Automatisierte Korrelation
Automatisierte Korrelation hilft Ihnen, die Beziehungen zwischen erkennbaren Elementen, Indikatoren und Objekten zu identifizieren.
Mit dem Korrelationsprozess stellt die Anwendung automatisch die Korrelation zwischen Threat Intelligence-Datensätzen basierend auf den vordefinierten Regeln her. Basierend auf dem Typ der angewendeten Regel kann die Beziehung eine bestätigte Beziehung oder eine potenzielle Beziehung sein. Wenn die Beziehungen zwischen den Objekten bestätigt werden, werden diese Objekte automatisch in der Detailansicht dieses Objekts unter angezeigt Zugehörige Datensätze Abschnitt.
Im Folgenden werden die Beziehungen und potenziellen Beziehungen beschrieben:
- Beziehungen : Verwenden Sie die Beziehungsobjekte, um zwei erkennbare Elemente oder ein erkennbares Element miteinander zu verknüpfen, und SDO, um zu erklären, wie sie zueinander in Beziehung stehen.
- Potenzielle Beziehungen : Verwenden Sie die potenziellen Beziehungen, um potenziell mögliche Beziehungen zwischen zwei SDOs, zwei erkennbaren Elementen oder einem erkennbaren Element und SDO mithilfe der automatisierten Korrelation herzustellen.
Im Folgenden finden Sie die vordefinierten Korrelationsregeln, die im Basissystem bereitgestellt werden:
| Regelname | Regelbeschreibung | Regeldefinition | Regelaktion |
|---|---|---|---|
| Erkennbare Elemente mit demselben Datei-Hash | Die Regel vergleicht die Hash-Werte der erkennbaren Elemente (desselben Typs) und gibt an, ob sie denselben Hash verwenden. | Die Regel vergleicht die Hash-Werte (desselben Typs) der Indikatoren und gibt an, ob sie denselben Hash verwenden. | Erstellt eine Beziehung |
| Erkennbare URL-Elemente mit derselben Domäne | Die Regel untersucht die Gemeinsamkeiten in der Struktur von URLs, um festzustellen, ob sie dieselbe Basisdomäne teilen. | Die Regel untersucht die Gemeinsamkeiten in der Struktur von URLs – gibt an, ob sie dieselbe Basisdomäne teilen und eine ähnliche Unterverzeichnisstruktur haben. | Erstellt eine potenzielle Beziehung |
| Erkennbares Element als Quellen im Netzwerkobjekt gefunden | Die Regel stimmt den Wert des Netzwerkquellenattributs mit erkennbaren Elementen IPV4, IPV6 oder Domänenname im System und Links als Quelle des Datenverkehrs überein. | Die Regel stimmt den Wert des Quellattributs mit erkennbaren IPV4-, IPV6- oder Domänennamen-Elementen im System überein und verknüpft als Quelle des Datenverkehrs. | Erstellt eine Beziehung |
| Erkennbares Element als Ziel im Netzwerkobjekt gefunden | Die Regel stimmt den Wert des Netzwerkzielattributs mit erkennbaren IPV4-, IPV6- oder Domänennamen-Elementen im System und in Links als Ziel des Datenverkehrs überein. | Die Regel stimmt den Wert des Quellattributs mit erkennbaren IPV4-, IPV6- oder Domänennamen-Elementen im System und Links als Ziel des Datenverkehrs überein. | Erstellt eine Beziehung |
| Verknüpfen Sie erkennbare Elemente basierend auf der Kommunikation | Basierend auf Netzwerkobjekten identifiziert die Regel alle erkennbaren Elemente (IPV4, IPV6 und Domänenname), die mit demselben Ziel (IPV4, IPV6 oder Domänenname) kommuniziert haben, und stellt eine Beziehung zwischen diesen erkennbaren Elementen her. Auch zugehörige erkennbare Elemente (IPV4, IPV6 und Domänenname), wenn sie sich auf dasselbe Netzwerkobjekt beziehen wie die mit dem Ziel kommunizierende Quelle. |
Auf der Basis von Netzwerkobjekten identifiziert die Regel alle Indikatoren, die mit demselben Ziel kommuniziert haben (IPV4, IPV6, mac-addr oder Domänenname), und stellt eine Beziehung zwischen diesen Indikatoren her, die mit derselben C2-Infrastruktur verbunden sind. | Erstellt eine Beziehung |
| Zugehörige erkennbare Stammdomänen zu Unterdomänen | Die Regel bindet eine Stammdomäne mit Unterdomänen zusammen und umgekehrt für den Domänentyp erkennbarer Elemente. | Die Regel bindet eine Stammdomäne mit Unterdomänen zusammen. | Erstellt eine Beziehung |
| Zugehörige Domänen zu IPs basierend auf DNS-Auflösungen | Mithilfe von Domänen-ipv4- oder Domänen-ipv6-Attributen erkennbarer Domänenelemente stellt die Regel Beziehungen zwischen den Domänen und IPs her. | Verwenden Sie die Attribute Domain-ipv4 oder Domain-ipv6. Die Regel identifiziert alle Domänen oder Subdomänen, die in dieselbe IP-Adresse aufgelöst werden, und stellt Beziehungen zwischen den Indikatoren her, die ihre Verbindung mit derselben C2-Infrastruktur angeben. | Erstellt eine Beziehung |
| Übereinstimmende Domänen mit SSL-Zertifikaten | Die Regel analysiert die SSL-Zertifikatinformationen, die den erkennbaren Domänenelementen zugeordnet sind, und stellt eine Beziehung zwischen ihnen her. | Die Regel analysiert die SSL-Zertifikatinformationen, die den Indikatoren zugeordnet sind, und identifiziert, dass beide Zertifikate von derselben Zertifizierungsstelle ausgestellt werden und dasselbe Ablaufdatum haben, und stellt Beziehungen zwischen den Indikatoren her, die ihre Verbindung mit derselben C2-Infrastruktur oder Bedrohungskampagne angeben. | Erstellt eine Beziehung |
| Verknüpfen Sie Entitäten basierend auf allgemeinen erkennbaren Elementen | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Entitäten verknüpft ist, und bezieht sie zueinander. | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Entitäten verknüpft ist, und identifiziert sie als zueinander verwandt. | Erstellt eine potenzielle Beziehung |
| Verknüpfen Sie Indikatoren basierend auf allgemeinen erkennbaren Elementen | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Indikatoren verknüpft ist, und bezieht sie zueinander. | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Indikatoren verknüpft ist, und identifiziert sie als zueinander verwandt. | Erstellt eine potenzielle Beziehung |
| Verknüpfen Sie Indikatoren mit Objekten basierend auf allgemeinen erkennbaren Elementen | Die Regel vergleicht, ob dasselbe erkennbare Element mit Indikatoren und Objekten zusammenhängt, und bezieht sie zueinander. | Die Regel vergleicht, ob dasselbe erkennbare Element mit zwei verschiedenen Indikatoren und Objekten verknüpft ist, und identifiziert sie als zueinander verwandt. | Erstellt eine potenzielle Beziehung |