자동화된 상관 관계
자동화된 상관 관계는 옵저버블, 표시기 및 객체 간의 관계를 식별하는 데 도움이 됩니다.
상관관계 프로세스를 사용하면 애플리케이션이 미리 정의된 규칙에 따라 위협 인텔리전스 기록 간의 상관관계를 자동으로 설정합니다. 적용된 규칙의 유형에 따라 관계는 확인된 관계 또는 잠재적 관계일 수 있습니다. 객체 간의 관계가 확인되면 해당 객체는 관련 기록 섹션 아래에 있는 해당 객체의 세부 정보 뷰에 자동으로 표시됩니다.
다음은 관계 및 잠재적 관계에 대한 설명입니다.
- 관계: 관계 개체를 사용하여 두 개의 옵저버블 또는 옵저버블과 SDO를 함께 연결하여 서로 어떻게 관련되어 있는지 설명합니다.
- 잠재적 관계: 자동화된 상관 관계를 사용하여 두 개의 SDO, 두 개의 옵저버블 또는 하나의 옵저버블과 SDO 간에 잠재적으로 가능한 관계를 설정할 수 있습니다.
다음은 기본 시스템 내에 프로비저닝된 미리 정의된 상관관계 규칙입니다.
| 규칙 이름 | 규칙 설명 | 규칙 정의 | 규칙 작업 |
|---|---|---|---|
| 파일 해시가 동일한 옵저버블 | 이 규칙은 옵저버블의 해시 값(동일한 유형)을 비교하고 동일한 해시를 공유하는지 확인합니다. | 이 규칙은 표시기의 해시 값(동일한 유형)을 비교하고 동일한 해시를 공유하는지 확인합니다. | 관계 작성 |
| 도메인이 동일한 URL 옵저버블 | 이 규칙은 URL 구조의 공통성을 검사하여 동일한 기본 도메인을 공유하는지 확인합니다. | 이 규칙은 URL 구조의 공통성을 검사합니다 - 동일한 기본 도메인을 공유하고 유사한 하위 디렉터리 구조를 가지고 있는지 식별합니다. | 잠재성 관계 생성 |
| 네트워크 객체에서 소스로 찾은 옵저버블 | 이 규칙은 네트워크 소스 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽 소스로 연결합니다. | 이 규칙은 소스 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽 소스로 연결합니다. | 관계 작성 |
| 네트워크 객체에서 대상으로 찾은 옵저버블 | 이 규칙은 네트워크 대상 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽의 대상으로 연결합니다. | 이 규칙은 소스 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽 대상으로 연결합니다. | 관계 작성 |
| 통신을 기반으로 옵저버블 연결 | 네트워크 개체를 기준으로 규칙은 동일한 대상(IPV4, IPV6 또는 도메인 이름)과 통신한 모든 관찰 가능 항목(IPV4, IPV6 및 도메인 이름)을 식별하고 이러한 관찰 가능 객체 간의 관계를 설정합니다. 또한 관련 옵저버블(IPV4, IPV6 및 도메인 이름)은 대상과 통신하는 소스와 동일한 네트워크 개체와 관련이 있습니다. |
네트워크 개체의 베이스에서 규칙은 동일한 대상(IPV4, IPV6, mac-addr 또는 도메인 이름)과 통신한 모든 표시기를 식별하고 동일한 C2 인프라에 연결된 이러한 표시기 간의 관계를 설정합니다. | 관계 작성 |
| 하위 도메인에 대한 관련 루트 도메인 옵저버블 | 이 규칙은 루트 도메인을 하위 도메인과 연결하고 옵저버블의 도메인 유형에 대해 그 반대의 경우도 마찬가지입니다. | 이 규칙은 루트 도메인을 하위 도메인과 연결합니다. | 관계 작성 |
| DNS 확인에 기반한 IP에 대한 관련 도메인 | 이 규칙은 도메인 옵저버블의 domain-ipv4 또는 domain-ipv6 속성을 사용하여 도메인과 IP 간의 관계를 설정합니다. | domain-ipv4 또는 domain-ipv6 속성을 사용합니다. 이 규칙은 동일한 IP 주소로 확인되는 모든 도메인 또는 하위 도메인을 식별하고 표시기 간의 관계를 설정하여 동일한 C2 인프라에 대한 연결을 나타냅니다. | 관계 작성 |
| SSL 인증서와 도메인 일치 | 이 규칙은 도메인 옵저버블과 연결된 SSL 인증서 정보를 분석하고 옵저버블 간의 관계를 설정합니다. | 이 규칙은 표시기와 연결된 SSL 인증서 정보를 분석하고 두 인증서가 동일한 인증 기관에서 발급되고 동일한 만료 날짜를 공유하는지 식별하고 표시기 간의 관계를 설정하여 동일한 C2 인프라 또는 위협 캠페인에 대한 연결을 나타냅니다. | 관계 작성 |
| 공통 옵저버블을 기반으로 엔터티 연결 | 규칙은 동일한 옵저버블이 서로 다른 두 엔터티와 관련되어 있는지 비교하고 서로 관련시킵니다. | 규칙은 동일한 옵저버블이 서로 다른 두 엔터티와 관련이 있는지 비교하고 서로 관련된 것으로 식별합니다. | 잠재성 관계 생성 |
| 공통 옵저버블을 기반으로 표시기 연결 | 규칙은 동일한 옵저버블이 두 개의 서로 다른 표시기와 관련되어 있고 서로 관련되는지 여부를 비교합니다. | 규칙은 동일한 옵저버블이 두 개의 서로 다른 표시기와 관련이 있는지 비교하고 서로 관련된 것으로 식별합니다. | 잠재성 관계 생성 |
| 공통 옵저버블을 기준으로 표시기를 객체와 연결 | 규칙은 동일한 옵저버블이 표시기 및 개체와 관련이 있고 서로 관련되는지 여부를 비교합니다. | 규칙은 동일한 옵저버블이 두 개의 서로 다른 표시기 및 개체와 관련이 있는지 비교하고 서로 관련된 것으로 식별합니다. | 잠재성 관계 생성 |