Формат обмена сообщениями об обнаружении вторжений - Intrusion Detection Message Exchange Format

Используется как часть компьютерной безопасности, IDMEF (Формат обмена сообщениями об обнаружении вторжений) - это формат данных, используемый для обмена информацией между программным обеспечением, обеспечивающим обнаружение вторжений, предотвращение вторжений, сбор информации о безопасности и системы управления, которым может потребоваться взаимодействие с ними. Сообщения IDMEF предназначены для автоматической обработки. Детали формата описаны в RFC 4765. В этом RFC представлена ​​реализация XML модель данных и соответствующее DTD. Требования к этому формату описаны в RFC 4766, а рекомендуемый транспортный протокол (IDXP) задокументирован в RFC 4767

IDMEF

IDMEF-Schema.png

Целью IDMEF является определение форматов данных и процедур обмена для обмена интересующей информацией обнаружения вторжений системы реагирования и системы управления, которым может потребоваться взаимодействие с ними. Он используется в компьютерная безопасность для сообщения об инцидентах и ​​обмена ими. Он предназначен для легкой автоматической обработки.

IDMEF - это хорошо структурированный объектно-ориентированный формат, который состоит из 33 классов, содержащих 108 полей, включая три обязательных:

  • Классификация
  • Уникальный логин
  • Дата создания оповещения.

В настоящее время можно создать два типа сообщений IDMEF: Сердцебиение или же Тревога

Сердцебиение

Анализаторы отправляют данные Heartbeats, чтобы указать их статус. Эти сообщения отправляются с регулярными интервалами, период которых определяется в поле Heartbeat Interval. Если ни одно из этих сообщений не поступает в течение нескольких периодов времени, считайте, что этот анализатор не может запускать предупреждения.

Тревога

Оповещения используются для описания произошедшей атаки. Основными областями оповещения являются:

  • CreateTime: Дата создания оповещения
  • DetectTime: время обнаружения оповещения анализатором
  • AnalyzerTime: Время отправки оповещения анализатором.
  • Источник: Подробная информация об источнике атаки может быть услугой, пользователем, процессом и / или узлом.
  • Цель: Подробная информация о цели атаки может быть услугой, пользователем, процессом и / или узлом и файлом.
  • Классификация: Название атаки и ссылки в виде CVE
  • Оценка: Оценка атаки (серьезность, потенциальное воздействие и т. Д.)
  • Дополнительная информация: Дополнительная информация об атаке

От этой схемы наследуются еще три типа предупреждений:

  • CorrelationAlert: Группировка предупреждений, связанных друг с другом
  • ToolAlert: оповещения от того же инструмента группировки
  • OverflowAlert: Предупреждение в результате атаки так называемого переполнения буфера

Пример

Отчет IDMEF о пинг смерти приступ может выглядеть следующим образом:

<?xml version="1.0" encoding="UTF-8"?> xmlns: idmef ="http://iana.org/idmef" версия ="1.0">   messageid ="abc123456789">     analyzerid ="bc-sensor01">       категория ="днс">        <idmef:name>sensor.example.com</idmef:name>      </idmef:Node>    </idmef:Analyzer>     ntpstamp ="0xbc71f4f5.0xef449129">2000-03-09T10: 01: 25.93464Z</idmef:CreateTime>     identity ="a1a2" подделано ="да">       identity ="a1a2-1">         identity ="a1a2-2" категория ="ipv4-адрес">          <idmef:address>192.0.2.200</idmef:address>        </idmef:Address>      </idmef:Node>    </idmef:Source>     identity ="b3b4">      <idmef:Node>         identity ="b3b4-1" категория ="ipv4-адрес">          <idmef:address>192.0.2.50</idmef:address>        </idmef:Address>      </idmef:Node>    </idmef:Target>     identity =«c5c6»>       identity =«c5c6-1» категория ="нисплюс">        <idmef:name>леденец</idmef:name>      </idmef:Node>    </idmef:Target>     identity =«d7d8»>       identity ="d7d8-1">        <idmef:location>Шкаф B10</idmef:location>        <idmef:name>Cisco.router.b10</idmef:name>      </idmef:Node>    </idmef:Target>     текст ="Обнаружен пинг смерти">       origin ="cve">        <idmef:name>CVE-1999-128</idmef:name>        <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>      </idmef:Reference>    </idmef:Classification>  </idmef:Alert></idmef:IDMEF-Message>

Инструменты, реализующие протокол IDMEF

Конкурирующие рамки

Многие элементы телекоммуникационной сети выдают охранную сигнализацию.[1] которые предназначены для обнаружения вторжений в соответствии с международными стандартами. Эти охранные сигналы тревоги вставляются в обычный поток сигналов тревоги,[2] где они могут быть замечены и незамедлительно приняты персоналом в центр сетевых операций.

Рекомендации

  1. ^ ITU-T. «Рекомендация X.736: Информационные технологии - Взаимодействие открытых систем - Управление системами: функция оповещения о тревогах». Получено 5 сентября 2019.
  2. ^ ITU-T. «Рекомендация X.733: Информационные технологии - Взаимодействие открытых систем - Управление системами: функция отчетов об аварийных сигналах».

внешняя ссылка

  • (по-английски) RFC 4765, Формат обмена сообщениями об обнаружении вторжений (IDMEF)
  • (по-английски) RFC 4766, Требования к обмену сообщениями об обнаружении вторжений (IDMEF)
  • (по-английски) RFC 4767, Протокол обмена обнаружением вторжений (IDXP)
  • (по-английски) Правин Котари, Взаимодействие и стандартизация системы обнаружения вторжений, Читальный зал Инфобезопасности института SANS, 19 февраля 2002 г.
  • (по-английски) SECEF, Проект по продвижению форматов IDMEF и IODEF

Учебники