Capacidade de regras do Google SecOps

Compatível com:

Visão geral

As regras do Google Security Operations (também chamadas de detecções selecionadas) são conjuntos de regras criados pela Google Cloud inteligência contra ameaças (GCTI, na sigla em inglês) e usados pelos clientes do Google SecOps. A capacidade de regras do Google SecOps limita quantos conjuntos de regras podem ser ativados em um determinado momento em uma conta do Google SecOps.

Cada conjunto de regras tem um valor de capacidade atribuído. Quando qualquer regra (precisa, ampla ou ambas) é ativada em um conjunto, a capacidade total dele é atingida e contada para a capacidade das regras do Google SecOps. Não é possível ativar outros conjuntos de regras quando uma conta atinge a capacidade de regras do Google SecOps. A capacidade padrão das regras do Google SecOps para uma conta do Google SecOps é de 150.

A capacidade da regra do Google SecOps não é uma contagem, mas o peso atribuído a um conjunto de regras. O peso de um conjunto de regras é baseado na complexidade dele. Conjuntos de regras mais complexos têm um peso maior. O peso de um conjunto de regras também é afetado pelo número de eventos que ele processa. Os conjuntos de regras que processam mais eventos têm um peso maior.

A soma dos pesos precisa ser menor que 150. Não é possível ativar um conjunto de regras que faz com que a soma dos conjuntos ativados exceda 150. Para conferir o peso de cada conjunto de regras no console, acesse Detection > Rules & Detections.

Se você exceder a capacidade de regras selecionadas, poderá continuar executando as regras atuais, mas não será possível criar novas. Se você quiser uma capacidade maior, entre em contato com a equipe de conta do Google SecOps.

Conferir detalhes da capacidade

A guia Conjuntos de regras na página Deteções selecionadas mostra uma coluna Capacidade e um botão Capacidade de detecções selecionadas (canto superior direito).

O valor de capacidade de um conjunto de regras representa a capacidade total dele. A capacidade máxima do conjunto de regras é atingida se ele estiver ativado. Um conjunto de regras é considerado ativado quando as regras precisas, amplas ou ambos estão ativados. Quando a capacidade de um conjunto de regras é atendida, ela é contabilizada na capacidade de regras do Google SecOps para a conta do Google SecOps. Por exemplo, se a capacidade de 8 do conjunto de regras A for atendida e a capacidade de 7 do conjunto de regras B for atendida, 15 será contabilizada para a capacidade total das regras do Google SecOps. Se a capacidade das regras do Google SecOps for 150, a capacidade do conjunto de regras será 15/150. Para conferir a capacidade das regras do Google SecOps para a conta, clique no botão de status Capacidade de detecções selecionadas. Quando a capacidade de regras do Google SecOps é atingida, não é possível ativar outros conjuntos de regras.

Verificar a capacidade antes de ativar todos os conjuntos de regras

É possível ativar todas as regras em todos os conjuntos de regras. No entanto, essa ação exige que sua conta tenha uma capacidade de detecção selecionada que ofereça suporte à ativação de todos os conjuntos de regras da sua conta. Para saber como conferir as capacidades de todos os conjuntos de regras e garantir que a capacidade total combinada deles, quando ativada, não exceda a capacidade total disponível de regras do Google SecOps, acesse os detalhes da capacidade.

Para ativar todos os conjuntos de regras:

  1. Clique no menu suspenso Ações rápidas.

  2. Selecione Configurar as configurações recomendadas de regras.

  3. Clique em Ativar todas as regras em todos os conjuntos de regras.

  4. Confirme o uso da capacidade: em Regras e detecções > Painel de regras, clique em Capacidade de regras (canto superior direito).

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.