Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi overflow pemberitahuan

Didukung di:

Google secops SOAR

Mekanisme peluapan pemberitahuan dirancang untuk mencegah peluapan sistem dan meningkatkan pengurangan derau saat volume pemberitahuan yang besar dari lingkungan, produk, dan aturan yang sama terjadi dalam waktu singkat. Mekanisme ini membantu menghindari serangan berulang, seperti brute force atau DDoS, yang membanjiri platform dan database, sekaligus memastikan SOC terus berfungsi sesuai rencana.

Mekanisme pengelompokan pemberitahuan secara cerdas mengelompokkan pemberitahuan ke dalam kasus berdasarkan entitas bersama dan kedekatan waktu, sehingga memungkinkan analis melakukan analisis kontekstual terhadap beberapa pemberitahuan dalam satu kasus.
Dalam kasus ini, Anda akan melihat beberapa pemberitahuan dalam satu kasus, dan entitas bersama ditandai dalam daftar entitas dan halaman Penjelajah.

Konfigurasi luapan

Ada dua konfigurasi berbeda untuk mekanisme peluapan:

Konfigurasi peluapan awal: Konfigurasi ini di-hardcode di database dan menentukan kondisi pemicu. Mekanisme ini diaktifkan saat lebih dari 50 pemberitahuan serupa dimasukkan dalam jangka waktu 10 menit. Hal ini ditentukan oleh metode Is_Overflow, yang dikonfigurasi di sisi konektor (ditambahkan ke kode konektor di Lingkungan Pengembangan Terpadu (IDE). Setelah dipicu, sistem akan menambahkan kasus overflow ke antrean kasus. Kasus ini berisi satu pemberitahuan yang menunjukkan lingkungan, produk, dan aturan pemberitahuan yang meluap, beserta tag luapan.
Konfigurasi overflow kedua: Konfigurasi ini menentukan perilaku sistem setelah mekanisme overflow dipicu. Anda dapat menentukannya di Setelan SOAR > Lanjutan > Pengelompokan Notifikasi di bagian Overflow.

Jangka waktu untuk pengelompokan Kasus Overflow (dalam jam): Pilih jumlah jam untuk mengelompokkan pemberitahuan overflow untuk kasus tersebut. Hal ini hanya diterapkan pada aturan yang dikelompokkan hanya berdasarkan entitas.
Jumlah maksimum pemberitahuan yang dikelompokkan ke dalam Kasus Overflow: Tentukan jumlah maksimum pemberitahuan overflow yang akan dikelompokkan menjadi satu kasus.

Misalnya, jika 50 pemberitahuan phishing dimasukkan dalam waktu 8 menit, pemberitahuan ke-51 akan memicu mekanisme overflow, dan kasus overflow akan dibuat. Selama tiga jam berikutnya, 119 peringatan phishing lainnya dimasukkan, sehingga menghasilkan empat kasus overflow, yang masing-masing berisi 30 peringatan. Setelah tiga jam berakhir, sistem akan kembali ke konfigurasi default.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.