Project

General

Profile

IDMEF V2 - Attributs pour outils(logiciels) utilisés par l’attaquant

Added by Camille Gardet over 3 years ago

Olivier Gallais wrote:

Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IDMEF V2 pour décrire les informations suivantes :
  • Outils(logiciels) utilisés par l’attaquant
  • pas de champs spécifique (AdditionalData ?)

Replies (1)

RE: IDMEF V2 - Attributs pour outils(logiciels) utilisés par l’attaquant - Added by Camille Gardet over 3 years ago

Dans IDMEF V1, la classe "ToolAlert" est prévue pour ça. Elle contient les attributs suivants :

  • name - indique le nom de l'outil/logiciel
  • command - la commande executée
  • alertident - les ID des alertes liées à cet outil/logiciel

Dans IDMEF V2, cette classe est supprimée. Nous la trouvions "trop haute" dans l'arborescence d'IDMEF. En effet, la classe n'était pas liée à une alerte en particulier, et devait référencer celle-ci.
A la place, nous suggérons d'utiliser la classe "Process", existante dans IDMEF V1 et toujours présente dans IDMEF V2, liée à la source de l'alerte. Ces attributs sont les suivants :

  • name - indique le nom du processus du logiciel/outil étant la source de l'alerte
  • pid - l'id du processus (si disponible)
  • tid - l'id du thread (si disponible)
  • path - le chemin complet où se trouve l'application (si disponible)
  • arg - les arguments passée à l'exécution du logiciel/outil (si disponible)
  • env - les variables d'environnement accompagnant le processus (de la forme VARIABLE=valeur) (si disponible)
  • ident - un identifiant unique propre à l'implémentation

Nous sommes évidemment ouverts aux suggestions, il est tout à fait possible d'échanger sur l'arborescence des classes et de leurs attributs.

ToolAlert.png View (6.51 KB)

Source.png View (31.1 KB)

    (1-1/1)