Формат обмена сообщениями об обнаружении вторжений
Используемый как часть компьютерной безопасности, IDMEF ( формат обмена сообщениями об обнаружении вторжений ) представляет собой формат данных, используемый для обмена информацией между программным обеспечением, обеспечивающим обнаружение и предотвращение вторжений, сбор информации о безопасности и системы управления, которым может потребоваться взаимодействовать с ними.Сообщения IDMEF предназначены для автоматической обработки. Подробности формата описаны в RFC 4765. Этот RFC представляет реализацию модели данных XML и связанное с ней DTD.Требования к этому формату описаны в RFC 4766, а рекомендуемый транспортный протокол (IDXP) документирован в RFC 4767.
ИДМЕФ [ править ]
Целью IDMEF является определение форматов данных и процедур обмена для обмена информацией, представляющей интерес для систем обнаружения и реагирования на вторжения, а также для систем управления, которым может потребоваться взаимодействовать с ними. Он используется в компьютерной безопасности для отчетности об инцидентах и обмена ими. Предназначен для легкой автоматической обработки.
IDMEF — это хорошо структурированный объектно-ориентированный формат, состоящий из 33 классов, содержащих 108 полей, включая три обязательных:
- Классификация
- Уникальный логин
- Дата создания оповещения.
В настоящее время можно создавать два типа сообщений IDMEF: Heartbeat или Alert.
Сердцебиение [ править ]
Сигналы Heartbeat отправляются анализаторами для указания их статуса. Эти сообщения отправляются через регулярные промежутки времени, период которых определяется в поле Heartbeat Interval. Если ни одно из этих сообщений не поступает в течение нескольких периодов времени, считайте, что этот анализатор не способен инициировать оповещения.
Оповещение [ править ]
Оповещения используются для описания произошедшей атаки. Основными областями, создающими оповещение, являются:
- CreateTime : дата создания оповещения.
- DetectTime : время обнаружения оповещения анализатором.
- AnalyserTime : время отправки оповещения анализатором.
- Источник : Подробная информация о происхождении атаки может быть службой, пользователем, процессом и/или узлом.
- Цель : сведениями о цели атаки может быть служба, пользователь, процесс и/или узел и файл.
- Классификация : Название атаки и ссылки, как CVE.
- Оценка : оценка атаки (серьезность, потенциальное воздействие и т. д.).
- Дополнительные данные : дополнительная информация об атаке.
Есть еще три типа оповещений, которые наследуются от этой схемы:
- CorrelationAlert : группировка оповещений, связанных друг с другом.
- ToolAlert : оповещения от одного и того же инструмента группировки.
- OverflowAlert : Оповещение, возникающее в результате атаки, так называемого переполнения буфера.
Пример [ править ]
Отчет IDMEF о ping of Death Attack может выглядеть следующим образом:
<?xml version="1.0"coding="UTF-8"?> <idmef:IDMEF-Message xmlns:idmef= "http://iana.org/idmef" version= "1.0" > <idmef:Alert messageid= "abc123456789" > <idmef:Analyzer Analysisrid= "bc-sensor01" > <idmef:Node Category= "dns" > <idmef:name> Sensor.example.com </idmef:name> </idmef:Node> </ idmef:Analyzer> <idmef:CreateTime ntpstamp= "0xbc71f4f5.0xef449129" > 2000-03-09T10:01:25.93464Z </idmef:CreateTime> <idmef:Source ident= "a1a2" spoofed= "yes" > <idmef: Node ident= "a1a2-1" > <idmef:Address ident= "a1a2-2" Category= "ipv4-addr" > <idmef:address> 192.0.2.200 </idmef:address> </idmef:Address> </ idmef:Node> </idmef:Source> <idmef:Target ident= "b3b4" > <idmef:Node> <idmef:Address ident= "b3b4-1" Category= "ipv4-addr" > <idmef:address> 192.0 .2.50 </idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Target ident= "c5c6" > <idmef:Node ident= "c5c6-1" Category= " nisplus" > <idmef:name> леденец </idmef:name> </idmef:Node> </idmef:Target> <idmef:Target ident= "d7d8" > <idmef:Node ident= "d7d8-1" > < idmef:location> Шкаф B10 </idmef:location> <idmef:name> Cisco.router.b10 </idmef:name> </idmef:Node> </idmef:Target> <idmef:Classification text= "Обнаружен пинг смерти" > <idmef:Reference origin= "cve" > <idmef:name> CVE- 1999-128 </idmef:name> <idmef:url> http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128 </idmef:url> </idmef :Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message> Инструменты, реализующие протокол IDMEF [ править ]
- Prelude (система обнаружения вторжений)
- ГНЕЗДА Фырканье
- NIDS Suricata. Архивировано 31 января 2018 г. в Wayback Machine ( [1] ).
- HIDS Оссек ( [2] )
- HIDS Самайн ( [3] )
- Саган
- Скотный двор 2
- Орхидеи
- LibPrelude : часть проекта Prelude OSS , libprelude позволяет обмениваться данными между агентами, используя формат IDMEF. Libprelude написан на C, но доступно несколько привязок (Python, Lua, Perl и т. д.). Его можно использовать в любых инструментах IDS с открытым исходным кодом.
- LibIDMEF : LibIDMEF — это реализация IETF ( Интернет-инженерной рабочей группы ), IDWG ( Рабочая группа по формату обмена данными для обнаружения вторжений ), проекта стандартного протокола IDMEF.
- IDMEF Framework Dotnet : библиотека Dotnet для создания объектов IDMEF и их экспорта в XML.
- DILCA — распределенная архитектура логической корреляции IDMEF. DILCA — это распределенная логическая архитектура корреляции и реагирования, обеспечивающая сбор и корреляцию событий журнала в формате IDMEF (формат обмена сообщениями об обнаружении вторжений — RFC 4765) через многоэтапную систему, основанную на сигнатурах.
- XML::IDMEF — модуль Perl для создания/анализа сообщений IDMEF. IDMEF.pm — это интерфейс для простого создания и анализа сообщений IDMEF. IDMEF — это протокол на основе XML, предназначенный в основном для представления предупреждающих сообщений системы обнаружения вторжений (IDS).
- Другой модуль для создания/анализа сообщений IDMEF.
- Плагин Snort IDMEF : Snort IDMEF — это XML-плагин IDMEF для Snort, предназначенный для вывода событий оповещений в форме сообщений IDMEF. Плагин совместим со Snort 2.x.
- Сервер Broccoli для отправки оповещений IDMEF через Prelude
- Конвертер формата IDMEF
- IDMEF-парсер
- Библиотека оповещений IDMEF для распределенных IDPS
Конкурирующие фреймворки [ править ]
Многие элементы телекоммуникационной сети создают охранную сигнализацию. [1] которые касаются обнаружения вторжений в соответствии с международными стандартами. Эти сигналы безопасности вставляются в обычный поток сигналов тревоги. [2] где их может увидеть и немедленно отреагировать персонал центра управления сетью .
Ссылки [ править ]
- ^ МСЭ-Т. «Рекомендация X.736: Информационные технологии – Взаимосвязь открытых систем – Управление системами: Функция сообщения о охранной сигнализации» . Проверено 5 сентября 2019 г.
- ^ МСЭ-Т. «Рекомендация X.733: Информационные технологии – Взаимосвязь открытых систем – Управление системами: Функция оповещения о тревогах» .
Внешние ссылки [ править ]
- (на английском языке) RFC 4765, Формат обмена сообщениями об обнаружении вторжений (IDMEF)
- (на английском языке) RFC 4766, Требования к обмену сообщениями при обнаружении вторжений (IDMEF)
- (на английском языке) RFC 4767, Протокол обмена при обнаружении вторжений (IDXP)
- (на английском языке) Правин Котари, Функциональная совместимость и стандартизация обнаружения вторжений , Читальный зал InfoSec Института SANS, 19 февраля 2002 г.
- (на английском языке) SECEF , Проект по продвижению форматов IDMEF и IODEF.
Учебники [ править ]
- Форматы . Краткое введение в форматы оповещений и их суть.
- Сравнение форматов оповещений , Длинное сравнение существующих форматов (CEF, LEEF, SDEE и т.д.)
- Формат IDMEF , Подробное описание формата IDMEF
- Формат SDEE , Подробная схема формата SDEE
- Как использовать IDMEF , Учебное пособие по контенту IDMEF и тому, как его использовать
- Как использовать LibPrelude . Подробное руководство по использованию LibPrelude и кодированию клиента IDMEF (Python, C, Ruby и т. д.).
- Как создать датчик . Подробное руководство по созданию нового датчика, который может обмениваться данными в IDMEF через библиотеку LibPrelude.
- LibPrelude IDMEF , Подробное описание всех полей IDMEF