Correlação automatizada
A correlação automatizada ajuda a identificar os relacionamentos entre observáveis, indicadores e objetos.
Com o processo de correlação, a aplicação estabelecerá automaticamente a correlação entre registros de inteligência contra ameaças com base nas regras predefinidas. Com base no tipo de regra que foi aplicada, o relacionamento pode ser um relacionamento confirmado ou um relacionamento em potencial. Se os relacionamentos entre os objetos forem confirmados, esses objetos serão exibidos automaticamente na exibição de detalhes desse objeto na seção Registros relacionados.
O seguinte descreve os relacionamentos e possíveis relacionamentos:
- Relacionamentos: use os objetos de relacionamentos para vincular dois observáveis ou um observável e o SDO para explicar como eles se relacionam entre si.
- Relacionamentos potenciais: use os relacionamentos potenciais para estabelecer relacionamentos potencialmente possíveis entre dois SDOs, dois observáveis ou um observável e SDO usando a correlação automatizada.
A seguir estão as regras de correlação predefinidas provisionadas no sistema de base:
| Nome de Regra | Descrição de Regra | Definição de regra | Ação de regra |
|---|---|---|---|
| Observáveis com o mesmo hash de arquivo | A regra compara os valores de hash dos observáveis (do mesmo tipo) e identifica se eles compartilham o mesmo hash. | A regra compara os valores de hash (do mesmo tipo) dos indicadores e identifica se eles compartilham o mesmo hash. | Cria um Relacionamento |
| Observáveis de URL com o mesmo domínio | A regra examina os pontos comuns na estrutura de URLs para identificar se eles compartilham o mesmo domínio base. | A regra examina os pontos comuns na estrutura de URLs - identifica se eles compartilham o mesmo domínio base e têm uma estrutura de subdiretórios semelhante. | Cria um relacionamento potencial |
| Observável encontrado como origem no objeto de rede | A regra corresponde ao valor do atributo de origem da rede com IPV4, IPV6 ou observáveis de nome de domínio no sistema e vincula como a origem do tráfego. | A regra corresponde ao valor do atributo de origem com IPV4, IPV6 ou observáveis de nome de domínio no sistema e vincula como origem de tráfego. | Cria um Relacionamento |
| Observável encontrado como destino no objeto de rede | A regra corresponde ao valor do atributo de destino da rede com IPV4, IPV6 ou observáveis de nome de domínio no sistema e links como o destino do tráfego. | A regra corresponde ao valor do atributo de origem com IPV4, IPV6 ou observáveis de nome de domínio no sistema e links como destino do tráfego. | Cria um Relacionamento |
| Relacionar observáveis com base na comunicação | Com base nos objetos de rede, a regra identifica todos os observáveis (IPV4, IPV6 e nome de domínio) que se comunicaram com o mesmo destino (IPV4, IPV6 ou nome de domínio) e estabelece um relacionamento entre esses observáveis. Além disso, observáveis relacionados (IPV4, IPV6 e nome de domínio) se estiverem relacionados ao mesmo objeto de rede que a origem se comunica com o destino. |
Na base dos objetos de rede, a regra identifica todos os indicadores que se comunicaram com o mesmo destino (IPV4, IPV6, mac-addr ou domain-name) e estabelece um relacionamento entre esses indicadores como conectados à mesma infraestrutura C2. | Cria um Relacionamento |
| Observáveis de domínio raiz relacionados a subdomínios | A regra vincula um domínio raiz a subdomínios e vice-versa para o tipo de domínio de observáveis. | A regra vincula um domínio raiz a subdomínios. | Cria um Relacionamento |
| Domínios relacionados a IPs com base em resoluções de DNS | Usando atributos domain-ipv4 ou domain-ipv6 de observáveis de domínio, a regra estabelece relacionamentos entre os domínios e os IPs. | Use os atributos domain-ipv4 ou domain-ipv6. A regra identifica todos os domínios ou subdomínios que são resolvidos para o mesmo endereço IP e estabelece relacionamentos entre os indicadores, indicando sua conexão com a mesma infraestrutura C2. | Cria um Relacionamento |
| Domínios correspondentes com certificados SSL | A regra analisa as informações do certificado SSL associadas aos observáveis do domínio e estabelece uma relação entre eles. | A regra analisa as informações do certificado SSL associadas aos indicadores e identifica que ambos os certificados são emitidos pela mesma autoridade de certificação e compartilham a mesma data de expiração e estabelece relacionamentos entre os indicadores, indicando sua conexão com a mesma infraestrutura C2 ou campanha de ameaça. | Cria um Relacionamento |
| Relacionar entidades com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a duas entidades diferentes e as relaciona entre si. | A regra compara se o mesmo observável está relacionado a duas entidades diferentes e as identifica como relacionadas entre si. | Cria um relacionamento potencial |
| Relacionar indicadores com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a dois indicadores diferentes e os relaciona entre si. | A regra compara se o mesmo observável está relacionado a dois indicadores diferentes e os identifica como relacionados entre si. | Cria um relacionamento potencial |
| Relacionar indicadores com objetos com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a indicadores e objetos e os relaciona entre si. | A regra compara se o mesmo observável está relacionado a dois indicadores diferentes e objetos e os identifica como relacionados entre si. | Cria um relacionamento potencial |