Los eventos de exfiltración se correlacionan con una carga de trabajo precedida por eventos de tipo infección observados en la misma carga de trabajo, es decir, eventos que traicionan una carga de trabajo potencialmente comprometida de tal forma que ofrecen al atacante la capacidad de ejecutar acciones arbitrarias.

Por ejemplo, un evento de comando y comando o drive-by va seguido de un evento de red que sabemos que está exfiltrando datos.

Para obtener más información sobre la táctica de exfiltración, consulte MITRE ATT&CK → Tactics → Enterprise → Exfiltration.

La correlación se establece cuando los eventos de movimiento lateral pasan de un recurso informático en el que se observaron eventos de tipo infección o eventos de movimiento lateral entrantes anteriores.

Por ejemplo, un evento de comando y control en un recurso informático va seguido de un movimiento lateral hacia otro recurso informático en la red privada.

Para obtener más información sobre la táctica de movimiento lateral, consulte MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Los eventos de movimiento lateral que van seguidos por eventos de tipo infección están correlacionados.

Por ejemplo, se detecta actividad de RDP desde la carga de trabajo A hacia la carga de trabajo B y, después, se observa actividad de comando y control originada en la carga de trabajo B.

Para obtener más información sobre la táctica de movimiento lateral, consulte MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

La correlación se establece cuando un evento de infección drive-by es seguido por un evento de comando y control.

Por ejemplo, una carga de trabajo visita un sitio web malintencionado, se genera un evento drive-by y, a continuación, se produce un evento de comando y control en la misma carga de trabajo.

Para obtener más información sobre la técnica drive-by, consulte MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

La correlación se establece cuando un evento de infección drive-by es seguido de una transferencia de archivos malintencionados que confirma el éxito del intento drive-by y la infección del cliente.

Para obtener más información sobre la técnica drive-by, consulte MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

Se establece una correlación para los eventos de comando y control de IDS que comparten la misma amenaza.

Por ejemplo, varios hosts crean eventos de red de IDS para una amenaza específica de comando y control en un pequeño período de tiempo.

Para obtener más información sobre la táctica de comando y control, consulte MITRE ATT&CK → Tactics → Enterprise → Command and Control.

Se establece una correlación para los eventos de archivos malintencionados que comparten el mismo hash de archivo.

Por ejemplo, varios hosts descargan el mismo ransomware en un corto periodo de tiempo.

Las detecciones de la misma amenaza en la misma carga de trabajo están correlacionadas. Según esta regla, solo se incluyen las detecciones en las campañas existentes.