Формат обмена описанием объекта инцидента - Википедия - Incident Object Description Exchange Format

Используется для компьютерной безопасности, ИОДЕФ (Объект инцидента Описание Формат обмена) - это формат данных, который используется для описания информации о компьютерной безопасности с целью обмена между Группы реагирования на инциденты компьютерной безопасности (CSIRT ).

ИОДЕФ сообщения организованы в удобочитаемом виде, а не в машинном формате. Подробности формата описаны в RFC 5070 и обновлено в RFC 6685. Версия 2 формата определена в RFC 7970, которая заменяет предыдущую версию. В этом RFC представлена ​​реализация модели данных в XML а также связанный с ним DTD. Дальнейшее руководство по внедрению IODEF v2 определено в RFC 8274.

Одна из основных характеристик ИОДЕФ его совместимость с IDMEF Формат обмена сообщениями об обнаружении вторжений разработан для систем обнаружения вторжений. По этой причине IODEF в значительной степени основан на IDMEF и обеспечивает обратную совместимость с ним.

Формат

IODEF-Schema.png

IODEF - это объектно-ориентированный структурированный формат, в первой версии состоящий из 47 классов. IODEF и IDMEF форматы, имеющие много общего: структура поля аналогична структуре IDMEF, и это расширяемый формат: в дополнение к обычному классу дополнительных данных, который позволяет добавлять любую информацию, относящуюся к сообщению IODEF, большинство перечислений снабжено " ext "поле. Это поле используется, когда ни один из предложенных вариантов не подходит.

Вот список основных полей:

  • IncidentID: Один. Идентификационный номер инцидента, присвоенный этому инциденту CSIRT, которая создает документ IODEF.
  • AlternativeID: Ноль или один. Идентификационные номера инцидентов, используемые другими CSIRT для ссылки на инцидент, описанный в документе.
  • Связанная деятельность: Ноль или один. Идентификационные номера инцидентов, связанных с инцидентом, описанным в этом документе.
  • DetectTime: Ноль или один. Время, когда инцидент был обнаружен впервые.
  • Начальное время : Ноль или один. Время начала инцидента.
  • Время окончания : Ноль или один. Время, когда инцидент закончился.
  • ReportTime: Один. Время, когда было сообщено об инциденте.
  • Описание : Ноль или больше. ML_STRING. Неформатированное текстовое описание события.
  • Оценка : Один или больше. Характеристика воздействия инцидента.
  • Метод: Ноль или больше. Приемы, использованные злоумышленником во время инцидента.
  • Контакт : Один или больше. Контактная информация групп, причастных к инциденту.
  • EventData: Ноль или больше. Описание событий, связанных с инцидентом.
  • История: Ноль или больше. Журнал событий или заметных действий, имевших место во время управления инцидентами.
  • Дополнительная информация : Ноль или больше. Механизм, расширяющий модель данных.

Программное обеспечение с использованием IODEF

внешняя ссылка

  • RFC 5070 - Формат обмена описанием объекта инцидента (IODEF)
  • RFC 6685 - Экспертный обзор расширений формата обмена описанием объектов инцидентов (IODEF) в реестре IANA XML
  • RFC 7203 - Расширение формата обмена описанием объекта инцидента (IODEF) для структурированной информации о кибербезопасности
  • RFC 7970 - Описание объекта инцидента в формате обмена версия 2
  • RFC 8274 - Описание объекта инцидента Руководство по использованию формата обмена
  • SECEF, Проект по продвижению форматов IDMEF и IODEF