Correlação automatizada
A correlação automatizada ajuda a identificar os relacionamentos entre observáveis, indicadores e objetos.
Com o processo de correlação, a aplicação estabelece automaticamente a correlação entre os registros de inteligência contra ameaças com base nas regras predefinidas. Com base no tipo de regra que é aplicada, o relacionamento pode ser um relacionamento confirmado ou um relacionamento potencial. Se os relacionamentos entre os objetos forem confirmados, esses objetos serão exibidos automaticamente na exibição de detalhes desse objeto em Registros relacionados seção.
A seguir descreve os relacionamentos e possíveis relacionamentos:
- Relacionamentos : Use os objetos Relacionamentos para vincular dois observáveis ou um observável e SDO para explicar como eles se relacionam entre si.
- Relacionamentos potenciais : Use os relacionamentos potenciais para estabelecer relacionamentos potencialmente possíveis entre dois SDOs, dois observáveis ou um observável e SDO usando a correlação automatizada.
As regras de correlação para relacionamentos potenciais identificam relacionamentos potenciais entre entidades de inteligência contra ameaças, indicadores e observáveis.
Nota:As quatro regras de correlação que geram relacionamentos potenciais são desabilitadas por padrão (para obter detalhes, consulte a tabela de regras de correlação a seguir). A ativação dessas regras pode resultar na criação de um grande número de relacionamentos potenciais, dependendo do volume de dados ingeridos. Os usuários podem habilitar as regras com base em seus requisitos.
A seguir estão as regras de correlação predefinidas provisionadas no sistema de base:
| Nome | Descrição | Definição | Ação | Status |
|---|---|---|---|---|
| Observáveis com o mesmo hash de arquivo | A regra compara os valores de hash dos observáveis do mesmo tipo e identifica se eles compartilham o mesmo hash. | A regra compara os valores de hash do mesmo tipo de indicadores e identifica se eles compartilham o mesmo hash. | Cria um relacionamento | Ativado |
| Observáveis de URL com o mesmo domínio | A regra examina as semelhanças na estrutura dos URLs para identificar se eles compartilham o mesmo domínio base. | A regra examina os pontos comuns na estrutura de URLs. Identifica se eles compartilham o mesmo domínio base e têm uma estrutura de subdiretório semelhante. | Cria um possível relacionamento | Desativado |
| Observável encontrado como origens no objeto de rede | A regra corresponde ao valor do atributo de origem de rede com observáveis IPV4, IPV6 ou de nome de domínio no sistema e links como a origem de tráfego. | A regra corresponde ao valor do atributo Origem com observáveis IPV4, IPV6 ou de nome de domínio no sistema e links como Origem de tráfego. | Cria um relacionamento | Ativado |
| Observável encontrado como destino no objeto de rede | A regra corresponde ao valor do atributo de destino da rede com observáveis IPV4, IPV6 ou de nome de domínio no sistema e links como o destino do tráfego. | A regra corresponde ao valor do atributo de destino com observáveis IPV4, IPV6 ou de nome de domínio no sistema e links como destino do tráfego. | Cria um relacionamento | Ativado |
| Relacione observáveis com base na comunicação | Com base nos objetos de rede, a regra identifica todos os observáveis (IPV4, IPV6 e nome de domínio) que se comunicaram com o mesmo destino (IPV4, IPV6 ou nome de domínio) e estabelece um relacionamento entre esses observáveis. Além disso, observáveis relacionados (IPV4, IPV6 e nome de domínio) se estiverem relacionados ao mesmo objeto de rede que a origem que se comunica com o destino. |
Com base em objetos de rede, a regra identifica todos os indicadores que se comunicaram com o mesmo destino (IPV4, IPV6, mac-addr ou domain-name) e estabelece um relacionamento entre esses indicadores como conetados à mesma infraestrutura C2. | Cria um relacionamento | Ativado |
| Observáveis de domínio raiz relacionados a subdomínios | A regra vincula um domínio raiz com subdomínios e vice-versa para o tipo de domínio de observáveis. | A regra vincula um domínio raiz a subdomínios. | Cria um relacionamento | Ativado |
| Domínios relacionados a IPs com base em resoluções de DNS | Usando atributos domain-ipv4 ou domain-ipv6 de observáveis de domínio, a regra estabelece relacionamentos entre os domínios e IPs. | Usando os atributos domain-ipv4 ou domain-ipv6, a regra identifica todos os domínios ou subdomínios que resolvem para o mesmo endereço IP e estabelece relacionamentos entre os indicadores, indicando sua conexão com a mesma infraestrutura C2. | Cria um relacionamento | Ativado |
| Domínios correspondentes a certificados SSL | A regra analisa as informações do certificado SSL associadas aos observáveis de domínio e estabelece uma relação entre eles. | A regra analisa as informações do certificado SSL associadas aos indicadores e identifica que ambos os certificados são emitidos pela mesma autoridade certificadora e compartilham a mesma data de expiração e estabelece relacionamentos entre os indicadores, indicando sua conexão com a mesma infraestrutura C2 ou campanha de ameaça. | Cria um relacionamento | Ativado |
| Relacione entidades com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a duas entidades diferentes e as relaciona entre si. | A regra compara se o mesmo observável está relacionado a duas entidades diferentes e as identifica como relacionadas entre si. | Cria um possível relacionamento | Desativado |
| Relacione indicadores com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a dois indicadores diferentes e os relaciona entre si. | A regra compara se o mesmo observável está relacionado a dois indicadores diferentes e identifica-os como relacionados entre si. | Cria um possível relacionamento | Desativado |
| Relacione indicadores com objetos com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a indicadores e objetos e os relaciona entre si. | A regra compara se o mesmo observável está relacionado a indicadores e objetos e os identifica como relacionados entre si. | Cria um possível relacionamento | Desativado |