設定快訊溢位

如果短時間內從相同環境、產品和規則產生大量快訊，快訊溢位機制會防止系統溢位，並減少干擾。這項機制有助於避免重複攻擊 (例如暴力破解或 DDoS) 淹沒平台和資料庫，同時確保 SOC 繼續依計畫運作。

警示分組機制會根據共同實體和時間鄰近性，將警示智慧分組為案件，讓分析師在一個案件中對多個警示執行情境分析。
在這些情況下，一個案件會有多個快訊，且實體清單和「探索」頁面中會標示出相互實體。

溢位設定

溢位機制有兩種不同的設定：

• 初始溢位設定：這項設定會在資料庫中硬式編碼，並定義觸發條件。如果系統在 10 分鐘內收到超過 50 個類似快訊，就會啟動這項機制。這取決於 Is_Overflow 方法，該方法是在連接器端設定 (新增至整合開發環境 (IDE) 中的連接器程式碼)。觸發後，系統會將溢位案件新增至案件佇列。這個案例包含一則快訊，指出溢位快訊的環境、產品和規則，以及溢位標記。
• 第二次溢位設定：這項設定會定義系統在溢位機制觸發「後」的行為。您可以在「溢位」部分的「SOAR 設定」>「進階」>「快訊分組」中定義這項設定。
• 溢位案件分組時間範圍 (小時)：選擇要將案件的溢位警告分組的時間範圍 (以小時為單位)。這項設定只會套用至僅依實體分組的規則。
• 能分組至單一溢位案件的最大警告數：定義要分組至單一案件的溢位警告數量上限。
  
  舉例來說，如果系統在 8 分鐘內擷取 50 則網路釣魚警示，第 51 則警示就會觸發溢位機制，並建立溢位案件。 接下來三小時內，系統又擷取了 119 則網路釣魚快訊，因此產生四個溢位案件，每個案件包含 30 則快訊。三小時過後，系統會恢復預設設定。