Cette page a été traduite par l'API Cloud Translation.

Configurer le dépassement d'alerte

Compatible avec :

Google SecOps SOAR

Le mécanisme de dépassement d'alerte est conçu pour éviter le dépassement de capacité du système et améliorer la réduction du bruit lorsque de grands volumes d'alertes provenant du même environnement, produit et règle se produisent sur une courte période. Ce mécanisme permet d'éviter que des attaques répétitives, telles que les attaques par force brute ou DDoS, n'inondent la plate-forme et la base de données, tout en veillant à ce que le SOC continue de fonctionner comme prévu.

Le mécanisme de regroupement des alertes regroupe intelligemment les alertes dans des demandes en fonction des entités mutuelles et de la proximité temporelle, ce qui permet aux analystes d'effectuer une analyse contextuelle de plusieurs alertes dans une seule demande.
Dans ce cas, plusieurs alertes s'affichent dans un même cas, et les entités mutuelles sont indiquées dans la liste des entités et sur la page Explorateur.

Configuration du menu à développer

Il existe deux configurations distinctes pour le mécanisme de dépassement :

Configuration initiale du débordement : cette configuration est codée en dur dans la base de données et définit les conditions de déclenchement. Le mécanisme s'active lorsque plus de 50 alertes similaires sont ingérées dans un délai de 10 minutes. Cela est déterminé par la méthode Is_Overflow, qui est configurée côté connecteur (ajoutée au code du connecteur dans l'environnement de développement intégré (IDE)). Une fois déclenché, le système ajoute une demande de dépassement à la file d'attente des demandes. Cette fiche contient une alerte indiquant l'environnement, le produit et la règle de l'alerte de dépassement, ainsi qu'un tag de dépassement.
Configuration du deuxième débordement : cette configuration définit le comportement du système après le déclenchement du mécanisme de débordement. Vous pouvez définir ce paramètre dans Paramètres SOAR> Avancé> Regroupement des alertes dans la section Dépassement.

Délai de regroupement des cas de débordement (en heures) : choisissez le nombre d'heures pendant lesquelles regrouper les alertes de débordement pour la demande. Cela ne s'applique qu'aux règles regroupées uniquement par entités.
Nombre maximal d'alertes regroupées dans un cas de débordement : définissez le nombre maximal d'alertes de débordement à regrouper dans un même cas.

Par exemple, si 50 alertes de phishing sont ingérées en 8 minutes, la 51e alerte déclenche le mécanisme de dépassement et un cas de dépassement est créé. Au cours des trois heures suivantes, 119 autres alertes de phishing sont ingérées, ce qui entraîne quatre cas de dépassement, chacun contenant 30 alertes. Une fois les trois heures écoulées, le système revient à la configuration par défaut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.