされます。ルールセットの容量が上限に達すると、その容量は Google SecOps アカウントの Google SecOps ルールの容量にカウントされます。たとえば、ルールセット A の容量 8 が上限に達し、ルールセット B の容量 7 が上限に達した場合、合計 15 が Google SecOps ルールの合計容量にカウントされます。Google SecOps のルール容量が 150 の場合、ルールセットの容量は 15/150 です。アカウントの Google SecOps ルールの容量を表示するには、[Curated Detections Capacity] ステータス ボタンをクリックします。Google SecOps ルールの容量が上限に達すると、追加のルールセットを有効にすることはできません。
すべてのルールセットを有効にする前に容量を確認する
すべてのルールセットですべてのルールを有効にできます。ただし、この操作を行うには、アカウントのすべてのルールセットを有効にできるキュレーション検出容量が必要です。有効にしたときのすべてのルールセットの容量の合計が使用可能な Google SecOps ルールの容量の合計を超えないようにすべてのルールセットの容量を表示する方法については、容量の詳細を表示するをご覧ください。
すべてのルールセットを有効にするには:
[Quick Actions] プルダウン メニューをクリックします。
[Set up recommended rule settings] を選択します。
[Enable all rules across all rule sets] をクリックします。
容量の使用状況を確認します。[ルールと検出] > [ルール ダッシュボード] で、[ルール容量](右上)をクリックします。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。