Project

General

Profile

IODEF V2 - Choix de classes et attributs pour le transport des règles d'alertes et alertes/évènements associés

Added by Olivier Gallais about 1 year ago

Olivier Gallais wrote:
Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IODEF V2 pour décrire les informations suivantes :
  • Outils(logiciels) utilisés par l’attaquant
  • Incident->Discovery->DetectionPattern->Application ou AdditionalData
  • Evènements unitaires corrélés par l’alerte (ID des évènements dans le SIEM, voire description/messages de ces évènements)
  • Incident->EventData->Record->RecordData->observableid ou AdditionalData
  • Alertes relatives à l’incident (lorsque l’on remonte un agrégat d’alertes comme incident potentiel à un outil de réponse à incident par exemple ; ou bien des alertes IDS corrélées par une règle SIEM)
  • Incident->EventData->Record->RecordData->observableid ou AdditionalData
  • Règle d’alerte ayant généré l’alerte constituant le message (IODEF)
  • Incident->Method->Reference->Description ou bien Incident->EventData->Record->RecordData->observableid

Merci pour votre aide :)