配置提醒溢出

当在短时间内从同一环境、产品和规则中收到大量提醒时，提醒溢出机制旨在防止系统溢出并提高降噪效果。此机制有助于避免暴力破解或 DDoS 攻击等重复攻击使平台和数据库不堪重负，同时确保 SOC 继续按计划运行。

提醒分组机制会根据共同实体和时间邻近性将提醒智能地分组到案例中，以便分析师在一个案例中对多个提醒进行情境分析。
在这种情况下，您会在一个支持请求中看到多条提醒，并且在实体列表和探索页面中看到标记的共同实体。

溢出配置

溢出机制有两种不同的配置：

• 初始溢出配置：此配置在数据库中进行了硬编码，用于定义触发条件。当在 10 分钟内接收到 50 个以上的类似提醒时，该机制会启动。这由 Is_Overflow 方法决定，该方法在连接器端配置（添加到集成式开发环境 (IDE) 中的连接器代码）。触发后，系统会将溢出情况添加到支持请求队列中。此案例包含一个提醒，其中指明了溢出提醒的环境、产品和规则，以及一个溢出标记。
• 第二次溢出配置：此配置定义了在触发溢出机制后系统的行为。您可以在溢出部分的 SOAR 设置 > 高级 > 提醒分组中定义此设置。
• 溢出案例分组的时间范围（以小时为单位）：选择将案例的溢出提醒分组的时间范围（以小时为单位）。此设置仅适用于仅按实体分组的规则。
• 分组到一个溢出案例的提醒数量上限：定义要分组到一个案例中的溢出提醒数量上限。
  
  例如，如果在 8 分钟内接收到 50 个网络钓鱼提醒，第 51 个提醒会触发溢出机制，并创建一个溢出支持请求。 在接下来的 3 小时内，系统又接收了 119 条钓鱼式攻击提醒，导致出现 4 个溢出情况，每个情况包含 30 条提醒。3 小时后，系统会恢复为默认配置。