자동 상관 관계
자동화된 상관관계는 옵저버블, 표시기 및 객체 간의 관계를 식별하는 데 도움이 됩니다.
상관관계 프로세스를 사용하면 애플리케이션이 미리 정의된 규칙에 따라 위협 인텔리전스 기록 간의 상관관계를 자동으로 설정합니다. 적용되는 규칙의 유형에 따라 관계는 확인된 관계 또는 잠재 관계일 수 있습니다. 객체 간의 관계가 확인되면 해당 객체가 관련 기록 섹션에 있는 해당 객체의 상세 정보 보기에 자동으로 표시됩니다.
다음은 관계 및 잠재 관계에 대해 설명합니다.
- 관계: 관계 객체를 사용하여 두 개의 옵저버블 또는 옵저버블과 SDO를 함께 연결하여 서로 어떻게 관련되는지 설명합니다.
- 잠재성 관계: 잠재성 관계를 사용하여 자동화된 상관 관계를 사용하여 두 SDO, 두 옵저버블 또는 옵저버블과 SDO 간에 잠재적으로 가능한 관계를 설정합니다.
잠재성 관계에 대한 상관관계 규칙은 위협 인텔리전스 엔터티, 표시기 및 옵저버블 간의 잠재적 관계를 식별합니다.
주:잠재성 관계를 생성하는 4개의 상관관계 규칙은 기본적으로 비활성화되어 있습니다(자세한 내용은 다음 상관관계 규칙 테이블 참조). 이러한 규칙을 사용하면 수집된 데이터의 양에 따라 많은 수의 잠재 관계가 생성될 수 있습니다. 사용자는 요구 사항에 따라 규칙을 사용할 수 있습니다.
다음은 기본 시스템 내에 프로비저닝된 미리 정의된 상관관계 규칙입니다.
| 이름 | 설명 | 정의 | 작업 | 상태 |
|---|---|---|---|---|
| 파일 해시가 동일한 옵저버블 | 이 규칙은 동일한 유형의 옵저버블 해시 값을 비교하고 동일한 해시를 공유하는지 식별합니다. | 이 규칙은 동일한 유형의 표시기의 해시 값을 비교하고 동일한 해시를 공유하는지 식별합니다. | 관계 작성 | 사용 |
| 동일한 도메인의 URL 옵저버블 | 이 규칙은 URL 구조의 공통성을 검사하여 동일한 기본 도메인을 공유하는지 확인합니다. | 이 규칙은 URL 구조의 공통성을 검사합니다. 동일한 기본 도메인을 공유하고 유사한 하위 디렉터리 구조를 사용하는지 식별합니다. | 잠재성 관계 생성 | 사용 안 함 |
| 옵저버블이 네트워크 개체에서 소스로 발견됨 | 이 규칙은 네트워크 소스 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽의 소스로 연결합니다. | 이 규칙은 소스 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽의 소스로 연결합니다. | 관계 작성 | 사용 |
| 네트워크 개체에서 대상으로 옵저버블 찾음 | 이 규칙은 네트워크 대상 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽의 대상으로 연결합니다. | 이 규칙은 대상 속성 값을 시스템의 IPV4, IPV6 또는 도메인 이름 옵저버블과 일치시키고 트래픽의 대상으로 연결합니다. | 관계 작성 | 사용 |
| 통신을 기반으로 옵저버블 연결 | 이 규칙은 네트워크 개체를 기반으로 동일한 대상(IPV4, IPV6 또는 도메인 이름)과 통신한 모든 옵저버블(IPV4, IPV6 및 도메인 이름)을 식별하고 이러한 옵저버블 간의 관계를 설정합니다. 또한 관련 옵저버블(IPV4, IPV6 및 도메인 이름)이 대상과 통신하는 소스와 동일한 네트워크 개체와 관련된 경우 |
이 규칙은 네트워크 개체를 기반으로 동일한 대상(IPV4, IPV6, mac-addr 또는 domain-name)과 통신한 모든 표시기를 식별하고 동일한 C2 인프라에 연결된 이러한 표시기 간의 관계를 설정합니다. | 관계 작성 | 사용 |
| 관련 루트 도메인 하위 도메인에 대한 옵저버블 | 이 규칙은 옵저버블의 도메인 유형에 대해 루트 도메인과 하위 도메인을 묶고 그 반대의 경우도 마찬가지입니다. | 이 규칙은 루트 도메인과 하위 도메인을 결합합니다. | 관계 작성 | 사용 |
| DNS 확인에 기반한 IP에 대한 관련 도메인 | 이 규칙은 도메인 옵저버블의 domain-ipv4 또는 domain-ipv6 속성을 사용하여 도메인과 IP 간의 관계를 설정합니다. | 규칙은 domain-ipv4 또는 domain-ipv6 속성을 사용하여 동일한 IP 주소로 확인하는 모든 도메인 또는 하위 도메인을 식별하고 표시기 간의 관계를 설정하여 동일한 C2 인프라에 대한 연결을 나타냅니다. | 관계 작성 | 사용 |
| SSL 인증서가 있는 일치하는 도메인 | 이 규칙은 도메인 옵저버블과 연결된 SSL 인증서 정보를 분석하고 둘 사이의 관계를 설정합니다. | 이 규칙은 표시기와 연결된 SSL 인증서 정보를 분석하여 두 인증서가 동일한 인증 기관에서 발급되었고 동일한 만료 날짜를 공유하는지 식별하고 표시기 간의 관계를 설정하여 동일한 C2 인프라 또는 위협 캠페인에 대한 연결을 나타냅니다. | 관계 작성 | 사용 |
| 공통 옵저버블을 기반으로 엔터티 연결 | 이 규칙은 동일한 옵저버블이 서로 다른 두 엔터티와 관련이 있고 서로 관련되어 있는지 비교합니다. | 이 규칙은 동일한 옵저버블이 서로 다른 두 엔터티와 관련이 있는지 비교하고 서로 관련된 것으로 식별합니다. | 잠재성 관계 생성 | 사용 안 함 |
| 공통 옵저버블을 기반으로 표시기 연결 | 이 규칙은 동일한 옵저버블이 서로 다른 두 지표와 관련이 있고 서로 관련되어 있는지 비교합니다. | 이 규칙은 동일한 옵저버블이 두 개의 서로 다른 표시기와 관련이 있는지 비교하고 서로 관련된 것으로 식별합니다. | 잠재성 관계 생성 | 사용 안 함 |
| 공통 옵저버블을 기반으로 표시기와 객체 연결 | 이 규칙은 동일한 옵저버블이 표시기 및 객체와 관련이 있고 서로 관련이 있는지 비교합니다. | 이 규칙은 동일한 옵저버블이 표시기 및 객체와 관련이 있는지 비교하고 서로 관련된 것으로 식별합니다. | 잠재성 관계 생성 | 사용 안 함 |