Corrélation automatisée
La corrélation automatisée vous aide à identifier les relations entre les observables, les indicateurs et les objets.
Avec le processus de corrélation, l’application établit automatiquement la corrélation entre les enregistrements de renseignements sur les menaces en fonction des règles prédéfinies. Selon le type de règle appliquée, la relation peut être une relation confirmée ou une relation potentielle. Si les relations entre les objets sont confirmées, ces objets s’affichent automatiquement dans la vue de détails de cet objet dans la section Enregistrements connexes .
La section suivante décrit les relations et les relations potentielles :
- Relations : utilisez les objets de relations pour lier deux observables ou un observable et SDO pour expliquer comment ils sont liés l’un à l’autre.
- Relations potentielles : utilisez les relations potentielles pour établir des relations potentiellement possibles entre deux SDO, deux observables ou un observable et SDO à l’aide de la corrélation automatisée.
Les règles de corrélation pour les relations éventuelles identifient les relations potentielles entre les entités, les indicateurs et les observables de renseignements sur les menaces.
Remarque :Les quatre règles de corrélation qui génèrent des relations potentielles sont désactivées par défaut (pour plus de détails, reportez-vous au tableau Règles de corrélation suivant). L’activation de ces règles peut entraîner la création d’un grand nombre de relations potentielles, en fonction du volume de données ingérées. Les utilisateurs peuvent activer les règles en fonction de leurs besoins.
Voici les règles de corrélation prédéfinies fournies dans le système de base :
| Nom | Description | Définition | Action | Statut |
|---|---|---|---|---|
| Observables avec le même hachage de fichier | La règle compare les valeurs de hachage des observables du même type et identifie s’ils partagent le même hachage. | La règle compare les valeurs de hachage du même type d’indicateurs et identifie s’ils partagent le même hachage. | Crée une relation | Activée |
| Observables d’URL avec le même domaine | La règle examine les points communs dans la structure des URL pour déterminer si elles partagent le même domaine de base. | La règle examine les points communs dans la structure des URL. Identifie s’ils partagent le même domaine de base et ont une structure de sous-répertoire similaire. | Crée une relation potentielle | Désactivé |
| Observable trouvé en tant que sources dans l’objet réseau | La règle fait correspondre la valeur de l’attribut Source réseau aux observables IPV4, IPV6 ou nom de domaine dans le système et les liens en tant que source du trafic. | La règle fait correspondre la valeur de l’attribut Source aux observables IPV4, IPV6 ou domain-name dans le système et la lie en tant que source du trafic. | Crée une relation | Activée |
| Observable trouvé comme destination dans l’objet réseau | La règle fait correspondre la valeur de l’attribut Destination réseau avec les observables IPV4, IPV6 ou nom de domaine dans le système et les liens comme destination du trafic. | La règle fait correspondre la valeur de l’attribut de destination avec les observables IPV4, IPV6 ou domain-name dans le système et les liens comme destination du trafic. | Crée une relation | Activée |
| Relier les observables en fonction de la communication | En se basant sur les objets réseau, la règle identifie tous les observables (IPV4, IPV6 et nom de domaine) qui ont communiqué avec la même destination (IPV4, IPV6 ou nom de domaine) et établit une relation entre ces observables. De même, les observables associés (IPV4, IPV6 et nom de domaine) s’ils sont associés au même objet réseau que la source communiquant avec la destination. |
Sur la base d’objets réseau, la règle identifie tous les indicateurs qui ont communiqué avec la même destination (IPV4, IPV6, mac-addr ou domain-name) et établit une relation entre ces indicateurs comme étant connectés à la même infrastructure C2. | Crée une relation | Activée |
| Observables du domaine racine associés aux sous-domaines | La règle lie un domaine racine à des sous-domaines et vice versa pour le type de domaine des observables. | La règle relie un domaine racine à des sous-domaines. | Crée une relation | Activée |
| Domaines associés aux adresses IP en fonction des résolutions DNS | À l’aide des attributs domain-ipv4 ou domain-ipv6 des observables de domaine, la règle établit les relations entre les domaines et les adresses IP. | À l’aide des attributs domaine-ipv4 ou domaine-ipv6, la règle identifie tous les domaines ou sous-domaines qui se résolvent en la même adresse IP et établit des relations entre les indicateurs, indiquant leur connexion à la même infrastructure C2. | Crée une relation | Activée |
| Domaines correspondants avec des certificats SSL | La règle analyse les informations de certificat SSL associées aux observables de domaine et établit une relation entre eux. | La règle analyse les informations de certificat SSL associées aux indicateurs et identifie que les deux certificats sont émis par la même autorité de certification et partagent la même date d’expiration et établit des relations entre les indicateurs, indiquant leur connexion à la même infrastructure C2 ou à la même campagne de menaces. | Crée une relation | Activée |
| Relier les entités basées sur des observables communs | La règle compare si le même observable est lié à deux entités différentes et les relie l’une à l’autre. | La règle compare si le même observable est associé à deux entités différentes et les identifie comme associés l’un à l’autre. | Crée une relation potentielle | Désactivé |
| Relier les indicateurs basés sur des observables communs | La règle compare si le même observable est lié à deux indicateurs différents et les relie l’un à l’autre. | La règle compare si le même observable est lié à deux indicateurs différents et les identifie comme étant liés l’un à l’autre. | Crée une relation potentielle | Désactivé |
| Relier les indicateurs aux objets basés sur des observables communs | La règle compare si le même observable est lié à des indicateurs et des objets et les relie les uns aux autres. | La règle compare si le même observable est lié à des indicateurs et des objets et les identifie comme étant liés les uns aux autres. | Crée une relation potentielle | Désactivé |