Gli eventi di esfiltrazione sono correlati in un carico di lavoro e sono preceduti da eventi di tipo infezione presenti nello stesso carico di lavoro, ovvero eventi che rivelano un carico di lavoro potenzialmente compromesso in modo da offrire all'autore dell'attacco la possibilità di eseguire azioni arbitrarie.

Ad esempio, un evento di comando o drive-by è seguito da un evento di rete che esegue l'esfiltrazione di dati.

Per ulteriori informazioni sulla tattica di esfiltrazione, vedere MITRE ATT&CK → Tactics → Enterprise → Exfiltration.

La correlazione viene stabilita quando gli eventi di spostamento laterale escono da una risorsa di elaborazione in cui si sono verificati precedenti eventi di spostamento laterale in entrata o eventi di tipo infezione.

Ad esempio, un evento di comando e controllo in una risorsa di elaborazione è seguito da uno spostamento laterale verso un'altra risorsa di elaborazione nella rete privata.

Per ulteriori informazioni sulla tattica dello spostamento laterale, vedere MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Vengono correlati gli eventi di spostamento laterale seguiti da eventi di tipo infezione.

Ad esempio, l'attività RDP viene rilevata dal carico di lavoro A verso il carico di lavoro B e quindi viene eseguita un'attività di comando e controllo successiva proveniente dal carico di lavoro B.

Per ulteriori informazioni sulla tattica dello spostamento laterale, vedere MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

La correlazione viene stabilita quando un evento di infezione drive-by è seguito da un evento di comando e controllo.

Ad esempio, un carico di lavoro visita un sito Web dannoso. Viene generato un evento drive-by e di conseguenza si verifica un evento di comando e controllo nello stesso carico di lavoro.

Per ulteriori informazioni sulla tecnica drive-by, vedere MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

La correlazione viene stabilita quando un evento di infezione drive-by è seguito da un trasferimento di file dannoso che conferma il successo del tentativo drive-by e l'infezione del client.

Per ulteriori informazioni sulla tecnica drive-by, vedere MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise

La correlazione viene stabilita per gli eventi di comando e controllo IDS che condividono la stessa minaccia.

Ad esempio, più host creano tutti eventi di rete IDS per una minaccia di comando e controllo specifica in un breve periodo di tempo.

Per ulteriori informazioni sulla tattica di comando e controllo, vedere MITRE ATT&CK → Tactics → Enterprise → Command and Control.

Viene stabilita la correlazione per gli eventi di file dannosi che condividono lo stesso hash di file.

Ad esempio, più host scaricano tutti lo stesso ransomware in un periodo di tempo ridotto.

Vengono correlati i rilevamenti della stessa minaccia nello stesso carico di lavoro. In base a questa regola, i rilevamenti sono inclusi solo nelle campagne esistenti.