IDMEF : Intrusion Detection Message Exchange Format

Utilisé dans le cadre de la sécurité informatique, IDMEF (Intrusion Detection Message Exchange Format / En français, Format d’Échange de Messages de Détection d'Intrusion) est un format de données servant à échanger des informations de sécurité collectées par les logiciels de détection d'intrusion et de prévention d'intrusion avec les systèmes de management qui communiquent avec eux. IDMEF permet également les interactions avec d'autres outils.

Les messages IDMEF sont conçus pour pouvoir être traités automatiquement. Les détails du format sont décrits dans la RFC 4765[1] de 2007. Cette RFC présente une implémentation du modèle de données en XML ainsi que la DTD associée. Les exigences pour ce format sont décrites dans la RFC 4766[2], et le protocole de transport recommandé (IDXP) est documenté dans la RFC 4767[3]

Format IDMEF

Schéma Format IDMEF

Le but du format IDMEF est de définir les formats de données et les procédures d’échange pour le partage des informations concernant la détection d’intrusion avec les systèmes de réponse et de gestion qui peuvent avoir besoin d’interagir avec eux. Les services de modernisation de l’État français recommandent les formats IDMEF et IODEF pour assurer l'interopérabilité des administrations françaises dans le RGI v2.0 (Référentiel Général d'Interopérabilité) entré en vigueur le .

IDMEF est un format orienté objet bien structuré qui se compose de 33 classes contenant 108 champs dont trois obligatoires:

  • La classification
  • L'identifiant unique
  • La date de création de l'alerte.

Il y a actuellement deux types de messages IDMEF qui peuvent être créés: Heartbeat ou Alert

Heartbeat

Les Heartbeats (Battements de cœur) sont envoyés par les analyseurs afin d'indiquer leur état. Ces messages sont envoyés à intervalle régulier dont la période est définie dans le champ "heartbeatinterval". Si aucun de ces messages n'est reçu pendant plusieurs périodes de temps, il faut considérer que cet analyseur n'est plus en mesure de remonter des alertes.

Les battements de cœur permettent également d'indiquer des informations relatives à l'analyseur.

Alert

Les alertes permettent de décrire une attaque qui a eu lieu, les principaux champs qui constituent l'alerte sont :

  • CreateTime : Date de création de l'alerte.
  • DetectTime : Heure de détection de l'alerte par l'analyseur.
  • AnalyzerTime : Heure à laquelle l'alerte a été envoyée par l'analyseur.
  • Source : Détail sur l'origine de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud.
  • Target : Détail sur la cible de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud ainsi qu'un fichier.
  • Classification : Nom de l'attaque et références, comme des CVEs.
  • Assessment : Évaluation de l'attaque (sévérité, potentiel impact, etc).
  • AdditionalData : Informations supplémentaires relatives à cette attaque.

Il existe trois autres types d'alertes qui héritent de ce schéma :

  • CorrelationAlert : Groupement d'alertes liées les unes aux autres.
  • ToolAlert : Groupement d'alertes provenant du même outil.
  • OverflowAlert : Alerte résultant d'attaque dite de dépassement de tampon.

Exemple

Un rapport IDMEF sur une attaque de type Ping de la mort a l'aspect suivant :

<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0">
  <idmef:Alert messageid="abc123456789">
    <idmef:Analyzer analyzerid="bc-sensor01">
      <idmef:Node category="dns">
        <idmef:name>sensor.example.com</idmef:name>
      </idmef:Node>
    </idmef:Analyzer>
    <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime>
    <idmef:Source ident="a1a2" spoofed="yes">
      <idmef:Node ident="a1a2-1">
        <idmef:Address ident="a1a2-2" category="ipv4-addr">
          <idmef:address>192.0.2.200</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Source>
    <idmef:Target ident="b3b4">
      <idmef:Node>
        <idmef:Address ident="b3b4-1" category="ipv4-addr">
          <idmef:address>192.0.2.50</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="c5c6">
      <idmef:Node ident="c5c6-1" category="nisplus">
        <idmef:name>lollipop</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="d7d8">
      <idmef:Node ident="d7d8-1">
        <idmef:location>Cabinet B10</idmef:location>
        <idmef:name>Cisco.router.b10</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Classification text="Ping-of-death detected">
      <idmef:Reference origin="cve">
        <idmef:name>CVE-1999-128</idmef:name>
        <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>
      </idmef:Reference>
    </idmef:Classification>
  </idmef:Alert>
</idmef:IDMEF-Message>

Logiciels prenant en charge le protocole IDMEF


Références

Liens externes

  • (en) RFC 4765[1], The Intrusion Detection Message Exchange Format (IDMEF)
  • (en) RFC 4766[2], Intrusion Detection Message Exchange Requirements (IDMEF)
  • (en) RFC 4767[3], The Intrusion Detection Exchange Protocol (IDXP)
  • (fr) RGI V2, Référentiel Général d'Interopérabilité ()
  • (en) Pravin Kothari, Intrusion Detection Interoperability and Standardization, SANS Institute InfoSec Reading Room,
  • (en) SECEF, Project for the promotion of the IDMEF and IODEF formats
    • Portail de la sécurité informatique

Tutoriels

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.