Automatisierte Korrelation
Mithilfe der automatisierten Korrelation können Sie die Beziehungen zwischen erkennbaren Elementen, Indikatoren und Objekten identifizieren.
Beim Korrelationsprozess stellt die Anwendung automatisch die Korrelation zwischen Threat Intelligence-Datensätzen basierend auf vordefinierten Regeln her. Je nach Typ der angewendeten Regel kann die Beziehung eine bestätigte Beziehung oder eine potenzielle Beziehung sein. Wenn die Beziehungen zwischen den Objekten bestätigt werden, werden diese Objekte automatisch in der Detailansicht dieses Objekts im Abschnitt „ Zugehörige Datensätze “ angezeigt.
Im Folgenden werden die Beziehungen und potenziellen Beziehungen beschrieben:
- Beziehungen: Verwenden Sie die Beziehungsobjekte, um zwei erkennbare Elemente oder ein erkennbares Element und SDO miteinander zu verknüpfen und zu erklären, wie sie miteinander in Beziehung stehen.
- Potenzielle Beziehungen: Verwenden Sie die potenziellen Beziehungen, um potenziell mögliche Beziehungen zwischen zwei SDOs, zwei erkennbaren Elementen oder einem erkennbaren Element und SDO mithilfe der automatisierten Korrelation herzustellen.
Im Folgenden finden Sie die vordefinierten Korrelationsregeln, die im Basissystem bereitgestellt werden:
| Regelname | Regelbeschreibung | Regeldefinition | Regelaktion |
|---|---|---|---|
| Erkennbare Elemente mit demselben Datei-Hash | Die Regel vergleicht die Hash-Werte der erkennbaren Elemente (vom gleichen Typ) und erkennt, ob sie denselben Hash verwenden. | Die Regel vergleicht die Hash-Werte (vom gleichen Typ) der -Indikatoren und erkennt, ob sie denselben Hash verwenden. | Erstellt eine Beziehung |
| Erkennbare URL-Elemente mit derselben Domäne | Die Regel untersucht die Gemeinsamkeiten in der Struktur von URLs, um festzustellen, ob sie dieselbe Basisdomäne verwenden. | Die Regel untersucht die Gemeinsamkeiten in der Struktur von URLs. Sie bestimmt, ob sie dieselbe Basisdomäne verwenden und eine ähnliche Unterverzeichnisstruktur aufweisen. | Erstellt eine potenzielle Beziehung |
| Erkennbares Element als Quelle im Netzwerkobjekt gefunden | Die Regel gleicht den Wert des Netzwerkquellattributs mit erkennbaren IPV4-, IPV6- oder Domänennamen-Elementen im System und Links als Quelle des Datenverkehrs ab. | Die Regel gleicht den Attributwert Quelle mit erkennbaren IPV4-, IPV6- oder Domänennamen-Elementen im System ab und verknüpft sie als Quelle des Datenverkehrs. | Erstellt eine Beziehung |
| Erkennbares Element als Ziel in Netzwerkobjekt gefunden | Die Regel gleicht den Wert des Zielattributs des Netzwerks mit IPV4-, IPV6- oder Domänennamen-erkennbaren Elementen im System und in den Links als Ziel des Datenverkehrs ab. | Die Regel gleicht den Attributwert für die Quelle mit erkennbaren IPV4-, IPV6- oder Domänennamen-Elementen im System und Links als Ziel des Datenverkehrs ab. | Erstellt eine Beziehung |
| Erkennbare Elemente basierend auf Kommunikation verknüpfen | Auf Grundlage von Netzwerkobjekten identifiziert die Regel alle erkennbaren Elemente (IPV4, IPV6 und Domänenname), die mit demselben Ziel (IPV4, IPV6 oder Domänenname) kommuniziert haben, und stellt eine Beziehung zwischen diesen erkennbaren Elementen her. Außerdem zugehörige erkennbare Elemente (IPV4, IPV6 und Domänenname), wenn sie mit demselben Netzwerkobjekt verknüpft sind wie die Quelle, die mit dem Ziel kommuniziert. |
Auf der Grundlage von Netzwerkobjekten identifiziert die Regel alle Indikatoren, die mit demselben Ziel (IPV4, IPV6, MAC-Adresse oder Domänenname) kommuniziert haben, und stellt eine Beziehung zwischen diesen Indikatoren her, da sie mit derselben C2-Infrastruktur verbunden sind. | Erstellt eine Beziehung |
| Zugehörige erkennbare Elemente der Stammdomäne zu Subdomänen | Die Regel verknüpft eine Stammdomäne mit Unterdomänen und umgekehrt für den Domänentyp von erkennbaren Elementen. | Die Regel verknüpft eine Stammdomäne mit Subdomänen. | Erstellt eine Beziehung |
| Zugehörige Domänen zu IPs basierend auf DNS-Auflösungen | Mithilfe der Attribute „domain-ipv4“ oder „domain-ipv6“ von erkennbaren Domänenelementen stellt die Regel Beziehungen zwischen den Domänen und IPs her. | Verwenden Sie die Attribute „domain-ipv4“ oder „domain-ipv6“. Die Regel identifiziert alle Domänen oder Subdomänen, die in dieselbe IP-Adresse aufgelöst werden, und stellt Beziehungen zwischen den -Indikatoren her, die ihre Verbindung zur selben C2-Infrastruktur angeben. | Erstellt eine Beziehung |
| Übereinstimmende Domänen mit SSL-Zertifikaten | Die Regel analysiert die SSL-Zertifikatinformationen, die den erkennbaren Domänenelementen zugeordnet sind, und stellt eine Beziehung zwischen ihnen her. | Die Regel analysiert die SSL-Zertifikatinformationen, die den Indikatoren zugeordnet sind, erkennt, dass beide Zertifikate von derselben Zertifizierungsstelle ausgestellt wurden und dasselbe Ablaufdatum haben, und stellt Beziehungen zwischen den Indikatoren her, die auf ihre Verbindung zu derselben C2-Infrastruktur oder Bedrohungskampagne hinweisen. | Erstellt eine Beziehung |
| Verknüpfen Sie Entitäten basierend auf allgemeinen erkennbaren Elementen | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Entitäten verknüpft ist, und verknüpft sie miteinander. | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Entitäten verknüpft ist, und identifiziert sie als miteinander verknüpft. | Erstellt eine potenzielle Beziehung |
| Verknüpfen Sie Indikatoren basierend auf allgemeinen erkennbaren Elementen | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Indikatoren verknüpft ist, und setzt sie miteinander in Beziehung. | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Indikatoren verknüpft ist, und identifiziert sie als miteinander verknüpft. | Erstellt eine potenzielle Beziehung |
| Verknüpfen Sie Indikatoren mit Objekten basierend auf allgemeinen erkennbaren Elementen | Die Regel vergleicht, ob dasselbe erkennbare Element mit Indikatoren und Objekten verknüpft ist, und setzt sie miteinander in Beziehung. | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Indikatoren und Objekten verknüpft ist, und identifiziert sie als miteinander verknüpft. | Erstellt eine potenzielle Beziehung |