Esta página se ha traducido con Cloud Translation API.

Configurar el desbordamiento de alertas

Disponible en:

SecOps de Google SOAR

El mecanismo de desbordamiento de alertas se ha diseñado para evitar el desbordamiento del sistema y mejorar la reducción del ruido cuando se producen grandes volúmenes de alertas del mismo entorno, producto y regla en un breve periodo de tiempo. Este mecanismo ayuda a evitar que ataques repetitivos, como los de fuerza bruta o DDoS, inunden la plataforma y la base de datos, al tiempo que asegura que el SOC siga funcionando según lo previsto.

El mecanismo de agrupación de alertas agrupa de forma inteligente las alertas en casos en función de las entidades mutuas y la proximidad temporal, lo que permite a los analistas realizar un análisis contextual de varias alertas en un solo caso.
En estos casos, verá varias alertas en un caso y entidades mutuas marcadas en la lista de entidades y en la página Explorador.

Configuración de desbordamiento

Hay dos configuraciones distintas para el mecanismo de desbordamiento:

Configuración inicial de desbordamiento: esta configuración está predefinida en la base de datos y define las condiciones de activación. El mecanismo se activa cuando se ingieren más de 50 alertas similares en un periodo de 10 minutos. Esto se determina mediante el método Is_Overflow, que se configura en el lado del conector (se añade al código del conector en el entorno de desarrollo integrado [IDE]). Una vez activado, el sistema añade un caso de desbordamiento a la cola de casos. En este caso, se muestra una alerta que indica el entorno, el producto y la regla de la alerta de desbordamiento, junto con una etiqueta de desbordamiento.
Segunda configuración de desbordamiento: esta configuración define el comportamiento del sistema después de que se active el mecanismo de desbordamiento. Puedes definirlo en Configuración de SOAR > Avanzado > Agrupación de alertas en la sección Desbordamiento.

Franja horaria para agrupar casos de desbordamiento (en horas): elige el número de horas en las que se agruparán las alertas de desbordamiento del caso. Esto solo se aplica a las reglas agrupadas únicamente por entidades.
Número máximo de alertas agrupadas en un caso de desbordamiento: define el número máximo de alertas de desbordamiento que se agruparán en un caso.

Por ejemplo, si se ingieren 50 alertas de phishing en 8 minutos, la alerta número 51 activará el mecanismo de desbordamiento y se creará un caso de desbordamiento. Durante las tres horas siguientes, se ingieren otras 119 alertas de phishing, lo que da lugar a cuatro casos de desbordamiento, cada uno de los cuales contiene 30 alertas. Una vez que hayan transcurrido las tres horas, el sistema volverá a la configuración predeterminada.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.