IDMEF: Saldırı Tespit Mesajı Değişim Biçimi

Bilgisayar güvenliğinin bir parçası olarak kullanıldığında , IDMEF ( idmef / Fransızca'da, İzinsiz Giriş Tespit Mesajı Değişim Formatı ), yazılım tespiti ve izinsiz giriş önleme tarafından toplanan güvenlik bilgilerinin kendileriyle iletişim kuran yönetim sistemleriyle değiş tokuşu için bir veri formatıdır . IDMEF ayrıca diğer araçlarla etkileşimlere izin verir.

IDMEF mesajları, otomatik olarak işlenebilecek şekilde tasarlanmıştır. Formatının Detaylar açıklanan RFC  2007. Bu RFC hediyelerin içinde veri modelinin bir uygulama içinde 4765 XML olarak sıra ilişkili DTD . Bu biçim için gereksinimler RFC  4766'da açıklanmıştır ve Önerilen Aktarım Protokolü (IDXP) RFC 4767'de belgelenmiştir  .

IDMEF biçimi

IDMEF formatının amacı, veri formatlarını tanımlamak ve onlarla etkileşime girmesi gerekebilecek müdahale ve yönetim sistemleriyle izinsiz giriş tespitine ilişkin bilgileri paylaşmak için prosedürleri paylaşmaktır. Fransız Devletinin modernizasyon hizmetleri, Fransız yönetimlerinin RGI v2.0'da (Genel Birlikte Çalışabilirlik Referansı) birlikte çalışabilirliğini sağlamak için IDMEF ve IODEF formatlarını önermektedir .Nisan 20, 2016.

IDMEF , üçü zorunlu olan 108 alan içeren 33 sınıftan oluşan, iyi yapılandırılmış, nesne yönelimli bir formattır :

• Sınıflandırma
• Benzersiz tanımlayıcı
• Uyarının oluşturulduğu tarih.

Şu anda oluşturulabilen iki tür IDMEF mesajı vardır: Sinyal veya Uyarı

Kalp atışı

Heartbeats ( kalp atışı ) kendi durumunu belirtmek için analizörleri ile gönderilir. Bu mesajlar, periyodu "kalp atışı aralığı" alanında tanımlanan düzenli aralıklarla gönderilir. Birkaç süre boyunca bu mesajlardan hiçbiri alınmazsa, bu analizörün artık uyarı veremeyeceği dikkate alınmalıdır.

Kalp atışları, analizör hakkındaki bilgileri belirtmek için de kullanılır.

Uyarmak

Uyarılar, gerçekleşen bir saldırıyı tanımlamak için kullanılır, uyarıyı oluşturan ana alanlar şunlardır:

• CreateTime  : Uyarının oluşturulma tarihi.
• DetectTime  : Uyarının analizör tarafından tespit edilme zamanı.
• AnalyzerTime  : Uyarının analizör tarafından gönderildiği zaman.
• Kaynak  : Saldırının kaynağıyla ilgili ayrıntı, bir hizmet, bir kullanıcı, bir işlem ve / veya bir düğüm olabilir.
• Hedef  : Saldırının hedefine ilişkin ayrıntı, bir hizmet, bir kullanıcı, bir işlem ve / veya bir düğüm ve bir dosya olabilir.
• Sınıflandırma  : Saldırının adı ve CVE'ler gibi referanslar .
• Değerlendirme  : Saldırının değerlendirilmesi (ciddiyet, potansiyel etki vb.).
• AdditionalData  : Bu saldırı hakkında ek bilgi.

Bu kalıbı devralan diğer üç uyarı türü vardır:

• CorrelationAlert  : Birbirine bağlı uyarılar grubu.
• ToolAlert  : Aynı araçtan gelen uyarı grubu.
• OverflowAlert  : Sözde arabellek taşması saldırısından kaynaklanan uyarı .

Misal

Bir Ölüm Pingi saldırısıyla ilgili bir IDMEF raporu şuna benzer:

<?xml version="1.0" encoding="UTF-8"?> <idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-sensor01"> <idmef:Node category="dns"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime> <idmef:Source ident="a1a2" spoofed="yes"> <idmef:Node ident="a1a2-1"> <idmef:Address ident="a1a2-2" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="b3b4"> <idmef:Node> <idmef:Address ident="b3b4-1" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Target ident="c5c6"> <idmef:Node ident="c5c6-1" category="nisplus"> <idmef:name>lollipop</idmef:name> </idmef:Node> </idmef:Target> <idmef:Target ident="d7d8"> <idmef:Node ident="d7d8-1"> <idmef:location>Cabinet B10</idmef:location> <idmef:name>Cisco.router.b10</idmef:name> </idmef:Node> </idmef:Target> <idmef:Classification text="Ping-of-death detected"> <idmef:Reference origin="cve"> <idmef:name>CVE-1999-128</idmef:name> <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>

• SIEM Prelude
• NEST Snort
• NIDS Suricata ( [1] )
• HIDS Ossec ( [2] )
• HIDS Samhain ( [3] )
• Sagan
• Ahır 2
• Orkide
• LibPrelude  : Prelude OSS Projesinin bir parçası olan libprelude, IDMEF formatını kullanarak sistem bileşenleri arasında iletişime izin verir. Libprelude C ile kodlanmıştır, ancak birden çok bağlama mevcuttur (python, lua, perl, vb.). Herhangi bir açık kaynaklı saldırı tespit aracında kullanılabilir.
• LibIDMEF  : LibIDMEF, İnternet Mühendisliği Görev Gücü (IETF), Saldırı Algılama Değişim Biçimi Şartı Çalışma Grubu (IDWG), IDMEF protokolü standart projesinin bir uygulamasıdır.
• IDMEF Framework Dotnet  : IDMEF nesneleri oluşturmak ve bunları XML olarak dışa aktarmak için Dotnet kitaplığı.
• DILCA - Dağıtılmış IDMEF Mantıksal Korelasyon Mimarisi  : DILCA, IDMEF (Saldırı Tespit Mesajı Değişim Formatı - RFC  4765) formatlı olay günlüklerinin çeşitli aşamalarda imza tabanlı bir sistem aracılığıyla toplanması ve ilişkilendirilmesini içeren dağıtılmış bir mantıksal korelasyon ve reaksiyon mimarisidir .
• XML :: IDMEF - IDMEF mesajlarını oluşturmak / ayrıştırmak için bir Perl modülü: IDMEF.pm, IDMEF mesajlarını basitçe oluşturmak ve ayrıştırmak için bir arayüzdür. IDMEF, öncelikle saldırı tespit uyarı mesajlarını temsil etmek için icat edilmiş XML tabanlı bir protokoldür.
• IDMEF mesajlarını oluşturmak / ayrıştırmak için diğer modül
• Snort IDMEF Eklentisi  : Snort IDMEF, Snort'un IDMEF mesajları biçiminde uyarı olayları çıktısı için bir IDMEF XML eklentisidir. Bu eklenti Snort 2.x ile uyumludur
• Prelude aracılığıyla IDMEF uyarıları göndermek için bir Broccoli sunucusu
• IDMEF formatı için dönüştürücü
• IDMEF Ayrıştırıcı
• Dağıtılmış IDPS için bir IDMEF uyarı kitaplığı

Referanslar

Dış bağlantılar

• (tr) RFC  4765, Saldırı Tespit Mesajı Değişim Biçimi (IDMEF)
• (tr) RFC  4766, İzinsiz Giriş Tespit Mesajı Değişim Gereksinimleri (IDMEF)
• (tr) RFC  4767, Saldırı Algılama Değişim Protokolü (IDXP)
• (fr) RGI V2 , Genel Birlikte Çalışabilirlik Havuzu (Aralık 2015)
• (tr) Pravin Kothari, Saldırı Algılama Birlikte Çalışabilirlik ve Standardizasyon , SANS Institute InfoSec Okuma Odası,19 Şubat 2002
• (tr) SECEF , IDMEF ve IODEF formatlarının tanıtımına yönelik proje
  

Öğreticiler

• Biçimler , Uyarı biçimlerine hızlı giriş
• Uyarı formatlarının karşılaştırılması (CEF, LEEF, SDEE, vb.)
• IDMEF formatı , IDMEF formatının ayrıntılı açıklaması
• SDEE formatı , SDEE formatının ayrıntılı diyagramı
• IDMEF nasıl kullanılır , IDMEF formatının içeriği ve nasıl kullanılacağı hakkında eğitim
• LibPrelude nasıl kullanılır, Libprelude'un nasıl kullanılacağı ve bir IDMEF istemcisinin (Python, C, Ruby, vb.) Nasıl kodlanacağı hakkında ayrıntılı eğitim
• Bir sensör nasıl oluşturulur, Libprelude kitaplığı aracılığıyla IDMEF'de iletişim kurabilen yeni bir sensörün nasıl oluşturulacağına dair ayrıntılı eğitim.
• LibPrelude IDMEF , Tüm IDMEF alanlarının ayrıntılı açıklaması

1. (en) yorumlar için İsteği n o  4765 .
2. (tr) yorumlar için İsteği n o  4766 .
3. (tr) yorumlar için İsteği n o  4767 .