Start time end time¶
Aim¶
Whereas many formats display a duration for the events, including IODEF, IDMEF doesn't have a way to indicate this information.
Comments:¶
YV: This is already done with CreateTime and DetectTime.
SM: Not really, actually. A long attack can begin at 10 and end at 11 and be detected at 10:30 and created at 11:01. Besides, IODEF also has both creation and detection and information on the duration.
YV: I think this is a best practice : a sensor should always set DetectTime on the time the first event was detected, regardless of its type.
Solution 1:¶
Add start time and end time classes.
| Impacted Class | Proposed Field | Type |
|---|---|---|
| StartTime | Date | Date |
| EndTime | Date | Date |
Pros¶
- Make IDMEF more like IODEF
- These classes are very clear and understandable
Cons¶
- IDMEF already contains three date classes. Add two more will make the format more complicated.
Solution 2:¶
Add a duration field, the detectTime would be the start of the event.
| Impacted Class | Proposed Field | Type |
|---|---|---|
| Alert | duration | integer |
Pros¶
- Only add one field to the IDMEF tree
Cons¶
- We need to explain that the detect time is the beginning of the event.
Meetings:¶
30/10/2015 Meeting: This information is really missing from the format and it could be interesting linked to a counter. We should prefer times over duration for consistency. However we should pay attention to the number of fields that is increasing.
YV : This topic has already been discussed. Please consult Hervé or myself about this.
Original comments:
YV: Rôle déjà rempli par CreateTime / detectTime
SM: Pas forcément une attaque sur une durée peut commencer à 10h finir à 11h, être détectée à 10h30 et être créée à 11h01 (IODEF fait aussi cette distinction)
YV: ça fait a mon avis parti des Best Practices : IE une sonde devrait toujours positionner l'élément DetectTime à l'heure du premier évènement détecté (quel qu'il soit : un paquet, une première alerte corrélée, etc
Commentaire HD/YV:
- Ce n'est pas le rôle d'IDMEF. La notion de durée est plus liée à des opérations de ticketing directement lié à IODEF.
- Compte des alertes == taille de la liste CorrelationAlert.
- Best Practice : si l'alerte commence à 10h00, mais est détectée à 10h30, alors soit la sonde connait la réelle heure de départ et la positionne correctement dans DetectTime (10h00), soit elle ne la connais pas, et nous ne disposons donc de toute façon pas de l'information. IDEM pour l'heure de création.