Формат обмена сообщениями об обнаружении вторжений - Intrusion Detection Message Exchange Format
Используется как часть компьютерной безопасности, IDMEF (Формат обмена сообщениями об обнаружении вторжений) - это формат данных, используемый для обмена информацией между программным обеспечением, обеспечивающим обнаружение вторжений, предотвращение вторжений, сбор информации о безопасности и системы управления, которым может потребоваться взаимодействие с ними. Сообщения IDMEF предназначены для автоматической обработки. Детали формата описаны в RFC 4765. В этом RFC представлена реализация XML модель данных и соответствующее DTD. Требования к этому формату описаны в RFC 4766, а рекомендуемый транспортный протокол (IDXP) задокументирован в RFC 4767
IDMEF
Целью IDMEF является определение форматов данных и процедур обмена для обмена интересующей информацией обнаружения вторжений системы реагирования и системы управления, которым может потребоваться взаимодействие с ними. Он используется в компьютерная безопасность для сообщения об инцидентах и обмена ими. Он предназначен для легкой автоматической обработки.
IDMEF - это хорошо структурированный объектно-ориентированный формат, который состоит из 33 классов, содержащих 108 полей, включая три обязательных:
- Классификация
- Уникальный логин
- Дата создания оповещения.
В настоящее время можно создать два типа сообщений IDMEF: Сердцебиение или же Тревога
Сердцебиение
Анализаторы отправляют данные Heartbeats, чтобы указать их статус. Эти сообщения отправляются с регулярными интервалами, период которых определяется в поле Heartbeat Interval. Если ни одно из этих сообщений не поступает в течение нескольких периодов времени, считайте, что этот анализатор не может запускать предупреждения.
Тревога
Оповещения используются для описания произошедшей атаки. Основными областями оповещения являются:
- CreateTime: Дата создания оповещения
- DetectTime: время обнаружения оповещения анализатором
- AnalyzerTime: Время отправки оповещения анализатором.
- Источник: Подробная информация об источнике атаки может быть услугой, пользователем, процессом и / или узлом.
- Цель: Подробная информация о цели атаки может быть услугой, пользователем, процессом и / или узлом и файлом.
- Классификация: Название атаки и ссылки в виде CVE
- Оценка: Оценка атаки (серьезность, потенциальное воздействие и т. Д.)
- Дополнительная информация: Дополнительная информация об атаке
От этой схемы наследуются еще три типа предупреждений:
- CorrelationAlert: Группировка предупреждений, связанных друг с другом
- ToolAlert: оповещения от того же инструмента группировки
- OverflowAlert: Предупреждение в результате атаки так называемого переполнения буфера
Пример
Отчет IDMEF о пинг смерти приступ может выглядеть следующим образом:
<?xml version="1.0" encoding="UTF-8"?> xmlns: idmef ="http://iana.org/idmef" версия ="1.0"> messageid ="abc123456789"> analyzerid ="bc-sensor01"> категория ="днс"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> ntpstamp ="0xbc71f4f5.0xef449129">2000-03-09T10: 01: 25.93464Z</idmef:CreateTime> identity ="a1a2" подделано ="да"> identity ="a1a2-1"> identity ="a1a2-2" категория ="ipv4-адрес"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> identity ="b3b4"> <idmef:Node> identity ="b3b4-1" категория ="ipv4-адрес"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> identity =«c5c6»> identity =«c5c6-1» категория ="нисплюс"> <idmef:name>леденец</idmef:name> </idmef:Node> </idmef:Target> identity =«d7d8»> identity ="d7d8-1"> <idmef:location>Шкаф B10</idmef:location> <idmef:name>Cisco.router.b10</idmef:name> </idmef:Node> </idmef:Target> текст ="Обнаружен пинг смерти"> origin ="cve"> <idmef:name>CVE-1999-128</idmef:name> <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert></idmef:IDMEF-Message> Инструменты, реализующие протокол IDMEF
- Prelude (система обнаружения вторжений)
- NIDS Snort
- NIDS Suricata ([1] )
- HIDS Ossec ([2] )
- HIDS Samhain ([3] )
- Саган
- Скотный двор 2
- Орхидеи
- LibPrelude : Часть Прелюдия проекта OSS, libprelude позволяет взаимодействовать между агентами в формате IDMEF. Libprelude написан на C, но доступно несколько привязок (Python, Lua, Perl и т. Д.). Его можно использовать в любых инструментах IDS с открытым исходным кодом.
- LibIDMEF : LibIDMEF - это реализация IETF (Инженерная группа Интернета), IDWG ( Рабочая группа Устава по формату обмена обнаружением вторжений), проект стандартного протокола IDMEF.
- IDMEF Framework Dotnet : Библиотека Dotnet для создания объектов IDMEF и экспорта их в XML.
- DILCA - Распределенная архитектура логической корреляции IDMEF: DILCA - это распределенная архитектура логической корреляции и реакции, включающая сбор и корреляцию событий журнала в формате IDMEF (формат обмена сообщениями об обнаружении вторжений - RFC 4765 ) через многоступенчатую систему на основе подписи.
- XML :: IDMEF - Модуль Perl для создания / анализа сообщений IDMEF: IDMEF.pm - это интерфейс для простого создания и анализа сообщений IDMEF. IDMEF - это протокол на основе XML, разработанный в основном для представления предупреждающих сообщений об обнаружении вторжений (IDS).
- Другой модуль для создания / анализа сообщений IDMEF
- Плагин Snort IDMEF : Snort IDMEF - это плагин IDMEF XML для Snort для вывода тревожных событий в форме сообщений IDMEF. Плагин совместим с Snort 2.x.
- Сервер Broccoli для отправки предупреждений IDMEF через Prelude
- Конвертер для формата IDMEF
- Парсер IDMEF
- Библиотека предупреждений IDMEF для распределенных IDPS
Конкурирующие рамки
Многие элементы телекоммуникационной сети выдают охранную сигнализацию.[1] которые предназначены для обнаружения вторжений в соответствии с международными стандартами. Эти охранные сигналы тревоги вставляются в обычный поток сигналов тревоги,[2] где они могут быть замечены и незамедлительно приняты персоналом в центр сетевых операций.
Рекомендации
- ^ ITU-T. «Рекомендация X.736: Информационные технологии - Взаимодействие открытых систем - Управление системами: функция оповещения о тревогах». Получено 5 сентября 2019.
- ^ ITU-T. «Рекомендация X.733: Информационные технологии - Взаимодействие открытых систем - Управление системами: функция отчетов об аварийных сигналах».
внешняя ссылка
- (по-английски) RFC 4765, Формат обмена сообщениями об обнаружении вторжений (IDMEF)
- (по-английски) RFC 4766, Требования к обмену сообщениями об обнаружении вторжений (IDMEF)
- (по-английски) RFC 4767, Протокол обмена обнаружением вторжений (IDXP)
- (по-английски) Правин Котари, Взаимодействие и стандартизация системы обнаружения вторжений, Читальный зал Инфобезопасности института SANS, 19 февраля 2002 г.
- (по-английски) SECEF, Проект по продвижению форматов IDMEF и IODEF
Учебники
- Форматы, Краткое знакомство с форматами предупреждений и их сущностью
- Сравнение форматов предупреждений, Долгое сравнение существующих форматов (CEF, LEEF, SDEE и др.)
- Формат IDMEF, Подробное описание формата IDMEF
- Форматировать SDEE, Подробная схема формата SDEE
- Как использовать IDMEF, Учебное пособие по содержанию IDMEF и его использованию
- Как использовать LibPrelude, Подробное руководство по использованию LibPrelude и программированию клиента IDMEF (Python, C, Ruby и т. Д.)
- Как построить датчик, Подробное руководство о том, как создать новый датчик, который может взаимодействовать в IDMEF через библиотеку LibPrelude.
- LibPrelude IDMEF, Подробное описание всех полей IDMEF