Les événements d'exfiltration d'une charge de travail sont mis en corrélation lorsqu'ils sont précédés d'événements de type infection observés sur la même charge de travail, c'est-à-dire des événements qui révèlent une charge de travail potentiellement compromise offrant au pirate la possibilité d'exécuter des actions arbitraires.

Par exemple, un événement Commande et contrôle ou un événement furtif sont suivis d'un événement réseau connu pour exfiltrer des données.

Pour plus d'informations sur la tactique d'exfiltration, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Exfiltration.

Une corrélation est établie lorsque des événements de déplacement latéral sortent d'un calcul sur lequel des événements de déplacement latéral entrants précédents ou des événements de type infection ont été observés.

Par exemple, un événement Commande et contrôle sur un calcul est suivi d'un déplacement latéral vers un autre calcul dans le réseau privé.

Pour plus d'informations sur la tactique de déplacement latéral, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Les événements de déplacement latéral qui sont suivis d'événements de type infection sont mis en corrélation.

Par exemple, si une activité RDP est détectée à partir de la charge de travail A vers la charge de travail B, l'activité Commande et contrôle qui s'ensuit est observée en provenance de la charge de travail B.

Pour plus d'informations sur la tactique de déplacement latéral, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

La corrélation est établie lorsqu'un événement de type infection furtif est suivi d'un événement Commande et contrôle.

Par exemple, une charge de travail qui visite un site Web malveillant génère un événement furtif, puis un événement Commande et contrôle se produit sur la même charge de travail.

Pour plus d'informations sur la technique de furtivité, reportez-vous à MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

La corrélation est établie lorsqu'un événement d'infection furtif est suivi d'un transfert de fichiers malveillants qui confirme la réussite de la tentative de furtivité et l'infection du client.

Pour plus d'informations sur la technique de furtivité, reportez-vous à MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

Une corrélation est établie pour les événements Commande et contrôle IDS qui partagent la même menace.

Par exemple, plusieurs hôtes créent des événements réseau IDS pour une menace Commande et contrôle spécifique pendant une courte période.

Pour plus d'informations sur la tactique Commande et contrôle, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Command and Control.

Une corrélation est établie pour les événements de fichiers malveillants qui partagent le même hachage de fichiers.

C'est le cas par exemple si plusieurs hôtes téléchargent tous le même rançongiciel dans un laps de temps réduit.

Les détections de la même menace sur la même charge de travail sont mises en corrélation. En fonction de cette règle, les détections ne sont incluses que dans les campagnes existantes.