Corrélation automatisée
La corrélation automatisée vous aide à identifier les relations entre les observables, les indicateurs et les objets.
Avec le processus de corrélation, l’application établira automatiquement la corrélation entre les enregistrements de renseignements sur les menaces en fonction des règles prédéfinies. Selon le type de règle appliqué, la relation peut être une relation confirmée ou une relation potentielle. Si les relations entre les objets sont confirmées, ces objets s’affichent automatiquement dans la vue de détails de cet objet dans la section Enregistrements connexes .
Ce qui suit décrit les relations et les relations potentielles :
- Relations : utilisez les objets de relations pour lier deux observables ou un observable et SDO pour expliquer comment ils sont liés l’un à l’autre.
- Relations potentielles : utilisez les relations potentielles pour établir des relations potentiellement possibles entre deux SDO, deux observables ou un observable et SDO à l’aide de la corrélation automatisée.
Voici les règles de corrélation prédéfinies mises en service dans le système de base :
| Nom de la règle | Description de la règle | Définition de règle | Action de règle |
|---|---|---|---|
| Observables avec le même hachage de fichier | La règle compare les valeurs de hachage des observables (du même type) et identifie s’ils partagent le même hachage. | La règle compare les valeurs de hachage (du même type) des indicateurs et identifie s’ils partagent le même hachage. | Crée une relation |
| Observables d’URL avec le même domaine | La règle examine les points communs dans la structure des URL pour identifier si elles partagent le même domaine de base. | La règle examine les points communs dans la structure des URL : identifie si elles partagent le même domaine de base et ont une structure de sous-répertoire similaire. | Crée une relation potentielle |
| Observable trouvé en tant que sources dans l’objet de réseau | La règle fait correspondre la valeur de l’attribut de source du réseau avec les observables IPV4, IPV6 ou de nom de domaine dans le système et établit des liens en tant que source du trafic. | La règle fait correspondre la valeur de l’attribut Source avec les observables IPV4, IPV6 ou de nom de domaine dans le système et établit des liens en tant que Source du trafic. | Crée une relation |
| Observable trouvé comme destination dans l’objet de réseau | La règle fait correspondre la valeur de l’attribut de destination du réseau avec les observables IPV4, IPV6 ou de nom de domaine dans le système et établit un lien en tant que destination du trafic. | La règle fait correspondre la valeur de l’attribut Source avec des observables IPV4, IPV6 ou de nom de domaine dans le système et établit des liens en tant que destination du trafic. | Crée une relation |
| Relier les observables en fonction de la communication | Sur la base des objets réseau, la règle identifie tous les observables (IPV4, IPV6 et nom de domaine) qui ont communiqué avec la même destination (IPV4, IPV6 ou nom de domaine) et établit une relation entre ces observables. En outre, les observables associés (IPV4, IPV6 et nom de domaine) s’ils sont associés au même objet réseau que la source communiquant avec la destination. |
Sur le châssis des objets réseau, la règle identifie tous les indicateurs qui ont communiqué avec la même destination (IPV4, IPV6, mac-addr ou domain-name) et établit une relation entre ces indicateurs comme étant connectés à la même infrastructure C2. | Crée une relation |
| Observables du domaine racine associés aux sous-domaines | La règle lie un domaine racine à des sous-domaines et vice versa pour le type de domaine des observables. | La règle relie un domaine racine à des sous-domaines. | Crée une relation |
| Domaines associés aux adresses IP en fonction des résolutions DNS | À l’aide des attributs domain-ipv4 ou domain-ipv6 des observables de domaine, la règle établit les relations entre les domaines et les adresses IP. | Utilisez les attributs domain-ipv4 ou domain-ipv6, La règle identifie tous les domaines ou sous-domaines qui se résolvent à la même adresse IP et établit des relations entre les indicateurs, indiquant leur connexion à la même infrastructure C2. | Crée une relation |
| Domaines correspondants avec des certificats SSL | La règle analyse les informations du certificat SSL associées aux observables du domaine et établit une relation entre eux. | La règle analyse les informations du certificat SSL associées aux indicateurs et identifie que les deux certificats sont émis par la même autorité de certification et partagent la même date d’expiration, et établit des relations entre les indicateurs, indiquant leur connexion à la même infrastructure C2 ou à la même campagne de menaces. | Crée une relation |
| Relier des entités basées sur des observables communs | La règle compare si le même observable est lié à deux entités différentes et les relie l’un à l’autre. | La règle compare si le même observable est lié à deux entités différentes et les identifie comme liées l’une à l’autre. | Crée une relation potentielle |
| Relier les indicateurs en fonction des observables communs | La règle compare si le même observable est lié à deux indicateurs différents et les relie l’un à l’autre. | La règle compare si le même observable est lié à deux indicateurs différents et les identifie comme liés l’un à l’autre. | Crée une relation potentielle |
| Associer des indicateurs à des objets basés sur des observables communs | La règle compare si le même observable est lié à des indicateurs et à des objets et les relie les uns aux autres. | La règle compare si le même observable est lié à deux indicateurs et objets différents et les identifie comme étant liés l’un à l’autre. | Crée une relation potentielle |