Google SecOps 规则容量

概览

Google Security Operations 规则（也称为精选检测）是由 Google Cloud 威胁情报 (GCTI) 创建的规则集，供 Google SecOps 客户使用。Google SecOps 规则容量限制了 Google SecOps 账号中可在任何给定时间启用的规则集数量。

每个规则集都有分配的容量值。为规则集启用任何规则（精确规则、宽泛规则或两者兼有）后，该规则集的容量便会用尽，并计入 Google SecOps 规则容量。如果账号已达到 Google SecOps 规则容量上限，则无法启用其他规则集。Google SecOps 账号的默认 Google SecOps 规则容量为 150 个。

Google SecOps 规则容量不是计数，而是分配给规则集的权重。规则集的权重取决于其复杂性。规则集越复杂，权重就越高。规则集的权重还受规则集处理的事件数量的影响。处理更多事件的规则集的权重更高。

权重的总和必须小于 150。您不能启用会导致启用集总数超过 150 的规则集。如需查看控制台中每个规则集的权重，请依次前往检测 > 规则和检测。

如果您超出精选规则的容量上限，则可以继续运行现有规则，但无法创建新规则。如果您需要更大的容量，请与您的 Google SecOps 客户支持团队联系。

查看容量详情

精选检测页面上的规则集标签页会显示容量列和精选检测容量按钮（位于右上角）。

规则集的容量值表示规则集的总容量。如果规则集已启用，则该规则集的容量已满。当规则集的精确规则或宽泛规则（或两者）处于启用状态时，该规则集即被视为处于启用状态。当规则集的容量用尽时，该容量会计入 Google SecOps 账号的 Google SecOps 规则容量。例如，如果规则集 A 的容量为 8，规则集 B 的容量为 7，则 Google SecOps 规则总容量为 15。如果 Google SecOps 规则容量为 150，则规则集容量为 15/150。如需查看账号的 Google SecOps 规则容量，请点击精选检测容量状态按钮。达到 Google SecOps 规则容量上限后，您将无法再启用其他规则集。

在启用所有规则集之前，请检查容量

您可以启用所有规则集中的所有规则。不过，执行此操作需要您的账号具有经过人工审核的检测功能，且支持启用您账号的所有规则集。如需详细了解如何查看所有规则集的容量，以确保启用后它们的总容量不会超过可用的 Google SecOps 规则总容量，请查看容量详情。

如需启用所有规则集，请执行以下操作：

1. 点击快捷操作下拉菜单。

2. 选择完成建议的规则设置。

3. 点击启用所有规则集的所有规则。

4. 确认您的容量用量：依次点击规则和检测 > 规则信息中心，然后点击右上角的规则容量。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。