Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare l'overflow degli avvisi

Supportato in:

Google secops SOAR

Il meccanismo di overflow degli avvisi è progettato per impedire l'overflow del sistema e migliorare la riduzione del rumore quando si verificano grandi volumi di avvisi dallo stesso ambiente, prodotto e regola in un breve periodo di tempo. Questo meccanismo aiuta a evitare che attacchi ripetitivi, come attacchi di forza bruta o DDoS, inondino la piattaforma e il database, garantendo al contempo che il SOC continui a funzionare come previsto.

Il meccanismo di raggruppamento degli avvisi raggruppa in modo intelligente gli avvisi in casi in base a entità reciproche e prossimità temporale, consentendo agli analisti di eseguire un'analisi contestuale di più avvisi in un unico caso.
In questi casi, vedrai più avvisi in un unico caso e le entità reciproche contrassegnate nell'elenco delle entità e nella pagina Explorer.

Configurazione del menu extra

Esistono due configurazioni distinte per il meccanismo di overflow:

Configurazione iniziale dell'overflow: questa configurazione è codificata nel database e definisce le condizioni di attivazione. Il meccanismo si attiva quando vengono inseriti più di 50 avvisi simili in un intervallo di tempo di 10 minuti. Ciò è determinato dal metodo Is_Overflow, configurato sul lato del connettore (aggiunto al codice del connettore nell'ambiente di sviluppo integrato (IDE). Una volta attivato, il sistema aggiunge una richiesta di overflow alla coda delle richieste. Questo caso contiene un avviso che indica l'ambiente, il prodotto e la regola dell'avviso di overflow, insieme a un tag di overflow.
Configurazione del secondo overflow: questa configurazione definisce il comportamento del sistema dopo l'attivazione del meccanismo di overflow. Puoi definirlo in Impostazioni SOAR > Avanzate > Raggruppamento avvisi nella sezione Overflow.

Periodo di tempo per il raggruppamento delle richieste di overflow (in ore): scegli il numero di ore in cui raggruppare gli avvisi di overflow per la richiesta. Questo viene applicato solo alle regole raggruppate esclusivamente per entità.
Numero massimo di avvisi raggruppati in una richiesta di overflow: definisci il numero massimo di avvisi di overflow da raggruppare in una richiesta.

Ad esempio, se vengono inseriti 50 avvisi di phishing entro 8 minuti, il 51° avviso attiva il meccanismo di overflow e viene creata una richiesta di overflow. Nelle tre ore successive vengono inseriti altri 119 avvisi di phishing, con conseguenti quattro casi di overflow, ciascuno contenente 30 avvisi. Una volta scadute le tre ore, il sistema torna alla configurazione predefinita.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.