此页面由 Cloud Translation API 翻译。

Google SecOps 规则容量

支持的语言：

Google SecOps SIEM

概览

Google Security Operations 规则（也称为精选检测）是由 Google Cloud Threat Intelligence (GCTI) 创建的规则集，供 Google SecOps 客户使用。Google SecOps 规则容量限制了 Google SecOps 账号在任意给定时间可以启用的规则集数量。

每个规则集都有一个分配给它的容量值。如果为规则集启用了任何规则（精确规则、宽泛规则或同时启用这两种规则），则该规则集的容量已满，并计入 Google SecOps 规则容量。当账号达到 Google SecOps 规则容量上限时，无法启用其他规则集。Google SecOps 账号的默认 Google SecOps 规则容量为 150。

Google SecOps 规则容量不是数量，而是分配给规则集的权重。规则集的权重取决于其复杂程度。更复杂的规则集的权重更高。规则集的权重还受规则集处理的事件数量的影响。处理的事件越多，规则集的权重就越高。

权重之和必须小于 150。您无法启用会导致已启用规则集的总数超过 150 的规则集。如需在控制台中查看每个规则集的权重，请前往检测 > 规则和检测。

如果您超出精选规则的容量，可以继续运行现有规则，但无法创建新规则。如果您需要更高的容量，请与您的 Google SecOps 客户支持团队联系。

查看容量详情

精选检测页面上的规则集标签页会显示容量列和精选检测容量按钮（右上角）。

规则集的容量值表示该规则集的总容量。如果规则集已启用，则该规则集的容量已满。如果规则集的精确规则、宽泛规则或两者均已启用，则该规则集被视为已启用。当规则集的容量达到上限时，该容量会计入相应 Google SecOps 账号的 Google SecOps 规则容量。例如，如果规则集 A 的容量为 8，且已达到上限；规则集 B 的容量为 7，且已达到上限，则总共会占用 Google SecOps 规则容量的 15。如果 Google SecOps 规则容量为 150，则规则集容量为 15/150。如需查看账号的 Google SecOps 规则容量，请点击精选检测容量状态按钮。达到 Google SecOps 规则容量上限后，便无法再启用其他规则集。

在启用所有规则集之前检查容量

您可以启用所有规则集的所有规则。不过，此操作要求您的账号具有精选的检测能力，支持启用账号的所有规则集。如需详细了解如何查看所有规则集的容量，以确保启用后的总容量不会超过 Google SecOps 规则的总可用容量，请查看容量详细信息。

如需启用所有规则集，请执行以下操作：

点击快捷操作下拉菜单。
选择完成建议的规则设置。
点击启用所有规则集的所有规则。
确认容量使用情况：在规则和检测 > 规则信息中心中，点击右上角的规则容量。