Incident Objekt Beskrivning Exchange Format
Används för datorsäkerhet, IODEF ( Incident Object Description Exchange Format ) är ett dataformat som används för att beskriva datorsäkerhetsinformation i syfte att utbyta mellan Computer Security Incident Response Teams ( CSIRTs ).
IODEF -meddelanden är organiserade på ett läsbart sätt och inte ett maskinformat. Detaljer om formatet beskrivs i RFC 5070 och uppdateras i RFC 6685. Version 2 av formatet definieras i RFC 7970, som ersätter den tidigare versionen. Denna RFC presenterar en implementering av datamodellen i XML samt tillhörande DTD. Ytterligare implementeringsvägledning för IODEF v2 definieras i RFC 8274.
En av de viktigaste egenskaperna hos IODEF är dess kompatibilitet med IDMEF Intrusion Detection Message Exchange Format utvecklat för system för intrångsdetektering. Av denna anledning är IODEF starkt baserad på IDMEF och ger bakåtkompatibilitet med det.
Formatera
IODEF är ett objektorienterat strukturerat format som består av 47 klasser i den första versionen. IODEF- och IDMEF -formaten har mycket gemensamt: fältstrukturen liknar IDMEF-formatet och det är ett utökningsbart format: förutom den vanliga tilläggsdataklassen, som gör det möjligt att lägga till all information som är relevant för IODEF-meddelandet, är de flesta uppräkningar försedd med ett "ext"-fält. Detta fält används när inget av de föreslagna valen passar.
Här är en lista över huvudfälten:
- IncidentID: Ett. Ett incidentidentifikationsnummer som tilldelats denna incident av CSIRT som skapar IODEF-dokumentet.
- Alternativ-ID : Noll eller ett. Incidenternas ID-nummer som används av andra CSIRT:er för att referera till incidenten som beskrivs i dokumentet.
- RelatedActivity: Noll eller en. ID-numren för incidenterna kopplade till den som beskrivs i detta dokument.
- DetectTime : Noll eller en. Tidpunkt då händelsen upptäcktes för första gången.
- Starttid: Noll eller en. Tidpunkt då händelsen började.
- Sluttid: Noll eller en. Tidpunkt då händelsen slutade.
- ReportTime: Ett. Tidpunkt då händelsen rapporterades.
- Beskrivning: Noll eller mer. ML_STRING. En icke-formaterad textbeskrivning av händelsen.
- Bedömning : En eller flera. En karaktärisering av händelsepåverkan.
- Metod: Noll eller mer. Tekniker som använts av inkräktaren under händelsen.
- Kontakt: En eller flera. Kontaktuppgifter till de grupper som är inblandade i händelsen.
- EventData : Noll eller mer. Beskrivning av händelserna som involverar händelsen.
- Historik: Noll eller mer. En logg över händelserna eller de anmärkningsvärda handlingar som ägde rum under incidenthanteringen.
- Ytterligare data: Noll eller mer. Mekanism som utökar datamodellen.
Programvara som använder IODEF
- Preludium SIEM
- IODEFLIB : Python-bibliotek för att skapa, analysera och redigera cyberincidentrapporter med IODEF XML-format (RFC 5070)
- RT-IODEF : Perl-modul för att översätta RT-biljetter till IODEF-meddelanden och även mappar IODEF till RT:s anpassade fält baserat på deras beskrivningstagg
- Mantis IODEF Importer : En IODEF (v1.0) importör för Mantis Cyber Threat Intelligence Mgmt. Ramverk
- ArcSight-IODEF-Perl : En perl-modul för att konvertera arcsight xml till ett standardiserat iodef-meddelande
- IODEF-implementeringar
- IODEF DBI
- IODEF Pb : Det här biblioteket mappar IODEF (RFC 5070) till google-protokollets buffertserialiseringsbibliotek.
- XML :: IODEF – En perl-modul för att enkelt skapa/tolka IODEF-dokument
- Stix output formatterare för: Iodef::Pb::Simple
- Bibliotek för att analysera IODEF i PHP
externa länkar
- RFC 5070 – The Incident Object Description Exchange Format (IODEF)
- RFC 6685 – Expertgranskning för Incident Object Description Exchange Format (IODEF)-tillägg i IANA XML-registret
- RFC 7203 – An Incident Object Description Exchange Format (IODEF) Extension for Structured Cybersecurity Information
- RFC 7970 – Incident Object Description Exchange Format Version 2
- RFC 8274 – Incident Objekt Beskrivning Exchange Format Användningsvägledning
- SECEF , projekt för att främja formaten IDMEF och IODEF