Esta página foi traduzida pela API Cloud Translation.

Configure a capacidade excedida de alertas

Compatível com:

Google secops SOAR

O mecanismo de overflow de alertas foi concebido para evitar o overflow do sistema e melhorar a redução de ruído quando ocorrem grandes volumes de alertas do mesmo ambiente, produto e regra num curto período de tempo. Este mecanismo ajuda a evitar ataques repetitivos, como força bruta ou DDoS, que inundam a plataforma e a base de dados, ao mesmo tempo que garante que o SOC continua a funcionar conforme planeado.

O mecanismo de agrupamento de alertas agrupa de forma inteligente os alertas em casos com base em entidades mútuas e proximidade temporal, o que permite aos analistas realizar uma análise contextual de vários alertas num caso.
Nestes casos, vê vários alertas num único caso e entidades mútuas marcadas na lista de entidades e na página do Explorador.

Configuração de capacidade excedida

Existem duas configurações distintas para o mecanismo de overflow:

Configuração de overflow inicial: esta configuração está codificada na base de dados e define as condições do acionador. O mecanismo é ativado quando são carregados mais de 50 alertas semelhantes num período de 10 minutos. Isto é determinado pelo método Is_Overflow, que é configurado no lado do conetor (adicionado ao código do conetor no ambiente de programação integrado [IDE]). Quando acionado, o sistema adiciona um registo de overflow à fila de registos. Este registo contém um alerta que indica o ambiente, o produto e a regra do alerta de overflow, juntamente com uma etiqueta de overflow.
Segunda configuração de capacidade excedida: esta configuração define o comportamento do sistema após o acionamento do mecanismo de capacidade excedida. Pode definir esta opção em Definições de SOAR > Avançadas > Agrupamento de alertas na secção Overflow.

Intervalo de tempo para o agrupamento de casos de overflow (em horas): escolha o número de horas no qual agrupar os alertas de overflow para o registo. Esta opção só é aplicada a regras agrupadas exclusivamente por entidades.
Máximo de alertas agrupados num caso de overflow: defina o número máximo de alertas de overflow a agrupar num único caso.

Por exemplo, se forem carregados 50 alertas de phishing no prazo de 8 minutos, o 51.º alerta aciona o mecanismo de overflow e é criado um registo de overflow. Nas três horas seguintes, são carregados mais 119 alertas de phishing, o que resulta em quatro casos de overflow, cada um com 30 alertas. Quando as três horas expiram, o sistema volta à configuração predefinida.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.