Project

General

Profile

Etude comparative format d'alertes - Centrale Supelec

User documentation
03/02/2018

Une des approches contribuant à la résilience des systèmes informatiques consiste à surveiller en continu leur fonctionnement afin de détecter les comportements indésirables (attaques, intrusions). L’objectif final est de ramener le système dans un état sain, éventuellement dans un mode dégradé, en exécutant des contre-mesures adéquates. Il est pour cela nécessaire de déployer différents composants qui doivent échanger de l’information sous forme d’alertes : sondes de détection, manager, base de données, interface de visualisation, etc. Dans ce contexte, la définition d’un format standard et ouvert pour les échanges d’alertes apparaît crucial. Ce format doit offrir une structuration et une richesse sémantique qui facilitent le classement et la contextualisation des alertes. Ces aspects sont essentiels pour optimiser le traitement automatiques des alertes (par exemple, la corrélation). L’utilisation d’un format standard facilite non seulement l’inter-opérabilité mais il permet également aux exploitants de capitaliser leurs efforts. Nous présentons dans cet article les résultats d’une étude comparative des formats d’alerte existants et nous proposons des pistes d’amélioration issues de ce retour d’expérience. Cette étude a été réalisée dans le cadre du projet RAPID SECEF qui s’intéresse notamment à proposer des améliorations au format IDMEF pour l’adapter au contexte actuel et faciliter son adoption.

Files

SECEF-Etude-Compartive-Format-Alertes.pdf (832 KB) Gilles Lehmann, 03/02/2018 03:02 PM