Project

General

Profile

Start time end time

Aim

Whereas many formats display a duration for the events, including IODEF, IDMEF doesn't have a way to indicate this information.

Comments:

YV: This is already done with CreateTime and DetectTime.

SM: Not really, actually. A long attack can begin at 10 and end at 11 and be detected at 10:30 and created at 11:01. Besides, IODEF also has both creation and detection and information on the duration.

YV: I think this is a best practice : a sensor should always set DetectTime on the time the first event was detected, regardless of its type.

Solution 1:

Add start time and end time classes.

Impacted Class Proposed Field Type
StartTime Date Date
EndTime Date Date

Pros

  • Make IDMEF more like IODEF
  • These classes are very clear and understandable

Cons

  • IDMEF already contains three date classes. Add two more will make the format more complicated.

Solution 2:

Add a duration field, the detectTime would be the start of the event.

Impacted Class Proposed Field Type
Alert duration integer

Pros

  • Only add one field to the IDMEF tree

Cons

  • We need to explain that the detect time is the beginning of the event.

Meetings:

30/10/2015 Meeting: This information is really missing from the format and it could be interesting linked to a counter. We should prefer times over duration for consistency. However we should pay attention to the number of fields that is increasing.

YV : This topic has already been discussed. Please consult Hervé or myself about this.

Original comments:

YV: Rôle déjà rempli par CreateTime / detectTime
SM: Pas forcément une attaque sur une durée peut commencer à 10h finir à 11h, être détectée à 10h30 et être créée à 11h01 (IODEF fait aussi cette distinction)
YV: ça fait a mon avis parti des Best Practices : IE une sonde devrait toujours positionner l'élément DetectTime à l'heure du premier évènement détecté (quel qu'il soit : un paquet, une première alerte corrélée, etc

Commentaire HD/YV:

- Ce n'est pas le rôle d'IDMEF. La notion de durée est plus liée à des opérations de ticketing directement lié à IODEF.
- Compte des alertes == taille de la liste CorrelationAlert.
- Best Practice : si l'alerte commence à 10h00, mais est détectée à 10h30, alors soit la sonde connait la réelle heure de départ et la positionne correctement dans DetectTime (10h00), soit elle ne la connais pas, et nous ne disposons donc de toute façon pas de l'information. IDEM pour l'heure de création.