Project

General

Profile

IDMEF V2 - Attributs pour la règle d’alerte ayant généré l’alerte constituant le message

Added by Camille Gardet about 1 year ago

Olivier Gallais wrote:

Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IDMEF V2 pour décrire les informations suivantes :

  • Règle d’alerte ayant généré l’alerte constituant le message (IDMEF ou IODEF)
  • 2 options identifiées : Alert->CorrelationAlert->alertident ou bien Classification->Reference->name

Replies (1)

RE: IDMEF V2 - Attributs pour la règle d’alerte ayant généré l’alerte constituant le message - Added by Camille Gardet about 1 year ago

C'est bien la classe Reference présente dans Classification qu'il faut utiliser dans ce cas.

Dans IDMEF v1 (en marron dans le schéma ci-dessus), les attributs sont les suivants :
  • name : le nom de la référence, comme le nom de la règle, ou le nom du site fournissant la règle;
  • url : une url vers la référence, règle, ou la page du site fournissant des détails sur la règle, comment traiter l'alerte générée, etc.;
  • origin : l'origine de la référence. Les valeurs possibles sont :
unknown Origine inconnue
vendor-specific Le fabricant de l'équipement sur lequel l'alerte a été levée
user-specific Un utilisateur non affilié au fabricant de l'équipement
bugtraqid La base de vulnérabilité de SecurityFocus (http://www.securityfocus.com/bid)
cve Une base de CVE (comme http://cve.mitre.org/)
osvdb La base open source de vulnérabilité http://www.osvdb.org
  • meaning : Le sens de la référence, lorsque celle-ci est de type vendor-specific ou user-specific.
Dans IDMEF v2, 3 nouveaux attributs sont ajoutés (en blanc, dans le même schéma) :
  • version : la version de la référence;
  • author : l'auteur de la référence;
  • publication-time : date de publication de la référence;
    (1-1/1)