Se usó la API de Cloud Translation para traducir esta página.

Configura el desbordamiento de alertas

Compatible con:

Google SecOps SOAR

El mecanismo de desbordamiento de alertas está diseñado para evitar el desbordamiento del sistema y mejorar la reducción del ruido cuando se producen grandes volúmenes de alertas del mismo entorno, producto y regla en un corto período. Este mecanismo ayuda a evitar que los ataques repetitivos, como los de fuerza bruta o DSD, inunden la plataforma y la base de datos, a la vez que garantiza que el SOC siga funcionando según lo previsto.

El mecanismo de agrupación de alertas agrupa de forma inteligente las alertas en casos según las entidades mutuas y la proximidad temporal, lo que permite a los analistas realizar un análisis contextual de varias alertas en un caso.
En estos casos, verás varias alertas en un caso y entidades mutuas marcadas en la lista de entidades y en la página del Explorador.

Configuración de desbordamiento

Existen dos configuraciones distintas para el mecanismo de desbordamiento:

Configuración inicial de desbordamiento: Esta configuración está codificada de forma rígida en la base de datos y define las condiciones de activación. El mecanismo se activa cuando se incorporan más de 50 alertas similares en un período de 10 minutos. Esto se determina con el método Is_Overflow, que se configura del lado del conector (se agrega al código del conector en el entorno de desarrollo integrado [IDE]). Una vez que se activa, el sistema agrega un caso de desbordamiento a la cola de casos. Este caso contiene una alerta que indica el entorno, el producto y la regla de la alerta desbordada, junto con una etiqueta de desbordamiento.
Segunda configuración de desbordamiento: Esta configuración define el comportamiento del sistema después de que se activa el mecanismo de desbordamiento. Puedes definir este parámetro en Configuración de SOAR > Avanzado > Agrupación de alertas en la sección Desbordamiento.

Período para el agrupamiento del caso de desbordamiento (en horas): Elige la cantidad de horas en las que se agruparán las alertas de desbordamiento para el caso. Esto solo se aplica a las reglas agrupadas únicamente por entidades.
Cantidad máx. de alertas agrupadas en un caso de desbordamiento: Define la cantidad máxima de alertas de desbordamiento que se agruparán en un caso.

Por ejemplo, si se incorporan 50 alertas de phishing en un plazo de 8 minutos, la alerta número 51 activa el mecanismo de desbordamiento y se crea un caso de desbordamiento. En las siguientes tres horas, se incorporan otras 119 alertas de phishing, lo que genera cuatro casos de desbordamiento, cada uno con 30 alertas. Una vez que transcurren las tres horas, el sistema vuelve a la configuración predeterminada.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.