IDMEF : Intrusion Detection Message Exchange Format

format de données

Utilisé dans le cadre de la sécurité informatique, IDMEFv1 (Intrusion Detection Message Exchange Format / En français, Format d’Échange de Messages de Détection d'Intrusion) est un format de données servant à échanger des informations de sécurité collectées par les logiciels de détection d'intrusion et de prévention d'intrusion avec les systèmes de management qui communiquent avec eux. IDMEFv1 permet également les interactions avec d'autres outils.

Les messages IDMEFv1 sont conçus pour pouvoir être traités automatiquement. Les détails du format sont décrits dans la RFC 4765[1] de 2007. Cette RFC présente une implémentation du modèle de données en XML ainsi que la DTD associée. Les exigences pour ce format sont décrites dans la RFC 4766[2], et le protocole de transport recommandé (IDXP) est documenté dans la RFC 4767[3]

Format IDMEFv1

modifier
 
Schéma Format IDMEF

Le but du format IDMEFv1 est de définir les formats de données et les procédures d’échange pour le partage des informations concernant la détection d’intrusion avec les systèmes de réponse et de gestion qui peuvent avoir besoin d’interagir avec eux. Les services de modernisation de l’État français recommandent les formats IDMEFv1 et IODEF pour assurer l'interopérabilité des administrations françaises dans le RGI v2.0 (Référentiel Général d'Interopérabilité) entré en vigueur le .

IDMEFv1 est un format orienté objet bien structuré qui se compose de 33 classes contenant 108 champs dont trois obligatoires:

  • La classification
  • L'identifiant unique
  • La date de création de l'alerte.

Il y a actuellement deux types de messages IDMEFv1 qui peuvent être créés: Heartbeat ou Alert

Heartbeat

modifier

Les Heartbeats (Battements de cœur) sont envoyés par les analyseurs afin d'indiquer leur état. Ces messages sont envoyés à intervalle régulier dont la période est définie dans le champ "heartbeatinterval". Si aucun de ces messages n'est reçu pendant plusieurs périodes de temps, il faut considérer que cet analyseur n'est plus en mesure de remonter des alertes.

Les battements de cœur permettent également d'indiquer des informations relatives à l'analyseur.

Les alertes permettent de décrire une attaque qui a eu lieu, les principaux champs qui constituent l'alerte sont :

  • CreateTime : Date de création de l'alerte.
  • DetectTime : Heure de détection de l'alerte par l'analyseur.
  • AnalyzerTime : Heure à laquelle l'alerte a été envoyée par l'analyseur.
  • Source : Détail sur l'origine de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud.
  • Target : Détail sur la cible de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud ainsi qu'un fichier.
  • Classification : Nom de l'attaque et références, comme des CVEs.
  • Assessment : Évaluation de l'attaque (sévérité, potentiel impact, etc).
  • AdditionalData : Informations supplémentaires relatives à cette attaque.

Il existe trois autres types d'alertes qui héritent de ce schéma :

  • CorrelationAlert : Groupement d'alertes liées les unes aux autres.
  • ToolAlert : Groupement d'alertes provenant du même outil.
  • OverflowAlert : Alerte résultant d'attaque dite de dépassement de tampon.

Exemple

modifier

Un rapport IDMEFv1 sur une attaque de type Ping de la mort a l'aspect suivant :

<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0">
  <idmef:Alert messageid="abc123456789">
    <idmef:Analyzer analyzerid="bc-sensor01">
      <idmef:Node category="dns">
        <idmef:name>sensor.example.com</idmef:name>
      </idmef:Node>
    </idmef:Analyzer>
    <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime>
    <idmef:Source ident="a1a2" spoofed="yes">
      <idmef:Node ident="a1a2-1">
        <idmef:Address ident="a1a2-2" category="ipv4-addr">
          <idmef:address>192.0.2.200</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Source>
    <idmef:Target ident="b3b4">
      <idmef:Node>
        <idmef:Address ident="b3b4-1" category="ipv4-addr">
          <idmef:address>192.0.2.50</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="c5c6">
      <idmef:Node ident="c5c6-1" category="nisplus">
        <idmef:name>lollipop</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="d7d8">
      <idmef:Node ident="d7d8-1">
        <idmef:location>Cabinet B10</idmef:location>
        <idmef:name>Cisco.router.b10</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Classification text="Ping-of-death detected">
      <idmef:Reference origin="cve">
        <idmef:name>CVE-1999-128</idmef:name>
        <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>
      </idmef:Reference>
    </idmef:Classification>
  </idmef:Alert>
</idmef:IDMEF-Message>

Logiciels prenant en charge le protocole IDMEFv1

modifier

Références

modifier

Liens externes

modifier
  • (en) RFC 4765[1], The Intrusion Detection Message Exchange Format (IDMEF)
  • (en) RFC 4766[2], Intrusion Detection Message Exchange Requirements (IDMEF)
  • (en) RFC 4767[3], The Intrusion Detection Exchange Protocol (IDXP)
  • (fr) RGI V2, Référentiel Général d'Interopérabilité ()
  • (en) Pravin Kothari, Intrusion Detection Interoperability and Standardization, SANS Institute InfoSec Reading Room,
  • (en) SECEF, Project for the promotion of the IDMEF and IODEF formats