Project

General

Profile

Wiki » Srovnani technologii »

  • IDMEF, používá Prelude
    • ukázka použití IDMEF protokolu
      1. časová známka začátku útoku/hrozby
      2. typ útoku/hrozby
      3. IP adresa/URL? zdroje útoku/hrozby
      4. volitelně poznámka
      5. volitelně priorita
      6. cíl útoku - anonymizovaná IP adresa cíle)
  • Příklad:
       <?xml version="1.0" encoding="UTF-8"?>
   <idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0">
     <idmef:Alert messageid="abc123456789">

       <!-- Analyzer (povinny tag, prave jednou) -->
       <idmef:Analyzer analyzerid="csirt-mu_ssh_bruteforce_detect">
         <idmef:Node category="dns">
           <idmef:location>CSIRT-MU</idmef:location>
           <idmef:name>analyzer01.ics.muni.cz</idmef:name>
         </idmef:Node>
       </idmef:Analyzer>

       <!-- časová známka vytvoření hlášení (povinny tag, prave jednou) -->
       <idmef:CreateTime ntpstamp="0xbc723b45.0xef449129">
         2000-03-09T10:01:25.93464-05:00
       </idmef:CreateTime>

       <!-- ad 1. časová známka začátku útoku/hrozby (libovolne, max. 1) -->
       <idmef:DetectTime ntpstamp="0xbc723b45.0xef449129">
         2000-03-09T10:01:25.93464-05:00
       </idmef:DetectTime>

       <!-- ad 3. IP adresa/URL? zdroje útoku/hrozby (libovolne, 0 nebo vice) -->
       <idmef:Source ident="d1c2b3a4">
         <idmef:Node ident="d1c2b3a4-001" category="dns">
           <idmef:Address category="ipv4-addr-hex">
             <idmef:address>0xde796f70</idmef:address>
           </idmef:Address>
         </idmef:Node>
       </idmef:Source>

       <!-- ad x. IP adresa/URL? cile útoku/hrozby (libovolne, 0 nebo vice) -->
       <!-- (x. cíl útoku - anonymizovaná IP adresa cíle) -->
       <idmef:Target ident="d1c2b3a4">
         <idmef:Node ident="d1c2b3a4-001" category="dns">
           <idmef:Address category="ipv4-addr-hex">
             <idmef:address>0xde796f70</idmef:address>
           </idmef:Address>
         </idmef:Node>
       </idmef:Target>

       <!-- ad 2. typ útoku/hrozby (povinny tag, prave jednou) -->
       <idmef:Classification text="Bruteforce SSH attack">
         <idmef:Reference origin="MU_ssh">
           <idmef:name>124</idmef:name>
           <idmef:url>http://www.muni.cz/ssh_batd/124</idmef:url>
         </idmef:Reference>
       </idmef:Classification>

       <!-- ad 4. volitelně poznámka (libovolne, 0 nebo vice) -->
       <idmef:AdditionalData type="string" meaning="comment">
         <idmef:string>asdfasdfasdf</idmef:string>
       </idmef:AdditionalData>

       <!-- ad 5. volitelně priorita (libovolne, 0 nebo vice) -->
       <idmef:AdditionalData type="string" meaning="priority">
         <idmef:string>asdfasdfasdf</idmef:string>
       </idmef:AdditionalData>

     </idmef:Alert>   
   </idmef:IDMEF-Message>