アラートのオーバーフローを構成する

アラートのオーバーフロー メカニズムは、同じ環境、プロダクト、ルールからの大量のアラートが短期間に発生している場合に、システムのオーバーフローを防ぎ、ノイズ低減を改善するように設計されています。このメカニズムにより、ブルート フォースや DDoS などの繰り返し攻撃によってプラットフォームとデータベースがあふれないようにし、SOC が計画どおりに機能し続けるようにします。

アラート グループ化メカニズムは、相互エンティティと時間的近接性に基づいてアラートをケースにインテリジェントにグループ化します。これにより、アナリストは 1 つのケースで複数のアラートのコンテキスト分析を実行できます。
この場合、1 つのケースで複数のアラートが表示され、エンティティ リストと [エクスプローラ] ページに相互エンティティとしてマークされます。

オーバーフロー構成

オーバーフロー メカニズムには、次の 2 つの異なる構成があります。

• 初期オーバーフロー構成: この構成はデータベースにハードコードされ、トリガー条件を定義します。このメカニズムは、10 分以内に 50 を超える類似アラートが取り込まれると有効になります。これは、コネクタ側で構成される Is_Overflow メソッドによって決定されます（統合開発環境（IDE）のコネクタコードに追加されます）。トリガーされると、オーバーフローするケースがケースキューに追加されます。このケースには、オーバーフローするアラートの環境、プロダクト、ルールを示す 1 つのアラートとオーバーフロー タグが含まれています。
• 2 番目のオーバーフロー構成: この構成では、オーバーフロー メカニズムがトリガーされた後のシステムの動作を定義します。これは、[オーバーフロー] セクションの [SOAR 設定] > [詳細] > [アラート グループ]で定義できます。
• オーバーフロー ケースのグループ化の時間（時間単位）: ケースのオーバーフロー アラートをグループ化する時間数を選択します。これは、エンティティのみでグループ化されたルールにのみ適用されます。
• オーバーフロー ケースにグループ化されたアラートの最大数: 1 つのケースにグループ化するオーバーフロー アラートの最大数を定義します。
  
  たとえば、8 分以内に 50 件のフィッシング アラートが取り込まれた場合、51 件目のアラートでオーバーフロー メカニズムがトリガーされ、オーバーフロー ケースが作成されます。次の 3 時間に 119 件のフィッシング アラートが取り込まれ、それぞれ 30 件のアラートを含む 4 つのオーバーフロー ケースが発生します。3 時間が経過すると、システムはデフォルトの構成に戻ります。