Формат обмена описанием объекта инцидента
Эта статья нуждается в дополнительных цитатах для проверки . ( май 2016 г. ) |
![]() | Эта статья включает список литературы , связанную литературу или внешние ссылки , но ее источники остаются неясными, поскольку в ней отсутствуют встроенные цитаты . ( Июль 2024 г. ) |
), используемый для компьютерной безопасности IODEF ( формат обмена описанием объекта инцидента , представляет собой формат данных, который используется для описания информации о компьютерной безопасности с целью обмена между группами реагирования на инциденты компьютерной безопасности ( CSIRT ).
Сообщения IODEF организованы в удобочитаемом виде, а не в машинном формате. Подробности формата описаны в RFC 5070 и обновлены в RFC 6685. Версия 2 формата определена в RFC 7970, который заменяет предыдущую версию. В этом RFC представлена реализация модели данных в XML , а также связанное с ней DTD. Дальнейшие рекомендации по реализации IODEF v2 определены в RFC 8274.
Одной из основных характеристик IODEF является его совместимость с форматом обмена сообщениями IDMEF об обнаружении вторжений, разработанным для систем обнаружения вторжений. По этой причине IODEF во многом основан на IDMEF и обеспечивает обратную совместимость с ним.
Формат
[ редактировать ]
IODEF — это объектно-ориентированный структурированный формат, в первой версии состоящий из 47 классов. Форматы IODEF и IDMEF имеют много общего: структура полей аналогична структуре IDMEF и является расширяемым форматом: в дополнение к обычному дополнительному классу данных, который позволяет добавлять любую информацию, относящуюся к сообщению IODEF, большинство перечислений являются снабжен полем «ext». Это поле используется, когда ни один из предложенных вариантов не подходит.
Вот список основных полей:
Имя поля | Количество полей | Описание |
---|---|---|
Идентификатор инцидента | 1 | Идентификационный номер инцидента, присвоенный этому инциденту CSIRT, создавшей документ IODEF. |
АльтернативныйID | 0 или 1 | Идентификаторы инцидентов, используемые другими CSIRT для обозначения инцидента, описанного в документе. |
Связанная деятельность | 0 или 1 | Идентификационные номера инцидентов, связанных с описанным в этом документе. |
Время обнаружения | 0 или 1 | Время, когда инцидент был обнаружен впервые. |
Время начала | 0 или 1 | Время начала инцидента. |
Время окончания | 0 или 1 | Время окончания инцидента. |
Время отчета | 1 | Время, когда было сообщено о происшествии. |
Описание | 0 или более | ( ML_STRING ) Неформатированное текстовое описание события.
|
Оценка | 0 или более | Характеристика воздействия инцидента. |
Метод | 0 или более | Техники, использованные злоумышленником во время инцидента. |
Контакт | 0 или более | Контактная информация групп, причастных к инциденту. |
EventData | 0 или более | Описание событий, связанных с инцидентом. |
История | 0 или более | Журнал событий или заметных действий, которые произошли во время управления инцидентом. |
Дополнительные данные | 0 или более | Механизм, расширяющий модель данных. |
Программное обеспечение с использованием IODEF
[ редактировать ]- SIEM прелюдия
- IODEFLIB : библиотека Python для создания, анализа и редактирования отчетов о киберинцидентах с использованием формата IODEF XML (RFC 5070).
- RT-IODEF : модуль Perl для перевода билетов RT в сообщения IODEF, а также сопоставляет IODEF с настраиваемыми полями RT на основе их тега описания.
- Mantis IODEF Importer : импортер IODEF (v1.0) для Mantis Cyber Threat Intelligence Mgmt. Рамки
- ArcSight-IODEF-Perl : модуль Perl для преобразования xml arcsight в стандартизированное сообщение iodef.
- Реализации IODEF
- ИОДЕФ ДБИ
- IODEF Pb : эта библиотека сопоставляет IODEF (RFC 5070) с библиотекой сериализации буферов протокола Google.
- XML :: IODEF – модуль Perl для простого создания/анализа документов IODEF.
- Средство форматирования вывода Stix для: Iodef::Pb::Simple
- Библиотека для парсинга IODEF в PHP
Внешние ссылки
[ редактировать ]- RFC 5070 – Формат обмена описаниями объектов инцидентов (IODEF)
- RFC 6685 — Экспертная проверка расширений формата обмена описаниями объектов инцидентов (IODEF) в XML-реестре IANA
- RFC 7203 — расширение формата обмена описаниями объектов инцидентов (IODEF) для структурированной информации о кибербезопасности.
- RFC 7970 – Формат обмена описанием объекта инцидента, версия 2
- RFC 8274 – Руководство по использованию формата описания объекта инцидента
- SECEF , Проект по продвижению форматов IDMEF и IODEF.