実行頻度を設定する

ルールの実行頻度は、各ルールの検出が見つかったときのレイテンシに影響します。実行頻度が高いほど、イベントが発生してからイベントの検出が処理されるまでの時間が長くなります。詳細については、検出レイテンシをご覧ください。

ルールの実行頻度を指定する手順は次のとおりです。

1. ルール ダッシュボードに移動します。

2. ルールのオプション メニューを開きます。

3. [実行頻度] をクリックします。

4. [実行頻度] の値のいずれかを選択します。

   • 準リアルタイム: 単一イベントルールは、ストリーミング方式でデータに対して実行できます。検出エンジンは、データが処理されるとすぐにルールを実行します。
   • 10 分: 複数イベント ルールの場合、検出をできるだけ行う検出する場合は、この頻度を選択します。
   • 1 時間: 通常の検出レイテンシの対象となった 1 ～ 2 時間後に検出の処理を開始します。
   • 24 時間: 通常の検出レイテンシの対象となった 24 時間後に検出の処理を開始します。

   ウィンドウ サイズが 1 時間以上のマルチイベント ルールは、1 時間および 24 時間の実行頻度に制限されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。