Diese Seite wurde von der Cloud Translation API übersetzt.

Benachrichtigungsüberlauf konfigurieren

Unterstützt in:

Google SecOps SOAR

Der Mechanismus für Benachrichtigungsüberlauf soll Systemüberläufe verhindern und die Rauschunterdrückung verbessern, wenn in kurzer Zeit eine große Anzahl von Benachrichtigungen aus derselben Umgebung, demselben Produkt und derselben Regel eingeht. Dieser Mechanismus trägt dazu bei, dass die Plattform und die Datenbank nicht durch wiederholte Angriffe wie Brute-Force- oder DDoS-Angriffe überlastet werden, und sorgt dafür, dass das SOC weiterhin wie geplant funktioniert.

Der Mechanismus zur Gruppierung von Benachrichtigungen gruppiert Benachrichtigungen intelligent in Fällen basierend auf gemeinsamen Entitäten und zeitlicher Nähe. So können Analysten eine kontextbezogene Analyse mehrerer Benachrichtigungen in einem Fall durchführen.
In diesen Fällen sehen Sie mehrere Benachrichtigungen in einem Fall und gemeinsame Entitäten, die in der Entitätenliste und auf der Seite Explorer markiert sind.

Überlaufkonfiguration

Es gibt zwei verschiedene Konfigurationen für den Überlaufmechanismus:

Erste Overflow-Konfiguration: Diese Konfiguration ist in der Datenbank fest codiert und definiert die Triggerbedingungen. Der Mechanismus wird aktiviert, wenn innerhalb von 10 Minuten mehr als 50 ähnliche Benachrichtigungen eingehen. Dies wird durch die Methode Is_Overflow bestimmt, die auf der Connector-Seite konfiguriert wird (dem Connector-Code in der integrierten Entwicklungsumgebung (IDE) hinzugefügt). Wenn das System ausgelöst wird, wird der Fall der Fallwarteschlange hinzugefügt. Dieser Fall enthält eine Benachrichtigung, die die Umgebung, das Produkt und die Regel der Überlaufbenachrichtigung angibt, sowie ein Überlauftag.
Zweite Overflow-Konfiguration: Diese Konfiguration definiert das Verhalten des Systems nachdem der Overflow-Mechanismus ausgelöst wurde. Sie können diese Einstellung im Bereich Überlauf unter SOAR-Einstellungen> „Erweitert“ > „Benachrichtigungsgruppierung“ festlegen.

Zeitraum für die Gruppierung von Überlauf-Fällen (in Stunden): Wählen Sie die Anzahl der Stunden aus, in denen die Überlauf-Benachrichtigungen für den Fall gruppiert werden sollen. Dies wird nur auf Regeln angewendet, die ausschließlich nach Einheiten gruppiert sind.
Max. Anzahl an Benachrichtigungen, die in einen Überlauf-Fall gruppiert sind:Legen Sie die maximale Anzahl an Überlaufbenachrichtigungen fest, die in einem Fall gruppiert werden sollen.

Wenn beispielsweise innerhalb von 8 Minuten 50 Phishing-Benachrichtigungen eingehen, löst die 51. Benachrichtigung den Überlaufmechanismus aus und es wird ein Überlauffall erstellt. In den nächsten drei Stunden werden weitere 119 Phishing-Warnungen aufgenommen, was zu vier Überlauf-Fällen mit jeweils 30 Warnungen führt. Nach Ablauf der drei Stunden wird die Standardkonfiguration wiederhergestellt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten