Corrélation automatisée
La corrélation automatisée vous aide à identifier les relations entre les observables, les indicateurs et les objets.
Avec le processus de corrélation, l’application établit automatiquement la corrélation entre les enregistrements de renseignements sur les menaces en fonction des règles prédéfinies. Selon le type de règle appliquée, la relation peut être une relation confirmée ou une relation potentielle. Si les relations entre les objets sont confirmées, ces objets s’affichent automatiquement dans la vue de détails de cet objet dans la section Enregistrements connexes .
Les relations et les relations éventuelles sont décrites comme suit :
- Relations : utilisez les objets de relations pour lier deux observables ou un observable et SDO pour expliquer comment ils sont liés l’un à l’autre.
- Relations éventuelles : utilisez les relations potentielles pour établir des relations potentiellement possibles entre deux SDO, deux observables ou un observable et SDO à l’aide de la corrélation automatisée.
Voici les règles de corrélation prédéfinies mises en service dans le système de base :
| Nom de la règle | Description de la règle | Définition de règle | Action de règle |
|---|---|---|---|
| Observables avec le même hachage de fichier | La règle compare les valeurs de hachage des observables (du même type) et identifie s’ils partagent le même hachage. | La règle compare les valeurs de hachage (du même type) des indicateurs et identifie s’ils partagent le même hachage. | Crée une relation |
| Observables d’URL avec le même domaine | La règle examine les points communs dans la structure des URL pour déterminer si elles partagent le même domaine de base. | La règle examine les points communs dans la structure des URL - Identifie s’ils partagent le même domaine de base et ont une structure de sous-répertoire similaire. | Crée une relation potentielle |
| Observable trouvé en tant que sources dans l’objet réseau | La règle fait correspondre la valeur de l’attribut Source du réseau avec les observables IPV4, IPV6 ou de nom de domaine dans le système et les liens en tant que source du trafic. | La règle associe la valeur de l’attribut Source aux observables IPV4, IPV6 ou de nom de domaine dans le système et les liens en tant que source du trafic. | Crée une relation |
| Observable trouvé comme destination dans l’objet réseau | La règle fait correspondre la valeur de l’attribut de destination réseau avec les observables IPV4, IPV6 ou de nom de domaine dans le système et les liens comme destination du trafic. | La règle fait correspondre la valeur de l’attribut Source avec les observables IPV4, IPV6 ou de nom de domaine dans le système et les liens comme destination du trafic. | Crée une relation |
| Relier les observables basés sur la communication | Sur la base d’objets réseau, la règle identifie tous les observables (IPV4, IPV6 et nom de domaine) qui ont communiqué avec la même destination (IPV4, IPV6 ou nom de domaine) et établit une relation entre ces observables. Il s’agit également des observables associés (IPV4, IPV6 et nom de domaine) s’ils sont associés au même objet réseau que la source communiquant avec la destination. |
Sur le bassis des objets réseau, la règle identifie tous les indicateurs qui ont communiqué avec la même destination (IPV4, IPV6, mac-addr ou nom-de-domaine) et établit une relation entre ces indicateurs comme connectés à la même infrastructure C2. | Crée une relation |
| Observables du domaine racine connexe aux sous-domaines | La règle lie un domaine racine à des sous-domaines et vice versa pour le type de domaine des observables. | La règle lie un domaine racine à des sous-domaines. | Crée une relation |
| Domaines associés aux adresses IP en fonction des résolutions DNS | À l’aide des attributs domaine-ipv4 ou domaine-ipv6 des observables de domaine, la règle établit des relations entre les domaines et les adresses IP. | Utilisez les attributs domaine-ipv4 ou domaine-ipv6, La règle identifie tous les domaines ou sous-domaines qui se résolvent vers la même adresse IP et établit des relations entre les indicateurs, indiquant leur connexion à la même infrastructure C2. | Crée une relation |
| Domaines correspondants avec des certificats SSL | La règle analyse les informations de certificat SSL associées aux observables de domaine et établit une relation entre eux. | La règle analyse les informations de certificat SSL associées aux indicateurs et identifie que les deux certificats sont émis par la même autorité de certification et partagent la même date d’expiration. Elle établit des relations entre les indicateurs, indiquant leur connexion à la même infrastructure C2 ou à la même campagne de menaces. | Crée une relation |
| Relier des entités basées sur des observables communs | La règle compare si le même observable est associé à deux entités différentes et les relie l’une à l’autre. | La règle compare si le même observable est associé à deux entités différentes et les identifie comme étant associés l’un à l’autre. | Crée une relation potentielle |
| Relier les indicateurs basés sur des observables communs | La règle compare si le même observable est lié à deux indicateurs différents et les relie l’un à l’autre. | La règle compare si le même observable est lié à deux indicateurs différents et les identifie comme étant liés l’un à l’autre. | Crée une relation potentielle |
| Associer les indicateurs à des objets basés sur des observables communs | La règle compare si le même observable est lié à des indicateurs et des objets et les relie les uns aux autres. | La règle compare si le même observable est lié à deux indicateurs et objets différents et les identifie comme étant liés l’un à l’autre. | Crée une relation potentielle |