Olivier Gallais wrote:
Bonjour,
J'essaie de déterminer les attributs les plus appropriés dans IODEF V2 pour décrire les informations suivantes :

• Outils(logiciels) utilisés par l’attaquant

• Incident->Discovery->DetectionPattern->Application ou AdditionalData

• Evènements unitaires corrélés par l’alerte (ID des évènements dans le SIEM, voire description/messages de ces évènements)

• Incident->EventData->Record->RecordData->observableid ou AdditionalData

• Alertes relatives à l’incident (lorsque l’on remonte un agrégat d’alertes comme incident potentiel à un outil de réponse à incident par exemple ; ou bien des alertes IDS corrélées par une règle SIEM)

• Incident->EventData->Record->RecordData->observableid ou AdditionalData

• Règle d’alerte ayant généré l’alerte constituant le message (IODEF)

• Incident->Method->Reference->Description ou bien Incident->EventData->Record->RecordData->observableid

Merci pour votre aide :)