IDMEF V2 - Attributs pour outils(logiciels) utilisés par l’attaquant
Added by Camille Gardet over 3 years ago
Olivier Gallais wrote:
Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IDMEF V2 pour décrire les informations suivantes :
- Outils(logiciels) utilisés par l’attaquant
- pas de champs spécifique (AdditionalData ?)
Replies (1)
RE: IDMEF V2 - Attributs pour outils(logiciels) utilisés par l’attaquant - Added by Camille Gardet over 3 years ago
Dans IDMEF V1, la classe "ToolAlert" est prévue pour ça. Elle contient les attributs suivants :
- name - indique le nom de l'outil/logiciel
- command - la commande executée
- alertident - les ID des alertes liées à cet outil/logiciel
Dans IDMEF V2, cette classe est supprimée. Nous la trouvions "trop haute" dans l'arborescence d'IDMEF. En effet, la classe n'était pas liée à une alerte en particulier, et devait référencer celle-ci.
A la place, nous suggérons d'utiliser la classe "Process", existante dans IDMEF V1 et toujours présente dans IDMEF V2, liée à la source de l'alerte. Ces attributs sont les suivants :
- name - indique le nom du processus du logiciel/outil étant la source de l'alerte
- pid - l'id du processus (si disponible)
- tid - l'id du thread (si disponible)
- path - le chemin complet où se trouve l'application (si disponible)
- arg - les arguments passée à l'exécution du logiciel/outil (si disponible)
- env - les variables d'environnement accompagnant le processus (de la forme VARIABLE=valeur) (si disponible)
- ident - un identifiant unique propre à l'implémentation
Nous sommes évidemment ouverts aux suggestions, il est tout à fait possible d'échanger sur l'arborescence des classes et de leurs attributs.