実行頻度を設定する
以下でサポートされています。
Google SecOps
SIEM
ルールの実行頻度は、各ルールの検出が見つかったときのレイテンシに影響します。実行頻度が高いほど、イベントが発生してからイベントの検出が処理されるまでの時間が長くなります。詳細については、検出レイテンシをご覧ください。
ルールの実行頻度を指定する手順は次のとおりです。
ルール ダッシュボードに移動します。
ルールのオプション メニューを開きます。
[実行頻度] をクリックします。
[実行頻度] のいずれかの値を選択します。
- 準リアルタイム: 単一イベントルールは、ストリーミング方式でデータに対して実行できます。検出エンジンは、データが処理されるとすぐにルールを実行します。
- 10 分: 複数イベント ルールの場合、検出をできるだけ行う検出する場合は、この頻度を選択します。
- 1 時間: 通常の検出レイテンシの対象となった 1 ~ 2 時間後に検出の処理を開始します。
- 24 時間: 通常の検出レイテンシの対象となった 24 時間後に検出の処理を開始します。
マルチイベント ルールの実行頻度は、ルールの照合ウィンドウに基づいて自動的に設定されます。
- ウィンドウ サイズが 1 ~ 48 時間の場合、実行頻度は 1 時間です。
- ウィンドウ サイズが 48 時間を超える場合、実行頻度は 24 時間です。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。