Correlação automatizada
A correlação automatizada ajuda a identificar os relacionamentos entre observáveis, indicadores e objetos.
Com o processo de correlação, a aplicação estabelece automaticamente a correlação entre os registros de inteligência contra ameaças com base nas regras predefinidas. Com base no tipo de regra que foi aplicada, o relacionamento pode ser um relacionamento confirmado ou um relacionamento potencial. Se os relacionamentos entre os objetos forem confirmados, esses objetos serão exibidos automaticamente na exibição de detalhes desse objeto em Registros relacionados seção.
A seguir descreve os relacionamentos e os possíveis relacionamentos:
- Relacionamentos : Use os objetos Relacionamentos para vincular dois observáveis ou um observável e SDO para explicar como eles se relacionam entre si.
- Possíveis relacionamentos : Use os relacionamentos potenciais para estabelecer relacionamentos potencialmente possíveis entre dois SDOs, dois observáveis ou um observável e SDO usando a correlação automatizada.
A seguir estão as regras de correlação predefinidas provisionadas no sistema de base:
| Nome de Regra | Descrição de Regra | Definição de regra | Ação de regra |
|---|---|---|---|
| Observáveis com o mesmo hash de arquivo | A regra compara os valores de hash dos observáveis (do mesmo tipo) e identifica se eles compartilham o mesmo hash. | A regra compara os valores de hash (do mesmo tipo) dos indicadores e identifica se eles compartilham o mesmo hash. | Cria um relacionamento |
| Observáveis de URL com o mesmo domínio | A regra examina os pontos comuns na estrutura dos URLs para identificar se eles compartilham o mesmo domínio de base. | A regra examina os pontos comuns na estrutura de URLs - identifica se eles compartilham o mesmo domínio de base e têm uma estrutura de subdiretório semelhante. | Cria um possível relacionamento |
| Observável encontrado como origens no objeto de rede | A regra corresponde ao valor do atributo de origem da rede com observáveis IPV4, IPV6 ou nome de domínio no sistema e links como a origem do tráfego. | A regra corresponde ao valor do atributo Origem com observáveis IPV4, IPV6 ou nome de domínio no sistema e links como Origem de tráfego. | Cria um relacionamento |
| Observável encontrado como destino no objeto de rede | A regra corresponde ao valor do atributo de destino de rede com OBSERVÁVEIS IPV4, IPV6 ou nome de domínio no sistema e links como o destino do tráfego. | A regra corresponde ao valor do atributo Origem com observáveis IPV4, IPV6 ou nome de domínio no sistema e links como destino do tráfego. | Cria um relacionamento |
| Relacionar observáveis com base na comunicação | Com base em objetos de rede, a regra identifica todos os observáveis (IPV4, IPV6 e nome de domínio) que se comunicaram com o mesmo destino (IPV4, IPV6 ou nome de domínio) e estabelece um relacionamento entre esses observáveis. Observáveis relacionados (IPV4, IPV6 e nome de domínio) se estiverem relacionados ao mesmo objeto de rede que a origem se comunica com o destino. |
No baixo de objetos de rede, a regra identifica todos os indicadores que se comunicaram com o mesmo destino (IPV4, IPV6, mac-addr ou domain-name) e estabelece um relacionamento entre esses indicadores como conectados à mesma infraestrutura C2. | Cria um relacionamento |
| Observáveis de domínio raiz relacionados a subdomínios | A regra vincula um domínio raiz a subdomínios e vice-versa para o tipo de domínio de observáveis. | A regra vincula um domínio raiz a subdomínios. | Cria um relacionamento |
| Domínios relacionados a IPs com base em resoluções DNS | Usando atributos domain-ipv4 ou domain-ipv6 de observáveis de domínio, a regra estabelece relacionamentos entre os domínios e os IPs. | Use os atributos domain-ipv4 ou domain-ipv6, a regra identifica todos os domínios ou subdomínios que resolvem para o mesmo endereço IP e estabelece relacionamentos entre os indicadores, indicando sua conexão com a mesma infraestrutura C2. | Cria um relacionamento |
| Domínios correspondentes a certificados SSL | A regra analisa as informações do certificado SSL associadas aos observáveis de domínio e estabelece uma relação entre eles. | A regra analisa as informações do certificado SSL associadas aos indicadores e identifica que ambos os certificados são emitidos pela mesma autoridade de certificação e compartilham a mesma data de expiração e estabelece relacionamentos entre os indicadores, indicando sua conexão com a mesma infraestrutura C2 ou campanha de ameaça. | Cria um relacionamento |
| Relacionar entidades com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a duas entidades diferentes e as relaciona entre si. | A regra compara se o mesmo observável está relacionado a duas entidades diferentes e as identifica como relacionadas entre si. | Cria um possível relacionamento |
| Relacionar indicadores com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a dois indicadores diferentes e os relaciona entre si. | A regra compara se o mesmo observável está relacionado a dois indicadores diferentes e os identifica como relacionados entre si. | Cria um possível relacionamento |
| Relacionar indicadores a objetos com base em observáveis comuns | A regra compara se o mesmo observável está relacionado a indicadores e objetos e os relaciona entre si. | A regra compara se o mesmo observável está relacionado a dois indicadores e objetos diferentes e os identifica como relacionados entre si. | Cria um possível relacionamento |