Esta página foi traduzida pela API Cloud Translation.

Configurar o estouro de alertas

Compatível com:

SecOps do Google SOAR

O mecanismo de estouro de alertas foi projetado para evitar o estouro do sistema e melhorar a redução de ruído quando grandes volumes de alertas do mesmo ambiente, produto e regra ocorrem em um curto período. Esse mecanismo ajuda a evitar que ataques repetitivos, como força bruta ou DDoS, inundem a plataforma e o banco de dados, garantindo que o SOC continue funcionando conforme planejado.

O mecanismo de agrupamento de alertas agrupa de forma inteligente os alertas em casos com base em entidades mútuas e proximidade temporal, permitindo que os analistas façam uma análise contextual de vários alertas em um caso.
Nesses casos, você vai encontrar vários alertas em um só caso e entidades mútuas marcadas na lista de entidades e na página do Explorer.

Configuração do menu flutuante

Há duas configurações distintas para o mecanismo de estouro:

Configuração inicial de estouro: essa configuração é codificada no banco de dados e define as condições de acionamento. O mecanismo é ativado quando mais de 50 alertas semelhantes são ingeridos em um período de 10 minutos. Isso é determinado pelo método Is_Overflow, que é configurado no lado do conector (adicionado ao código do conector no ambiente de desenvolvimento integrado, IDE). Quando acionado, o sistema adiciona um caso de overflow à fila. Esse caso contém um alerta indicando o ambiente, o produto e a regra do alerta de estouro, além de uma tag de estouro.
Segunda configuração de estouro: define o comportamento do sistema depois que o mecanismo de estouro é acionado. Você pode definir isso em Configurações do SOAR > Avançado > Agrupamento de alertas na seção Excesso.

Período para agrupamento de casos de sobrecarga (em horas): escolha o número de horas em que os alertas de sobrecarga serão agrupados para o caso. Isso só é aplicado a regras agrupadas apenas por entidades.
Máximo de alertas agrupados em um caso de sobrecarga:defina o número máximo de alertas de sobrecarga a serem agrupados em um caso.

Por exemplo, se 50 alertas de phishing forem ingeridos em 8 minutos, o 51º alerta acionará o mecanismo de estouro, e um caso de estouro será criado. Nas três horas seguintes, mais 119 alertas de phishing são ingeridos, resultando em quatro casos de estouro, cada um contendo 30 alertas. Depois que as três horas expiram, o sistema volta à configuração padrão.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.