関連付けの自動化
自動相関は、観測事象、インジケーター、およびオブジェクト間の関係を特定するのに役立ちます。
相関プロセスにより、アプリケーションは事前定義されたルールに基づいて脅威インテリジェンスレコード間の相関を自動的に確立します。適用されるルールのタイプに基づいて、関係性は確認済みの関係性または潜在リレーションシップにすることができます。オブジェクト間の関係が確認されると、それらのオブジェクトは [関連レコード ] セクションのそのオブジェクトの詳細ビューに自動的に表示されます。
以下では、リレーションシップと潜在リレーションシップについて説明します。
- リレーションシップ:リレーションシップオブジェクトを使用して、2 つの観測事象または観測事象と SDO をリンクし、それらが互いにどのように関連しているかを説明します。
- 潜在リレーションシップ:潜在リレーションシップを使用して、自動相関を使用して、2 つの SDO、2 つの観測事象、または観測事象と SDO の間の潜在的な関係を確立します。
潜在リレーションシップの相関ルールは、脅威インテリジェンスのエンティティ、インジケーター、および観測事象間の潜在的なリレーションシップを識別します。
注:潜在リレーションシップを生成する 4 つの相関ルールはデフォルトで無効になっています (詳細については、次の相関ルールの表を参照してください)。これらのルールを有効にすると、取り込まれたデータの量によっては、多数の潜在リレーションシップが作成される可能性があります。ユーザーは、要件に基づいてルールを有効にすることができます。
ベースシステム内でプロビジョニングされた事前定義された相関ルールは次のとおりです。
| 名前 | 説明 | 定義 | アクション | ステータス |
|---|---|---|---|---|
| 同じファイルハッシュを持つ観測事象 | このルールは、同じタイプの観測事象のハッシュ値を比較し、同じハッシュを共有しているかどうかを識別します。 | このルールは、同じタイプのインジケーターのハッシュ値を比較し、同じハッシュを共有しているかどうかを識別します。 | リレーションシップを作成 | 有効 |
| 同じドメインの URL 観測事象 | このルールは、URL の構造の共通性を調べて、同じベースドメインを共有しているかどうかを識別します。 | このルールは、URL の構造の共通性を調べます。それらが同じベースドメインを共有し、類似したサブディレクトリ構造を持っているかどうかを識別します。 | 潜在リレーションシップを作成 | 無効 |
| ネットワークオブジェクトのソースとして検出された観測事象 | このルールは、ネットワークソース属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックのソースとしてリンクします。 | このルールは、ソース属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックのソースとしてリンクします。 | リレーションシップを作成 | 有効 |
| ネットワークオブジェクトの宛先として検出された観測事象 | このルールは、ネットワーク宛先属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックの宛先としてリンクします。 | このルールは、宛先属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックの宛先としてリンクします。 | リレーションシップを作成 | 有効 |
| 通信に基づいて観測事象を関連付ける | このルールは、ネットワークオブジェクトに基づいて、同じ宛先 (IPV4、IPV6、またはドメイン名) と通信するすべての観測事象 (IPV4、IPV6、およびドメイン名) を識別し、これらの観測事象間の関係を確立します。 また、関連する観測事象 (IPV4、IPV6、およびドメイン名) は、宛先と通信するソースと同じネットワークオブジェクトに関連しています。 |
このルールは、ネットワークオブジェクトに基づいて、同じ宛先 (IPV4、IPV6、mac-addr、または domain-name) と通信しているすべてのインジケーターを識別し、同じ C2 インフラストラクチャに接続されているこれらのインジケーター間の関係を確立します。 | リレーションシップを作成 | 有効 |
| サブドメインに関連するルートドメイン観測事象 | このルールは、観測事象のドメインタイプに対してルートドメインとサブドメインを結び付け、その逆も同様にします。 | このルールは、ルートドメインとサブドメインを結び付けます。 | リレーションシップを作成 | 有効 |
| DNS 解決に基づく IP への関連ドメイン | このルールでは、ドメイン観測事象の domain-ipv4 または domain-ipv6 の属性を使用して、ドメインと IP の間の関係を確立します。 | このルールは、属性 domain-ipv4 または domain-ipv6 を使用して、同じ IP アドレスに解決されるすべてのドメインまたはサブドメインを識別し、インジケーター間の関係を確立し、同じ C2 インフラストラクチャへの接続を示します。 | リレーションシップを作成 | 有効 |
| ドメインと SSL 証明書の照合 | このルールは、ドメイン観測事象に関連付けられた SSL 証明書情報を分析し、それらの間の関係を確立します。 | このルールは、インジケーターに関連付けられた SSL 証明書情報を分析し、両方の証明書が同じ認証局によって発行され、同じ有効期限を共有していることを特定し、インジケーター間の関係を確立して、同じ C2 インフラストラクチャまたは脅威キャンペーンへの接続を示します。 | リレーションシップを作成 | 有効 |
| 一般的な観測事象に基づいてエンティティを関連付ける | このルールは、同じ観測事象が 2 つの異なるエンティティに関連しているかどうかを比較し、それらを相互に関連付けます。 | このルールは、同じ観測事象が 2 つの異なるエンティティに関連しているかどうかを比較し、それらが互いに関連しているものとして識別します。 | 潜在リレーションシップを作成 | 無効 |
| 一般的な観測事象に基づいてインジケーターを関連付ける | このルールは、同じ観測事象が 2 つの異なるインジケーターに関連しているかどうかを比較し、それらを相互に関連付けます。 | このルールは、同じ観測事象が 2 つの異なるインジケーターに関連しているかどうかを比較し、それらが互いに関連しているものとして識別します。 | 潜在リレーションシップを作成 | 無効 |
| 一般的な観測事象に基づいてインジケーターをオブジェクトに関連付ける | このルールは、同じ観測事象がインジケーターやオブジェクトに関連しているかどうかを比較し、それらを相互に関連付けます。 | このルールは、同じ観測事象がインジケーターとオブジェクトに関連しているかどうかを比較し、それらが互いに関連しているものとして識別します。 | 潜在リレーションシップを作成 | 無効 |