Формат обмена сообщениями об обнаружении вторжений
Используемый как часть компьютерной безопасности, IDMEF ( формат обмена сообщениями об обнаружении вторжений ) представляет собой формат данных, используемый для обмена информацией между программным обеспечением, обеспечивающим обнаружение и предотвращение вторжений, сбор информации о безопасности и системы управления, которым может потребоваться взаимодействовать с ними. Сообщения IDMEF предназначены для автоматической обработки. Подробности формата описаны в RFC 4765. Этот RFC представляет реализацию модели данных XML и связанное с ней DTD. Требования к этому формату описаны в RFC 4766, а рекомендуемый транспортный протокол (IDXP) описан в RFC 4767.
ИДМЕФ [ править ]
Целью IDMEF является определение форматов данных и процедур обмена для обмена информацией, представляющей интерес для систем обнаружения и реагирования на вторжения, а также для систем управления, которым может потребоваться взаимодействовать с ними. Он используется в компьютерной безопасности для отчетности об инцидентах и обмена ими. Предназначен для легкой автоматической обработки.
IDMEF — это хорошо структурированный объектно-ориентированный формат, состоящий из 33 классов, содержащих 108 полей, включая три обязательных:
- Классификация
- Уникальный логин
- Дата создания оповещения.
В настоящее время можно создавать два типа сообщений IDMEF: Heartbeat или Alert.
Сердцебиение [ править ]
Сигналы Heartbeat отправляются анализаторами для указания их статуса. Эти сообщения отправляются через регулярные промежутки времени, период которых определяется в поле Heartbeat Interval. Если ни одно из этих сообщений не поступает в течение нескольких периодов времени, считайте, что этот анализатор не способен инициировать оповещения.
Оповещение [ править ]
Оповещения используются для описания произошедшей атаки. Основными областями, создающими оповещение, являются:
- CreateTime : дата создания оповещения.
- DetectTime : время обнаружения оповещения анализатором.
- AnalyserTime : время отправки оповещения анализатором.
- Источник : Подробная информация о происхождении атаки может быть службой, пользователем, процессом и/или узлом.
- Цель : сведениями о цели атаки может быть служба, пользователь, процесс и/или узел и файл.
- Классификация : Название атаки и ссылки, как CVE.
- Оценка : оценка атаки (серьезность, потенциальное воздействие и т. д.).
- Дополнительные данные : дополнительная информация об атаке.
Есть еще три типа оповещений, которые наследуются от этой схемы:
- CorrelationAlert : группировка оповещений, связанных друг с другом.
- ToolAlert : оповещения от одного и того же инструмента группировки.
- OverflowAlert : Оповещение, возникающее в результате атаки, так называемого переполнения буфера.
Пример [ править ]
Отчет IDMEF о ping of Death Attack может выглядеть следующим образом:
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-sensor01">
<idmef:Node category="dns">
<idmef:name>sensor.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime>
<idmef:Source ident="a1a2" spoofed="yes">
<idmef:Node ident="a1a2-1">
<idmef:Address ident="a1a2-2" category="ipv4-addr">
<idmef:address>192.0.2.200</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target ident="b3b4">
<idmef:Node>
<idmef:Address ident="b3b4-1" category="ipv4-addr">
<idmef:address>192.0.2.50</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Target>
<idmef:Target ident="c5c6">
<idmef:Node ident="c5c6-1" category="nisplus">
<idmef:name>lollipop</idmef:name>
</idmef:Node>
</idmef:Target>
<idmef:Target ident="d7d8">
<idmef:Node ident="d7d8-1">
<idmef:location>Cabinet B10</idmef:location>
<idmef:name>Cisco.router.b10</idmef:name>
</idmef:Node>
</idmef:Target>
<idmef:Classification text="Ping-of-death detected">
<idmef:Reference origin="cve">
<idmef:name>CVE-1999-128</idmef:name>
<idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
Инструменты, реализующие протокол IDMEF [ править ]
- Prelude (система обнаружения вторжений)
- ГНЕЗДА Фырканье
- NIDS Suricata. Архивировано 31 января 2018 г. в Wayback Machine ( [1] ).
- HIDS Оссек ( [2] )
- HIDS Самайн ( [3] )
- Саган
- Скотный двор 2
- Орхидеи
- LibPrelude : часть проекта Prelude OSS , libprelude позволяет обмениваться данными между агентами, используя формат IDMEF. Libprelude написан на C, но доступно несколько привязок (Python, Lua, Perl и т. д.). Его можно использовать в любых инструментах IDS с открытым исходным кодом.
- LibIDMEF : LibIDMEF — это реализация IETF ( Интернет-инженерной рабочей группы ), IDWG ( Рабочая группа по формату обмена данными для обнаружения вторжений ), проекта стандартного протокола IDMEF.
- IDMEF Framework Dotnet : библиотека Dotnet для создания объектов IDMEF и их экспорта в XML.
- DILCA — распределенная архитектура логической корреляции IDMEF. DILCA — это распределенная логическая архитектура корреляции и реагирования, обеспечивающая сбор и корреляцию событий журнала в формате IDMEF (формат обмена сообщениями об обнаружении вторжений — RFC 4765) через многоэтапную систему, основанную на сигнатурах.
- XML::IDMEF — модуль Perl для создания/анализа сообщений IDMEF. IDMEF.pm — это интерфейс для простого создания и анализа сообщений IDMEF. IDMEF — это протокол на основе XML, предназначенный главным образом для представления предупреждающих сообщений системы обнаружения вторжений (IDS).
- Другой модуль для создания/анализа сообщений IDMEF.
- Плагин Snort IDMEF : Snort IDMEF — это XML-плагин IDMEF для Snort, предназначенный для вывода событий оповещений в форме сообщений IDMEF. Плагин совместим со Snort 2.x.
- Сервер Broccoli для отправки оповещений IDMEF через Prelude
- Конвертер формата IDMEF
- IDMEF-парсер
- Библиотека оповещений IDMEF для распределенных IDPS
Конкурирующие фреймворки [ править ]
Многие элементы телекоммуникационной сети создают охранную сигнализацию. [1] которые касаются обнаружения вторжений в соответствии с международными стандартами. Эти сигналы безопасности вставляются в обычный поток сигналов тревоги. [2] где их может увидеть и немедленно отреагировать персонал центра управления сетью .
Ссылки [ править ]
- ^ МСЭ-Т. «Рекомендация X.736: Информационные технологии – Взаимосвязь открытых систем – Управление системами: Функция сообщения о охранной сигнализации» . Проверено 5 сентября 2019 г.
- ^ МСЭ-Т. «Рекомендация X.733: Информационные технологии – Взаимосвязь открытых систем – Управление системами: Функция оповещения о тревогах» .
Внешние ссылки [ править ]
- (на английском языке) RFC 4765, Формат обмена сообщениями об обнаружении вторжений (IDMEF)
- (на английском языке) RFC 4766, Требования к обмену сообщениями при обнаружении вторжений (IDMEF)
- (на английском языке) RFC 4767, Протокол обмена при обнаружении вторжений (IDXP)
- (на английском языке) Правин Котари, Функциональная совместимость и стандартизация обнаружения вторжений , Читальный зал InfoSec Института SANS, 19 февраля 2002 г.
- (на английском языке) SECEF , Проект по продвижению форматов IDMEF и IODEF.
Учебники [ править ]
- Форматы . Краткое введение в форматы оповещений и их суть.
- Сравнение форматов оповещений , Длинное сравнение существующих форматов (CEF, LEEF, SDEE и т.д.)
- Формат IDMEF , Подробное описание формата IDMEF
- Формат SDEE , Подробная схема формата SDEE
- Как использовать IDMEF , Учебное пособие по контенту IDMEF и тому, как его использовать
- Как использовать LibPrelude . Подробное руководство по использованию LibPrelude и кодированию клиента IDMEF (Python, C, Ruby и т. д.).
- Как создать датчик . Подробное руководство по созданию нового датчика, который может обмениваться данными в IDMEF через библиотеку LibPrelude.
- LibPrelude IDMEF , Подробное описание всех полей IDMEF