Формат обмена описанием объекта инцидента

), используемый для компьютерной безопасности IODEF ( формат обмена описанием объекта инцидента , представляет собой формат данных, который используется для описания информации о компьютерной безопасности с целью обмена между группами реагирования на инциденты компьютерной безопасности ( CSIRT ).

Сообщения IODEF организованы в удобочитаемом виде, а не в машинном формате. Подробности формата описаны в RFC 5070 и обновлены в RFC 6685. Версия 2 формата определена в RFC 7970, который заменяет предыдущую версию. В этом RFC представлена реализация модели данных в XML , а также связанное с ней DTD. Дальнейшие рекомендации по реализации IODEF v2 определены в RFC 8274.

Одной из основных характеристик IODEF является его совместимость с форматом обмена сообщениями IDMEF об обнаружении вторжений, разработанным для систем обнаружения вторжений. По этой причине IODEF во многом основан на IDMEF и обеспечивает обратную совместимость с ним.

Формат

IODEF — это объектно-ориентированный структурированный формат, в первой версии состоящий из 47 классов. Форматы IODEF и IDMEF имеют много общего: структура полей аналогична структуре IDMEF и является расширяемым форматом: в дополнение к обычному дополнительному классу данных, который позволяет добавлять любую информацию, относящуюся к сообщению IODEF, большинство перечислений являются снабжен полем «ext». Это поле используется, когда ни один из предложенных вариантов не подходит.

Вот список основных полей:

Имя поля	Количество полей	Описание
Идентификатор инцидента	1	Идентификационный номер инцидента, присвоенный этому инциденту CSIRT, создавшей документ IODEF.
АльтернативныйID	0 или 1	Идентификаторы инцидентов, используемые другими CSIRT для обозначения инцидента, описанного в документе.
Связанная деятельность	0 или 1	Идентификационные номера инцидентов, связанных с описанным в этом документе.
Время обнаружения	0 или 1	Время, когда инцидент был обнаружен впервые.
Время начала	0 или 1	Время начала инцидента.
Время окончания	0 или 1	Время окончания инцидента.
Время отчета	1	Время, когда было сообщено о происшествии.
Описание	0 или более	( `ML_STRING`) Неформатированное текстовое описание события.
Оценка	0 или более	Характеристика воздействия инцидента.
Метод	0 или более	Техники, использованные злоумышленником во время инцидента.
Контакт	0 или более	Контактная информация групп, причастных к инциденту.
EventData	0 или более	Описание событий, связанных с инцидентом.
История	0 или более	Журнал событий или заметных действий, которые произошли во время управления инцидентом.
Дополнительные данные	0 или более	Механизм, расширяющий модель данных.

Программное обеспечение с использованием IODEF

SIEM прелюдия
IODEFLIB : библиотека Python для создания, анализа и редактирования отчетов о киберинцидентах с использованием формата IODEF XML (RFC 5070).
RT-IODEF : модуль Perl для перевода билетов RT в сообщения IODEF, а также сопоставляет IODEF с настраиваемыми полями RT на основе их тега описания.
Mantis IODEF Importer : импортер IODEF (v1.0) для Mantis Cyber Threat Intelligence Mgmt. Рамки
ArcSight-IODEF-Perl : модуль Perl для преобразования xml arcsight в стандартизированное сообщение iodef.
Реализации IODEF
ИОДЕФ ДБИ
IODEF Pb : эта библиотека сопоставляет IODEF (RFC 5070) с библиотекой сериализации буферов протокола Google.
XML :: IODEF – модуль Perl для простого создания/анализа документов IODEF.
Средство форматирования вывода Stix для: Iodef::Pb::Simple
Библиотека для парсинга IODEF в PHP

Внешние ссылки

RFC 5070 – Формат обмена описаниями объектов инцидентов (IODEF)
RFC 6685 — Экспертная проверка расширений формата обмена описаниями объектов инцидентов (IODEF) в XML-реестре IANA
RFC 7203 — расширение формата обмена описаниями объектов инцидентов (IODEF) для структурированной информации о кибербезопасности.
RFC 7970 – Формат обмена описанием объекта инцидента, версия 2
RFC 8274 – Руководство по использованию формата описания объекта инцидента
SECEF , Проект по продвижению форматов IDMEF и IODEF.