IDMEF V2 - Attributs pour les alertes relatives à l’incident - SECEF

IDMEF V2 - Attributs pour les alertes relatives à l’incident

Added by Camille Gardet over 5 years ago

Olivier Gallais wrote:

Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IDMEF V2 pour décrire les informations suivantes :

Alertes relatives à l’incident (lorsque l’on remonte un agrégat d’alertes comme incident potentiel à un outil de réponse à incident par exemple ; ou bien des alertes IDS corrélées par une règle SIEM)

Alert->CorrelationAlert->alertident ou bien Classification->Reference->name

Replies (1)

RE: IDMEF V2 - Attributs pour les alertes relatives à l’incident - Added by Camille Gardet over 5 years ago

Dans le cas de remontée d'alerte formant un agrégat d'autres alertes, l'utilisation de l'alerte de corrélation est privilégiée. Comme le montre l'exemple suivant :

Dans IDMEF v1, l'attribut alertident de l'alerte de corrélation doit contenir la liste des identifiants des alertes constituant l'alerte de corrélation.
Dans IDMEF v2, ce même attribut contient un tuple regroupant l'identifiant de l'analyseur et le messageid. Cepandant, ce changement n'impacte pas la logique derrière la remontée d'un agrégat d'alerte.

example_correlation.png View (19.1 KB)

(1-1/1)

Project

General

Profile