IDMEF V2 - Attributs pour la règle d’alerte ayant généré l’alerte constituant le message
Added by Camille Gardet over 4 years ago
Olivier Gallais wrote:
Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IDMEF V2 pour décrire les informations suivantes :
- Règle d’alerte ayant généré l’alerte constituant le message (IDMEF ou IODEF)
- 2 options identifiées : Alert->CorrelationAlert->alertident ou bien Classification->Reference->name
Replies (1)
RE: IDMEF V2 - Attributs pour la règle d’alerte ayant généré l’alerte constituant le message - Added by Camille Gardet over 4 years ago
C'est bien la classe Reference présente dans Classification qu'il faut utiliser dans ce cas.
- name : le nom de la référence, comme le nom de la règle, ou le nom du site fournissant la règle;
- url : une url vers la référence, règle, ou la page du site fournissant des détails sur la règle, comment traiter l'alerte générée, etc.;
- origin : l'origine de la référence. Les valeurs possibles sont :
unknown | Origine inconnue |
vendor-specific | Le fabricant de l'équipement sur lequel l'alerte a été levée |
user-specific | Un utilisateur non affilié au fabricant de l'équipement |
bugtraqid | La base de vulnérabilité de SecurityFocus (http://www.securityfocus.com/bid) |
cve | Une base de CVE (comme http://cve.mitre.org/) |
osvdb | La base open source de vulnérabilité http://www.osvdb.org |
- meaning : Le sens de la référence, lorsque celle-ci est de type vendor-specific ou user-specific.
- version : la version de la référence;
- author : l'auteur de la référence;
- publication-time : date de publication de la référence;
Classification.png View (39.5 KB)