Project

General

Profile

IDMEF V2 - Choix de classe et attributs pour le transport des règles d'alertes et alertes/évènements associés

Added by Olivier Gallais over 1 year ago

Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IDMEF V2 pour décrire les informations suivantes :
  • Outils(logiciels) utilisés par l’attaquant
  • pas de champs spécifique (AdditionalData ?)
  • Evènements unitaires corrélés par l’alerte (ID des évènements dans le SIEM, voire description/messages de ces évènements)
  • pas de champs spécifique (AdditionalData ?)
  • Alertes relatives à l’incident (lorsque l’on remonte un agrégat d’alertes comme incident potentiel à un outil de réponse à incident par exemple ; ou bien des alertes IDS corrélées par une règle SIEM)
  • Alert->CorrelationAlert->alertident ou bien Classification->Reference->name
  • Règle d’alerte ayant généré l’alerte constituant le message (IDMEF ou IODEF)
  • 2 options identifiées : Alert->CorrelationAlert->alertident ou bien Classification->Reference->name

Merci pour votre aide :)


Replies (4)

RE: IDMEF V2 - Choix de classe et attributs pour le transport des règles d'alertes et alertes/évènements associés - Added by Yoann Vandoorselaere over 1 year ago

Olivier Gallais wrote:

Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IDMEF V2 pour décrire les informations suivantes :
  • Outils(logiciels) utilisés par l’attaquant

ToolAlert (section 4.2.2.1 de la RFC).

The ToolAlert class carries additional information related to the use
of attack tools or malevolent programs such as Trojan horses and can
be used by the analyzer when it is able to identify these tools. It
is intended to group one or more previously-sent alerts together, to
say "these alerts were all the result of someone using this tool".

  • Evènements unitaires corrélés par l’alerte (ID des évènements dans le SIEM, voire description/messages de ces évènements)

CorrelationAlert (section 4.2.2.2 de la RFC)

The CorrelationAlert class carries additional information related to
the correlation of alert information. It is intended to group one or
more previously-sent alerts together, to say "these alerts are all
related".

RE: IDMEF V2 - Choix de classe et attributs pour le transport des règles d'alertes et alertes/évènements associés - Added by Camille Gardet over 1 year ago

Bonjour,

Afin de faciliter les échanges concernant vos demandes, je me suis permis de les découper en 4 posts distincts, que vous retrouverez ici:

Outils utilisés par l'attaquant : https://redmine.secef.net/boards/5/topics/56
Evénements unitaires corrélés : https://redmine.secef.net/boards/5/topics/57
Alertes relatives à l'incident : https://redmine.secef.net/boards/5/topics/58
Règle d'alerte ayant généré l'alerte : https://redmine.secef.net/boards/5/topics/59

RE: IDMEF V2 - Choix de classe et attributs pour le transport des règles d'alertes et alertes/évènements associés - Added by Olivier Gallais over 1 year ago

Merci Yoann pour ces précisions.

@Camille : si je peux permettre, je ne trouve pas cela vraiment pertinent car les choix d'attributs pour ces informations sont très interdépendants, et que l'on risque de se poser plusieurs fois les mêmes questions dans deux sujets. Typiquement, Correlation Alert est fait pour documenter des alertes associées à l'arte principalement décrite, mais quid du champ pour les évènement corrélés par l'alerte dans ce cas?

RE: IDMEF V2 - Choix de classe et attributs pour le transport des règles d'alertes et alertes/évènements associés - Added by Camille Gardet over 1 year ago

Le découpage ne se fait pas par attributs/classes IDMEF mais pas sujet. Dans chaque sujet, nous pourrons parler de plusieurs attributs/classes. Nous avons travaillé de cette façon sur SECEF et le résultat était apprécié par les intervenants.
Si besoin, vous pouvez créer des sujet complémentaires si certains points ne sont pas traités.

    (1-4/4)