Формат обмена описанием объекта инцидента - Википедия - Incident Object Description Exchange Format
Эта статья нужны дополнительные цитаты для проверка.Май 2016) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Используется для компьютерной безопасности, ИОДЕФ (Объект инцидента Описание Формат обмена) - это формат данных, который используется для описания информации о компьютерной безопасности с целью обмена между Группы реагирования на инциденты компьютерной безопасности (CSIRT ).
ИОДЕФ сообщения организованы в удобочитаемом виде, а не в машинном формате. Подробности формата описаны в RFC 5070 и обновлено в RFC 6685. Версия 2 формата определена в RFC 7970, которая заменяет предыдущую версию. В этом RFC представлена реализация модели данных в XML а также связанный с ним DTD. Дальнейшее руководство по внедрению IODEF v2 определено в RFC 8274.
Одна из основных характеристик ИОДЕФ его совместимость с IDMEF Формат обмена сообщениями об обнаружении вторжений разработан для систем обнаружения вторжений. По этой причине IODEF в значительной степени основан на IDMEF и обеспечивает обратную совместимость с ним.
Формат
IODEF - это объектно-ориентированный структурированный формат, в первой версии состоящий из 47 классов. IODEF и IDMEF форматы, имеющие много общего: структура поля аналогична структуре IDMEF, и это расширяемый формат: в дополнение к обычному классу дополнительных данных, который позволяет добавлять любую информацию, относящуюся к сообщению IODEF, большинство перечислений снабжено " ext "поле. Это поле используется, когда ни один из предложенных вариантов не подходит.
Вот список основных полей:
- IncidentID: Один. Идентификационный номер инцидента, присвоенный этому инциденту CSIRT, которая создает документ IODEF.
- AlternativeID: Ноль или один. Идентификационные номера инцидентов, используемые другими CSIRT для ссылки на инцидент, описанный в документе.
- Связанная деятельность: Ноль или один. Идентификационные номера инцидентов, связанных с инцидентом, описанным в этом документе.
- DetectTime: Ноль или один. Время, когда инцидент был обнаружен впервые.
- Начальное время : Ноль или один. Время начала инцидента.
- Время окончания : Ноль или один. Время, когда инцидент закончился.
- ReportTime: Один. Время, когда было сообщено об инциденте.
- Описание : Ноль или больше. ML_STRING. Неформатированное текстовое описание события.
- Оценка : Один или больше. Характеристика воздействия инцидента.
- Метод: Ноль или больше. Приемы, использованные злоумышленником во время инцидента.
- Контакт : Один или больше. Контактная информация групп, причастных к инциденту.
- EventData: Ноль или больше. Описание событий, связанных с инцидентом.
- История: Ноль или больше. Журнал событий или заметных действий, имевших место во время управления инцидентами.
- Дополнительная информация : Ноль или больше. Механизм, расширяющий модель данных.
Программное обеспечение с использованием IODEF
- Прелюдия SIEM
- IODEFLIB : Библиотека Python для создания, анализа и редактирования отчетов о кибер-инцидентах с использованием формата IODEF XML (RFC 5070 )
- RT-IODEF : Модуль Perl для преобразования заявок RT в сообщения IODEF, а также сопоставляет IODEF с настраиваемыми полями RT на основе их тегов описания.
- Mantis IODEF Импортер : Импортер IODEF (v1.0) для Mantis Cyber Threat Intelligence Mgmt. Рамки
- ArcSight-IODEF-Perl : Модуль Perl для преобразования arcsight xml в стандартизированное сообщение iodef
- Реализации IODEF
- IODEF DBI
- IODEF Pb : Эта библиотека отображает IODEF (RFC 5070 ) в библиотеку сериализации буфера протокола Google.
- XML :: IODEF - Модуль Perl для простого создания / анализа документов IODEF.
- Модуль форматирования вывода Stix для: Iodef :: Pb :: Simple
- Библиотека для разбора IODEF в PHP
внешняя ссылка
- RFC 5070 - Формат обмена описанием объекта инцидента (IODEF)
- RFC 6685 - Экспертный обзор расширений формата обмена описанием объектов инцидентов (IODEF) в реестре IANA XML
- RFC 7203 - Расширение формата обмена описанием объекта инцидента (IODEF) для структурированной информации о кибербезопасности
- RFC 7970 - Описание объекта инцидента в формате обмена версия 2
- RFC 8274 - Описание объекта инцидента Руководство по использованию формата обмена
- SECEF, Проект по продвижению форматов IDMEF и IODEF