알림 오버플로 구성

알림 오버플로 메커니즘은 동일한 환경, 제품, 규칙에서 많은 양의 알림이 짧은 시간 내에 발생하는 경우 시스템 오버플로를 방지하고 노이즈 감소를 개선하도록 설계되었습니다. 이 메커니즘은 SOC가 계획대로 계속 작동하도록 하면서 무차별 대입 공격이나 DDoS와 같은 반복적인 공격으로 인해 플랫폼과 데이터베이스가 넘쳐나는 것을 방지합니다.

알림 그룹화 메커니즘은 상호 엔티티와 시간 근접성을 기반으로 알림을 케이스로 지능적으로 그룹화하므로 분석가는 하나의 케이스에서 여러 알림의 컨텍스트 분석을 수행할 수 있습니다.
이 경우 하나의 케이스에 여러 알림이 표시되고, 상호 엔티티가 엔티티 목록과 탐색기 페이지에 표시됩니다.

오버플로 구성

오버플로 메커니즘에는 두 가지 구성이 있습니다.

• 초기 오버플로 구성: 이 구성은 데이터베이스에 하드 코딩되어 있으며 트리거 조건을 정의합니다. 이 메커니즘은 10분 이내에 50개가 넘는 유사한 알림이 수집될 때 활성화됩니다. 이는 커넥터 측에서 구성되는 Is_Overflow 메서드에 의해 결정됩니다 (통합 개발 환경 (IDE)의 커넥터 코드에 추가됨). 트리거되면 시스템에서 오버플로 케이스를 케이스 대기열에 추가합니다. 이 케이스에는 오버플로 알림의 환경, 제품, 규칙을 나타내는 알림 하나와 오버플로 태그가 포함되어 있습니다.
• 두 번째 오버플로 구성: 이 구성은 오버플로 메커니즘이 트리거된 후 시스템의 동작을 정의합니다. 이 설정은 오버플로 섹션의 SOAR 설정 > 고급 > 알림 그룹화에서 정의할 수 있습니다.
• 오버플로 케이스 그룹화 기간 (단위: 시간): 케이스의 오버플로 알림을 그룹화할 시간 수를 선택합니다. 이는 항목별로만 그룹화된 규칙에만 적용됩니다.
• 오버플로 케이스로 그룹화되는 최대 알림 수: 하나의 케이스로 그룹화할 오버플로 알림의 최대 수를 정의합니다.
  
  예를 들어 8분 이내에 피싱 알림 50개가 수집되면 51번째 알림이 오버플로 메커니즘을 트리거하고 오버플로 케이스가 생성됩니다. 다음 3시간 동안 119개의 피싱 알림이 추가로 수집되어 각각 30개의 알림이 포함된 오버플로 케이스가 4개 생성됩니다. 3시간이 지나면 시스템이 기본 구성으로 돌아갑니다.