IDMEF
Účelem IDMEF ( I ntrusion D etection M essage E Xchange F ormat )
je definovat formáty dat a výměnu postupy pro sdílení informací o zájmu detekce
narušení a reakce systémů a systémů řízení, které může být nutné komunikovat s
nimi. Používá se v oblasti počítačové bezpečnosti pro incidenty hlášení a
výměně. Je určen pro snadné automatické zpracování. Podrobnosti formát je popsán
v RFC 4765 . implementace datového modelu v Extensible Markup Language (XML) je
zobrazena a XML Document Type Definition je vyvinut.
Obsah
1 Příklad
2 Nástroje prováděcí protokol IDMEF
3 Software
implementaci protokolu IDMEF
4 Reference
Příklad [ editovat ]
IDMEF
zpráva Ping of Death útoku může vypadat takto:
<?xml version = "1.0" encoding = "UTF-8" ?>
<idmef:IDMEF-Message xmlns:idmef
= "http://iana.org/idmef" version = "1.0" >
<idmef:Alert messageid =
"abc123456789" >
<idmef:Analyzer analyzerid = "bc-sensor01" >
<idmef:Node category = "dns" >
<idmef:name > sensor.example.com </idmef:name
>
</idmef:Node >
</idmef:Analyzer >
<idmef:CreateTime ntpstamp =
"0xbc71f4f5.0xef449129" > 2000-03-09T10:01:25.93464Z </idmef:CreateTime >
<idmef:Source ident = "a1a2" spoofed = "yes" >
<idmef:Node ident = "a1a2-1"
>
<idmef:Address ident = "a1a2-2" category = "ipv4-addr" >
<idmef:address > 192.0.2.200 </idmef:address >
</idmef:Address >
</idmef:Node >
</idmef:Source >
<idmef:Target ident = "b3b4" >
<idmef:Node >
<idmef:Address ident = "b3b4-1" category = "ipv4-addr" >
<idmef:address > 192.0.2.50 </idmef:address >
</idmef:Address >
</idmef:Node >
</idmef:Target >
<idmef:Target ident = "c5c6" >
<idmef:Node ident = "c5c6-1" category = "nisplus" >
<idmef:name > lollipop
</idmef:name >
</idmef:Node >
</idmef:Target >
<idmef:Target ident =
"d7d8" >
<idmef:Node ident = "d7d8-1" >
<idmef:location > Cabinet B10
</idmef:location >
<idmef:name > Cisco.router.b10 </idmef:name >
</idmef:Node >
</idmef:Target >
<idmef:Classification text =
"Ping-of-death detected" >
<idmef:Reference origin = "cve" >
<idmef:name
> CVE-1999-128 </idmef:name >
<idmef:url >
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128 </idmef:url >
</idmef:Reference >
</idmef:Classification >
</idmef:Alert >
</idmef:IDMEF-Message >
Nástroje prováděcí protokol IDMEF [ editovat ]
LibPrelude : Část Prelude OSS projekt , libprelude umožňuje komunikaci mezi
agenty pomocí formátu IDMEF. Libprelude je kódovaný v C, ale více vázání jsou k
dispozici (python, Lua, perl, atd.). To může být použit v jakékoliv IDS nástroje
open-source.
LibIDMEF : LibIDMEF je implementace Internet Engineering Task
Force (IETF), Intrusion Detection Exchange Formát Listina Working Group (IDWG),
protokol návrh normy Intrusion Detection Message Exchange Format (IDMEF).