Capacidade de regras do Google SecOps

Compatível com:

Visão geral

As regras do Google Security Operations (também chamadas de detecções selecionadas) são conjuntos de regras criados pela Google Cloud inteligência contra ameaças (GCTI) e usadas pelos clientes do Google SecOps. O limite de capacidade das regras do Google SecOps limita quantos conjuntos de regras podem ser ativados a qualquer momento em uma conta do Google SecOps.

Cada conjunto de regras tem um valor de capacidade atribuído. Quando qualquer regra (precisa, ampla ou ambas) é ativada em um conjunto, a capacidade total dele é atingida e contabilizada na capacidade de regras do Google SecOps. Não é possível ativar outros conjuntos de regras quando uma conta atinge a capacidade de regras do Google SecOps. A capacidade padrão de regras do Google SecOps para uma conta do Google SecOps é de 150.

A capacidade de regras do Google SecOps não é uma contagem, mas sim o peso atribuído a um conjunto de regras. O peso de um conjunto de regras é baseado na complexidade dele. Conjuntos de regras mais complexos têm um peso maior. O peso de um conjunto de regras também é afetado pelo número de eventos que ele processa. Os conjuntos de regras que processam mais eventos têm um peso maior.

A soma dos pesos precisa ser menor que 150. Não é possível ativar um conjunto de regras que faça com que a soma dos conjuntos ativados exceda 150. Para conferir o peso de cada conjunto de regras no console, acesse Detecção > Regras e detecções.

Se você exceder a capacidade de regras selecionadas, poderá continuar executando as regras atuais, mas não poderá criar novas. Se você quiser uma capacidade maior, entre em contato com a equipe de conta do Google SecOps.

Ver detalhes da capacidade

A guia Conjuntos de regras na página Detecções selecionadas mostra uma coluna Capacidade e um botão Capacidade de detecções selecionadas (canto superior direito).

O valor de capacidade de um conjunto de regras representa a capacidade total dele. A capacidade máxima do conjunto de regras é atingida se ele estiver ativado. Um conjunto de regras é considerado ativado quando as regras precisas, amplas ou ambas estão ativadas. Quando a capacidade de um conjunto de regras é atingida, ela é contabilizada na capacidade de regras do Google SecOps para a conta do Google SecOps. Por exemplo, se a capacidade de 8 do conjunto de regras A e a capacidade de 7 do conjunto de regras B forem atingidas, 15 serão contabilizados para a capacidade total de regras do Google SecOps. Se a capacidade de regras do Google SecOps for 150, a capacidade do conjunto de regras será 15/150. Para conferir a capacidade de regras do Google SecOps da conta, clique no botão de status Capacidade de detecções selecionadas. Quando a capacidade de regras do Google SecOps é atingida, não é possível ativar outros grupos de regras.

Verificar a capacidade antes de ativar todos os conjuntos de regras

É possível ativar todas as regras em todos os conjuntos de regras. No entanto, essa ação exige que sua conta tenha uma capacidade de detecção selecionada que permita ativar todos os conjuntos de regras da conta. Para mais detalhes sobre como conferir as capacidades de todos os conjuntos de regras e garantir que a capacidade total combinada deles, quando ativada, não exceda a capacidade total disponível de regras do Google SecOps, confira os detalhes da capacidade.

Para ativar todos os conjuntos de regras:

  1. Clique no menu suspenso Ações rápidas.

  2. Selecione Definir as configurações recomendadas de regras.

  3. Clique em Ativar todas as regras em todos os conjuntos de regras.

  4. Confirme o uso da capacidade: em Regras e detecções > Painel de regras, clique em Capacidade de regras (canto superior direito).

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.