Popis objektu incidentu Formát výměny - Incident Object Description Exchange Format - Wikipedia
 | tento článek potřebuje další citace pro ověření. (Květen 2016) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) |
Používá se pro počítačovou bezpečnost, IODEF (Popis objektu incidentu Formát výměny) je datový formát, který se používá k popisu počítačových bezpečnostních informací za účelem výměny mezi Týmy pro reakci na počítačové bezpečnosti (Týmy CSIRT ).
IODEF zprávy jsou organizovány způsobem čitelným pro člověka, nikoli strojovým formátem. Podrobnosti o formátu jsou popsány v RFC 5070 a aktualizováno v RFC 6685. Verze 2 formátu je definována v RFC 7970, která nahrazuje předchozí verzi. Tento RFC představuje implementaci datového modelu v XML stejně jako související DTD. Další pokyny k implementaci pro IODEF v2 jsou definovány v RFC 8274.
Jednou z hlavních charakteristik IODEF je jeho kompatibilita s IDMEF Formát výměny zpráv detekce narušení vyvinutý pro systémy detekce narušení. Z tohoto důvodu je IODEF silně založen na IDMEF a poskytuje s ním zpětnou kompatibilitu.
Formát
IODEF je objektově orientovaný strukturovaný formát složený ze 47 tříd v první verzi. IODEF a IDMEF formáty, které mají mnoho společného: struktura pole je podobná IDMEF a jedná se o rozšiřitelný formát: kromě obvyklé třídy doplňkových dat, která umožňuje přidávat jakékoli informace související se zprávou IODEF, je většina výčtů opatřena " ext "pole. Toto pole se používá, když se nehodí žádná z navrhovaných možností.
Zde je seznam hlavních polí:
- ID incidentu: Jeden. Identifikační číslo incidentu přidělené tomuto incidentu CSIRT, který vytváří dokument IODEF.
- AlternativeID: Nula nebo jedna. ID incidentů použitá jinými CSIRT k označení incidentu popsaného v dokumentu.
- Související aktivita: Nula nebo jedna. Identifikační čísla incidentů souvisejících s incidenty popsanými v tomto dokumentu.
- DetectTime: Nula nebo jedna. Čas, kdy byl incident zjištěn poprvé.
- Doba spuštění : Nula nebo jedna. Čas, kdy incident začal.
- EndTime: Nula nebo jedna. Čas, kdy incident skončil.
- ReportTime: Jeden. Čas, kdy byl incident nahlášen.
- Popis: Nula nebo více. ML_STRING. Neformátovaný textový popis události.
- Posouzení : Jeden nebo více. Charakterizace dopadu incidentu.
- Metoda: Nula nebo více. Techniky používané vetřelcem během incidentu.
- Kontakt : Jeden nebo více. Kontaktní informace na skupiny účastnící se incidentu.
- Data události: Nula nebo více. Popis událostí týkajících se incidentu.
- Dějiny : Nula nebo více. Protokol událostí nebo pozoruhodných akcí, ke kterým došlo během správy incidentů.
- Doplňující údaje : Nula nebo více. Mechanismus, který rozšiřuje datový model.
Software využívající IODEF
- Prelude SIEM
- IODEFLIB : Knihovna Pythonu k vytváření, analýze a úpravám zpráv o kybernetických incidentech pomocí formátu XML IODEF (RFC 5070 )
- RT-IODEF : Perl modul pro překlad RT lístků do zpráv IODEF a také mapuje IODEF do vlastních polí RT na základě jejich popisové značky
- Dovozce Mantis IODEF : Dovozce IODEF (v1.0) pro Mantis Cyber Threat Intelligence Mgmt. Rámec
- ArcSight-IODEF-Perl : Perl modul pro převod arcsight xml na standardizovanou iodef zprávu
- Implementace IODEF
- IODEF DBI
- IODEF Pb : Tato knihovna mapuje IODEF (RFC 5070 ) do knihovny serializace vyrovnávací paměti google protokolu.
- XML :: IODEF - Perl modul pro snadné vytváření / analýzu dokumentů IODEF
- Výstupní formátovač Stix pro: Iodef :: Pb :: Simple
- Knihovna pro analýzu IODEF v PHP
externí odkazy
- RFC 5070 - Formát výměny popisu incidentu (IODEF)
- RFC 6685 - Expert Review for Incident Object Description Exchange Format (IODEF) Extensions in IANA XML Registry
- RFC 7203 - Rozšíření Incident Object Description Exchange Format (IODEF) pro strukturované informace o kybernetické bezpečnosti
- RFC 7970 - Incident Object Description Exchange Format verze 2
- RFC 8274 - Popis objektu incidentu Pokyny pro použití formátu Exchange
- SECEF, Projekt propagace formátů IDMEF a IODEF