関連付けの自動化
関連付けの自動化は、観測事象、インジケーター、およびオブジェクト間の関係を識別するのに役立ちます。
相関プロセスにより、アプリケーションは事前定義されたルールに基づいて脅威インテリジェンスレコード間の相関を自動的に確立します。適用されたルールのタイプに基づいて、リレーションシップは確認済みのリレーションシップまたは潜在リレーションシップである可能性があります。オブジェクト間のリレーションシップが確認されると、それらのオブジェクトが [関連レコード] セクションのそのオブジェクトの詳細ビューに自動的に表示されます。
以下では、リレーションシップと潜在リレーションシップについて説明します。
- リレーションシップ:リレーションシップオブジェクトを使用して、2 つの観測事象または観測事象と SDO をリンクし、それらが互いにどのように関連しているかを説明します。
- 潜在リレーションシップ:潜在リレーションシップを使用して、自動相関を使用して、2 つの SDO、2 つの観測事象、または観測事象と SDO の間の潜在的な関係を確立します。
ベースシステム内でプロビジョニングされる事前定義された相関ルールは、次のとおりです。
| ルール名 | ルールの説明 | ルール定義 | ルールアクション |
|---|---|---|---|
| 同じファイルハッシュを持つ観測事象 | このルールは、(同じタイプの) 観測事象のハッシュ値を比較し、同じハッシュを共有しているかどうかを識別します。 | このルールは、インジケーターの (同じタイプの) ハッシュ値を比較し、同じハッシュを共有しているかどうかを識別します。 | リレーションシップを作成 |
| 同じドメインの URL 観測事象 | このルールは、URL の構造の共通性を調べて、同じベースドメインを共有しているかどうかを識別します。 | このルールは、URL の構造の共通性を調べます。つまり、URL が同じベースドメインを共有し、類似したサブディレクトリ構造を持っているかどうかを識別します。 | 潜在リレーションシップを作成 |
| ネットワークオブジェクトのソースとして検出された観測事象 | このルールは、ネットワークソース属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックのソースとしてリンクします。 | このルールは、ソース属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックのソースとしてリンクします。 | リレーションシップを作成 |
| ネットワークオブジェクトの宛先として検出された観測事象 | このルールは、ネットワーク宛先属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックの宛先としてリンクします。 | このルールは、ソース属性値をシステム内の IPV4、IPV6、またはドメイン名の観測事象と照合し、トラフィックの宛先としてリンクします。 | リレーションシップを作成 |
| 通信に基づいて観測事象を関連付ける | このルールは、ネットワークオブジェクトに基づいて、同じ宛先 (IPV4、IPV6、またはドメイン名) と通信するすべての観測事象 (IPV4、IPV6、およびドメイン名) を識別し、これらの観測事象間の関係を確立します。 また、関連する観測事象 (IPV4、IPV6、およびドメイン名) は、宛先と通信するソースと同じネットワークオブジェクトに関連しています。 |
このルールは、ネットワークオブジェクトに基づいて、同じ宛先 (IPV4、IPV6、mac-addr、または domain-name) と通信しているすべてのインジケーターを識別し、同じ C2 インフラストラクチャに接続されているこれらのインジケーター間の関係を確立します。 | リレーションシップを作成 |
| サブドメインに関連するルートドメイン観測事象 | このルールは、観測事象のドメインタイプに対してルートドメインとサブドメインを結び付け、その逆も同様にします。 | このルールは、ルートドメインとサブドメインを結び付けます。 | リレーションシップを作成 |
| DNS 解決に基づく IP への関連ドメイン | このルールでは、ドメイン観測事象の domain-ipv4 または domain-ipv6 の属性を使用して、ドメインと IP の間の関係を確立します。 | 属性 domain-ipv4 または domain-ipv6 を使用します。このルールは、同じ IP アドレスに解決されるすべてのドメインまたはサブドメインを識別し、インジケーター間の関係を確立し、同じ C2 インフラストラクチャへの接続を示します。 | リレーションシップを作成 |
| ドメインと SSL 証明書の照合 | このルールは、ドメイン観測事象に関連付けられた SSL 証明書情報を分析し、それらの間の関係を確立します。 | このルールは、インジケーターに関連付けられた SSL 証明書情報を分析し、両方の証明書が同じ認証局によって発行され、同じ有効期限を共有していることを特定し、インジケーター間の関係を確立して、同じ C2 インフラストラクチャまたは脅威キャンペーンへの接続を示します。 | リレーションシップを作成 |
| 一般的な観測事象に基づいてエンティティを関連付ける | このルールは、同じ観測事象が 2 つの異なるエンティティに関連しているかどうかを比較し、それらを相互に関連付けます。 | このルールは、同じ観測事象が 2 つの異なるエンティティに関連しているかどうかを比較し、それらが互いに関連しているものとして識別します。 | 潜在リレーションシップを作成 |
| 一般的な観測事象に基づいてインジケーターを関連付ける | このルールは、同じ観測事象が 2 つの異なるインジケーターに関連しているかどうかを比較し、それらを相互に関連付けます。 | このルールは、同じ観測事象が 2 つの異なるインジケーターに関連しているかどうかを比較し、それらが互いに関連しているものとして識別します。 | 潜在リレーションシップを作成 |
| 一般的な観測事象に基づいてインジケーターをオブジェクトに関連付ける | このルールは、同じ観測事象がインジケーターやオブジェクトに関連しているかどうかを比較し、それらを相互に関連付けます。 | このルールは、同じ観測事象が 2 つの異なるインジケーターとオブジェクトに関連しているかどうかを比較し、それらが互いに関連しているものとして識別します。 | 潜在リレーションシップを作成 |