Formát výměny zpráv detekce narušení - Intrusion Detection Message Exchange Format

Používá se jako součást počítačové bezpečnosti, IDMEF (Formát výměny zpráv detekce narušení) je datový formát používaný k výměně informací mezi softwarem umožňujícím detekci narušení, prevenci narušení, shromažďování bezpečnostních informací a systémy pro správu, které mohou vyžadovat interakci s nimi. Zprávy IDMEF jsou určeny k automatickému zpracování. Podrobnosti o formátu jsou popsány v RFC 4765. Tento RFC představuje implementaci XML datový model a související DTD. Požadavky na tento formát jsou popsány v RFC 4766 a doporučený transportní protokol (IDXP) je dokumentován v RFC 4767

IDMEF

Účelem IDMEF je definovat datové formáty a postupy výměny pro sdílení zajímavých informací detekce narušení systémy odezvy a systémy řízení, které s nimi možná budou muset interagovat. Používá se v zabezpečení počítače pro hlášení a výměnu incidentů. Je určen pro snadné automatické zpracování.

IDMEF je dobře strukturovaný objektově orientovaný formát, který se skládá z 33 tříd obsahujících 108 polí, včetně tří povinných:

Klasifikace
Jedinečné přihlášení
Datum vytvoření upozornění.

V současné době lze vytvořit dva typy zpráv IDMEF, Tlukot srdce nebo Výstraha

Tlukot srdce

Heartbeaty jsou odesílány analyzátory, aby indikovaly jejich stav. Tyto zprávy jsou odesílány v pravidelných intervalech, jejichž období je definováno v poli Interval prezenčního signálu. Pokud žádná z těchto zpráv není přijímána po několik časových období, zvažte, že tento analyzátor není schopen aktivovat výstrahy.

Výstraha

Výstrahy se používají k popisu útoku, k němuž došlo, hlavní oblasti, které vytvářejí výstrahu, jsou:

CreateTime: Datum vytvoření upozornění
DetectTime: doba detekce výstrahy analyzátorem
AnalyzerTime: Čas, kdy byla výstraha odeslána analyzátorem
Zdroj: Podrobnosti o původu útoku mohou být služba, uživatel, proces a / nebo uzel
cílová: Podrobnosti o cíli útoku mohou být služba, uživatel, proces a / nebo uzel a soubor
Klasifikace: Název útoku a odkazy, jako CVE
Posouzení: Hodnocení útoku (závažnost, potenciální dopad atd.)
Doplňující údaje: Další informace o útoku

Z tohoto schématu dědí tři další typy výstrah:

CorrelationAlert: Seskupení vzájemně souvisejících výstrah
ToolAlert: upozornění od stejného nástroje pro seskupování
OverflowAlert: Výstraha vyplývající z útoku tzv. Přetečení vyrovnávací paměti

Příklad

Zpráva IDMEF o ping smrti útok může vypadat následovně:

<?xml version="1.0" encoding="UTF-8"?> xmlns: idmef =„http://iana.org/idmef“ verze ="1.0">   messageid =„abc123456789“>     analyzátorid =„bc-sensor01“>       kategorie =„dns“>        <idmef:name>sensor.example.com</idmef:name>      </idmef:Node>    </idmef:Analyzer>     ntpstamp =„0xbc71f4f5.0xef449129“>2000-03-09T10: 01: 25.93464Z</idmef:CreateTime>     ident =„a1a2“ spoofed ="Ano">       ident =„a1a2-1“>         ident =„a1a2-2“ kategorie =„ipv4-addr“>          <idmef:address>192.0.2.200</idmef:address>        </idmef:Address>      </idmef:Node>    </idmef:Source>     ident =„b3b4“>      <idmef:Node>         ident =„b3b4-1“ kategorie =„ipv4-addr“>          <idmef:address>192.0.2.50</idmef:address>        </idmef:Address>      </idmef:Node>    </idmef:Target>     ident =„c5c6“>       ident =„c5c6-1“ kategorie =„nisplus“>        <idmef:name>lízátko</idmef:name>      </idmef:Node>    </idmef:Target>     ident =„d7d8“>       ident =„d7d8-1“>        <idmef:location>Skříň B10</idmef:location>        <idmef:name>Cisco.router.b10</idmef:name>      </idmef:Node>    </idmef:Target>     text =„Zjištěno Ping-of-Death“>       původ ="cve">        <idmef:name>CVE-1999-128</idmef:name>        <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>      </idmef:Reference>    </idmef:Classification>  </idmef:Alert></idmef:IDMEF-Message>

Nástroje implementující protokol IDMEF

Prelude (systém detekce narušení)
NIDS si odfrkne
NIDS Suricata ([1] )
HIDS Ossec ([2] )
HIDS Samhain ([3] )
Sagan
Dvůr 2
Orchideje
LibPrelude : Část Prelude OSS Project, libprelude umožňuje komunikovat mezi agenty pomocí formátu IDMEF. Libprelude je kódován v C, ale je k dispozici více vazeb (Python, Lua, Perl atd.). Může být použit v jakémkoli open-source IDS nástroji.
LibIDMEF : LibIDMEF je implementace IETF (Pracovní skupina pro internetové inženýrství), IDWG ( Pracovní skupina Charter pro detekci narušení a výměnu formátu), návrh standardního protokolu IDMEF.
IDMEF Framework Dotnet : Dotnet knihovna pro vytváření IDMEF objektů a jejich export do XML.
DILCA - Distribuovaná architektura logické korelace IDMEF: DILCA je distribuovaná logická korelační a reakční architektura, která zahrnuje sběr a korelaci událostí protokolu ve formátu IDMEF (Intrusion Detection Message Exchange Format - RFC 4765 ) prostřednictvím vícestupňového systému založeného na podpisu.
XML :: IDMEF - Perl modul pro vytváření / analýzu zpráv IDMEF: IDMEF.pm je rozhraní pro jednoduché vytváření a analýzu zpráv IDMEF. IDMEF je protokol založený na XML, který je určen hlavně k zobrazování výstražných zpráv detekce narušení (IDS).
Další modul pro vytváření / analýzu zpráv IDMEF
Snort IDMEF Plugin : Snort IDMEF je plugin XML IDMEF pro Snort k výstupu výstražných událostí ve formě zpráv IDMEF. Plugin je kompatibilní s Snort 2.x.
Brokolicový server k odesílání výstrah IDMEF přes Prelude
Převaděč pro formát IDMEF
Analyzátor IDMEF
Knihovna upozornění IDMEF pro distribuovaný IDPS

Konkurenční rámce

Mnoho prvků telekomunikační sítě vytváří bezpečnostní alarmy^[1] které řeší detekci narušení v souladu s mezinárodními standardy. Tyto bezpečnostní alarmy se vkládají do normálního proudu alarmů,^[2] kde je může personál a. okamžitě vidět a reagovat na ně síťové operační středisko.

Reference

externí odkazy

(v angličtině) RFC 4765 „Formát výměny zpráv o detekci narušení (IDMEF)
(v angličtině) RFC 4766 Požadavky na výměnu zpráv detekce narušení (IDMEF)
(v angličtině) RFC 4767 „Výměnný protokol detekce narušení (IDXP)
(v angličtině) Pravin Kothari, Interoperabilita a standardizace detekce narušení, Studovna SANS Institute InfoSec, 19. février 2002
(v angličtině) SECEF „Projekt propagace formátů IDMEF a IODEF

Návody

Formáty, Rychlý úvod k formátům výstrah a jejich obsahu
Porovnání formátů výstrah, Dlouhé srovnání stávajících formátů (CEF, LEEF, SDEE atd.)
Formátovat IDMEF, Podrobný popis formátu IDMEF
Formátovat SDEE „Podrobné schéma formátu SDEE
Jak používat IDMEF, Výukový program o obsahu IDMEF a jak jej používat
Jak používat LibPrelude, Podrobný návod, jak používat LibPrelude a kódovat klienta IDMEF (Python, C, Ruby atd.)
Jak postavit senzor, Podrobný návod, jak vytvořit nový senzor, který může komunikovat v IDMEF prostřednictvím knihovny LibPrelude.
LibPrelude IDMEF, Podrobný popis všech polí IDMEF

[1] ITU-T. „Doporučení X.736: Informační technologie - propojení otevřených systémů - správa systémů: funkce hlášení bezpečnostního alarmu“. Citováno 5. září 2019.

[2] ITU-T. „Doporučení X.733: Informační technologie - propojení otevřených systémů - správa systémů: funkce hlášení poplachů“.

[1]

[2]