Accueil🇫🇷Chercher

Incident Object Description Exchange Format

Utilisé dans le cadre de la sécurité informatique, IODEF (Incident Object Description Exchange Format / Format d'Échange de Messages de Description d'Incidents) est un format de données servant à décrire les informations relatives à un incident de sécurité dans le but d'être échangées entre les équipes de réponses aux incidents de sécurité des ordinateurs (Computer Security Incident Response Teams – CSIRTs).

Explication

Les messages IODEF sont donc organisés de façon à être facilement lisibles par des humains, et non des machines. Les détails du format sont décrits dans la RFC 5070[1]. Cette RFC présente une implémentation du modèle de données en XML ainsi que la DTD associée.

Une des principales caractéristiques de IODEF est sa compatibilité avec IDMEF (Intrusion Detection Message Exchange Format) développé pour les systèmes de détection d’intrusion. Pour cette raison, IODEF est lourdement basé sur IDMEF et fournit une compatibilité ascendante avec celui-ci.

Format

Schéma IODEF

IODEF est un format orienté objet structuré, composé de 47 classes pour la première version. Les formats IODEF et IDMEF ayant beaucoup en commun, la structure des champs est similaire à celle d'IDMEF.

Ce format est extensible: En plus de l'habituelle classe AditionnalData, qui permet d'ajouter n'importe quelle information semblant pertinente au message IODEF, La plupart des énumérations sont fournis avec un champ "ext". Ce champ est utilisé lorsque aucun choix proposé dans l'énumération ne convient.

Voici une liste des champs les plus importants :

  • IncidentID : Une. Un numĂ©ro d’identification d’incident assignĂ© Ă  cet incident par le CSIRT qui gĂ©nère le document IODEF.
  • AlternativeID : ZĂ©ro ou une. Les numĂ©ros d’identification d’incidents utilisĂ©s par d’autres CSIRTs pour se rĂ©fĂ©rer Ă  l’incident dĂ©crit dans le document.
  • RelatedActivity : ZĂ©ro ou une. Les numĂ©ros d’identification des incidents reliĂ©s Ă  celui du document en question.
  • DetectTime : ZĂ©ro ou une. L’heure Ă  laquelle l’incident a Ă©tĂ© dĂ©tectĂ© pour la 1re fois.
  • StartTime : ZĂ©ro ou une. L’heure Ă  laquelle l’incident a commencĂ©.
  • EndTime : ZĂ©ro ou une. L’heure Ă  laquelle l’incident s’est terminĂ©.
  • ReportTime : Une. L’heure Ă  laquelle l’incident a Ă©tĂ© signalĂ©.
  • Description : ZĂ©ro ou plus. ML_STRING. Une description textuelle non-formatĂ©e de l’incident.
  • Assessment : Une ou plus. Une caractĂ©risation de l’impact de l’incident.
  • Method : ZĂ©ro ou plus. Les techniques utilisĂ©es par l’intrus durant l’incident.
  • Contact : Une ou plus. Les informations de contact pour les parties impliquĂ©es dans l’incident.
  • EventData : ZĂ©ro ou plus. Description des Ă©vènements comprenant l’incident.
  • History : ZĂ©ro ou une. Un log, des Ă©vènements ou des actions significatives qui ont eu lieu durant la gestion de l’incident.
  • AdditionalData : ZĂ©ro ou plus. MĂ©canismes par lequel Ă©tendre le modèle de donnĂ©es.

Exemple

Voici un exemple d'une partie d'un document IODEF :

<!--
   ====================================================================
   == IODEF-Document class                                           ==
   ====================================================================
  -->
    <xs:element name="IODEF-Document">
      <xs:complexType>
        <xs:sequence>
          <xs:element ref="iodef:Incident" 
                      maxOccurs="unbounded"/>
        </xs:sequence>
        <xs:attribute name="version" 
                      type="xs:string" fixed="1.00"/>
        <xs:attribute name="lang" 
                      type="xs:language" use="required"/>
        <xs:attribute name="formatid" 
                      type="xs:string"/>
      </xs:complexType>
    </xs:element>
  <!--
   ====================================================================
   ===  Incident class                                              ===
   ====================================================================
  -->
    <xs:element name="Incident">
      <xs:complexType>
        <xs:sequence>
          <xs:element ref="iodef:IncidentID"/>
          <xs:element ref="iodef:AlternativeID" 
                      minOccurs="0"/>
          <xs:element ref="iodef:RelatedActivity" 
                      minOccurs="0"/>
          <xs:element ref="iodef:DetectTime" 
                      minOccurs="0"/>
          <xs:element ref="iodef:StartTime" 
                      minOccurs="0"/>
          <xs:element ref="iodef:EndTime" 
                      minOccurs="0"/>
          <xs:element ref="iodef:ReportTime"/>
          <xs:element ref="iodef:Description" 
                      minOccurs="0" maxOccurs="unbounded"/>
          <xs:element ref="iodef:Assessment" 
                      maxOccurs="unbounded"/>
          <xs:element ref="iodef:Method" 
                      minOccurs="0" maxOccurs="unbounded"/>  <xs:element ref="iodef:Contact" 
                      maxOccurs="unbounded"/>
          <xs:element ref="iodef:EventData" 
                      minOccurs="0" maxOccurs="unbounded"/>
          <xs:element ref="iodef:History" 
                      minOccurs="0"/>
          <xs:element ref="iodef:AdditionalData" 
                      minOccurs="0" maxOccurs="unbounded"/>
        </xs:sequence>
        <xs:attribute name="purpose" use="required">
          <xs:simpleType>
            <xs:restriction base="xs:NMTOKEN">
              <xs:enumeration value="traceback"/>
              <xs:enumeration value="mitigation"/>
              <xs:enumeration value="reporting"/>
              <xs:enumeration value="other"/>
              <xs:enumeration value="ext-value"/>
            </xs:restriction>
          </xs:simpleType>
        </xs:attribute>
        <xs:attribute name="ext-purpose" 
                      type="xs:string" use="optional"/>
        <xs:attribute name="lang" 
                      type="xs:language"/>
        <xs:attribute name="restriction" 
                      type="iodef:restriction-type" default="private"/>
      </xs:complexType>
    </xs:element>

Logiciels prenant en charge le protocole IODEF

Liens externes

  • RFC 5070[1] - The Incident Object Description Exchange Format (IODEF)
  • RFC 6685[2] – Expert Review for Incident Object Description Exchange Format (IODEF) Extensions in IANA XML Registry
  • RFC 7203[3] – An Incident Object Description Exchange Format (IODEF) Extension for Structured Cybersecurity Information
  • SECEF, Projet visant Ă  promouvoir les formats IDMEF et IODEF
  • RGI v.2

Notes et références

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.