IDMEF : Intrusion Detection Message Exchange Format

Utilisé dans le cadre de la sécurité informatique, IDMEFv1 (Intrusion Detection Message Exchange Format / En français, Format d’Échange de Messages de Détection d'Intrusion) est un format de données servant à échanger des informations de sécurité collectées par les logiciels de détection d'intrusion et de prévention d'intrusion avec les systèmes de management qui communiquent avec eux. IDMEFv1 permet également les interactions avec d'autres outils.

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer (juin 2024).

La mise en forme du texte ne suit pas les recommandations de Wikipédia : il faut le « wikifier ».

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

L'admissibilité de cette page est à vérifier (mai 2024).

Motif : Aucune source secondaire centrée

Vous êtes invité à compléter l'article pour expliciter son admissibilité, en y apportant des sources secondaires de qualité, ainsi qu'à discuter de son admissibilité. Si rien n'est fait, cet article sera proposé au débat d'admissibilité un an au plus tard après la mise en place de ce bandeau.

Trouver des sources sur « IDMEF : Intrusion Detection Message Exchange Format » :

Conseils utiles à la personne qui appose le bandeau

1.	Préciser le motif de la pose du bandeau.	Précisez le motif de la pose du bandeau en utilisant la syntaxe suivante : `{{admissibilité à vérifier\|date=novembre 2024\|motif=remplacez ce texte par le motif}}`
ou	Créer l'espace de discussion. (cette méthode est préférable)	Créez une section "Admissibilité" en page de discussion de l'article en y précisant le motif de la pose du bandeau. Dans ce cas, utilisez la syntaxe suivante : `{{admissibilité à vérifier\|date=novembre 2024\|motif=pdd}}`
2.	Informer les utilisateurs concernés.	Pensez à avertir le créateur de l'article, par exemple, en insérant le code ci-dessous sur sa page de discussion : `{{subst:avertissement admissibilité à vérifier\|IDMEF : Intrusion Detection Message Exchange Format}}`

Les messages IDMEFv1 sont conçus pour pouvoir être traités automatiquement. Les détails du format sont décrits dans la RFC 4765^[1] de 2007. Cette RFC présente une implémentation du modèle de données en XML ainsi que la DTD associée. Les exigences pour ce format sont décrites dans la RFC 4766^[2], et le protocole de transport recommandé (IDXP) est documenté dans la RFC 4767^[3]

Format IDMEFv1

Schéma Format IDMEF

Le but du format IDMEFv1 est de définir les formats de données et les procédures d’échange pour le partage des informations concernant la détection d’intrusion avec les systèmes de réponse et de gestion qui peuvent avoir besoin d’interagir avec eux. Les services de modernisation de l’État français recommandent les formats IDMEFv1 et IODEF pour assurer l'interopérabilité des administrations françaises dans le RGI v2.0 (Référentiel Général d'Interopérabilité) entré en vigueur le 20 avril 2016.

IDMEFv1 est un format orienté objet bien structuré qui se compose de 33 classes contenant 108 champs dont trois obligatoires:

La classification
L'identifiant unique
La date de création de l'alerte.

Il y a actuellement deux types de messages IDMEFv1 qui peuvent être créés: Heartbeat ou Alert

Heartbeat

Les Heartbeats (Battements de cœur) sont envoyés par les analyseurs afin d'indiquer leur état. Ces messages sont envoyés à intervalle régulier dont la période est définie dans le champ "heartbeatinterval". Si aucun de ces messages n'est reçu pendant plusieurs périodes de temps, il faut considérer que cet analyseur n'est plus en mesure de remonter des alertes.

Les battements de cœur permettent également d'indiquer des informations relatives à l'analyseur.

Alert

Les alertes permettent de décrire une attaque qui a eu lieu, les principaux champs qui constituent l'alerte sont :

CreateTime : Date de création de l'alerte.
DetectTime : Heure de détection de l'alerte par l'analyseur.
AnalyzerTime : Heure à laquelle l'alerte a été envoyée par l'analyseur.
Source : Détail sur l'origine de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud.
Target : Détail sur la cible de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud ainsi qu'un fichier.
Classification : Nom de l'attaque et références, comme des CVEs.
Assessment : Évaluation de l'attaque (sévérité, potentiel impact, etc).
AdditionalData : Informations supplémentaires relatives à cette attaque.

Il existe trois autres types d'alertes qui héritent de ce schéma :

CorrelationAlert : Groupement d'alertes liées les unes aux autres.
ToolAlert : Groupement d'alertes provenant du même outil.
OverflowAlert : Alerte résultant d'attaque dite de dépassement de tampon.

Exemple

Un rapport IDMEFv1 sur une attaque de type Ping de la mort a l'aspect suivant :

<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0">
  <idmef:Alert messageid="abc123456789">
    <idmef:Analyzer analyzerid="bc-sensor01">
      <idmef:Node category="dns">
        <idmef:name>sensor.example.com</idmef:name>
      </idmef:Node>
    </idmef:Analyzer>
    <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime>
    <idmef:Source ident="a1a2" spoofed="yes">
      <idmef:Node ident="a1a2-1">
        <idmef:Address ident="a1a2-2" category="ipv4-addr">
          <idmef:address>192.0.2.200</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Source>
    <idmef:Target ident="b3b4">
      <idmef:Node>
        <idmef:Address ident="b3b4-1" category="ipv4-addr">
          <idmef:address>192.0.2.50</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="c5c6">
      <idmef:Node ident="c5c6-1" category="nisplus">
        <idmef:name>lollipop</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="d7d8">
      <idmef:Node ident="d7d8-1">
        <idmef:location>Cabinet B10</idmef:location>
        <idmef:name>Cisco.router.b10</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Classification text="Ping-of-death detected">
      <idmef:Reference origin="cve">
        <idmef:name>CVE-1999-128</idmef:name>
        <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>
      </idmef:Reference>
    </idmef:Classification>
  </idmef:Alert>
</idmef:IDMEF-Message>

Logiciels prenant en charge le protocole IDMEFv1

Prelude SIEM
NIDS Snort
NIDS Suricata ([1])
HIDS Ossec ([2])
HIDS Samhain ([3])
Sagan
Barnyard 2
Orchids
LibPrelude : Partie du Projet Prelude OSS, libprelude permet de communiquer entre les composants du système en utilisant le format IDMEF. Libprelude est codée en C mais de multiples bindings sont disponibles (python, lua, perl, etc.). Elle peut être utilisée dans n'importe quel outil de détection d'intrusion open-source.
LibIDMEF : LibIDMEF est une implementation de l'IETF (Internet Engineering Task Force), IDWG (Intrusion Detection Exchange Format Charter Working Group), projet de norme de protocole IDMEF.
IDMEF Framework Dotnet : Bibliothèque Dotnet pour créer des objets IDMEF et les exporter en XML.
DILCA – Distributed IDMEF Logical Correlation Architecture : DILCA est une architecture de correlation et de reactions logiques distribuées incluant la collection et la correlation de journaux d'évenements formatés IDMEF (Intrusion Detection Message Exchange Format – RFC 4765^[1]) à travers un système basé sur des signatures à plusieurs étapes.
XML::IDMEF – Un module Perl pour construire/parser des messages IDMEF : IDMEF.pm est une interface pour créer et parser simplement des messages IDMEF. IDMEF est un protocole basé XML inventé principalement pour représenter les messages d'alertes de détection d'intrusions.
Other module for creating/parsing IDMEF messages
Snort IDMEF Plugin : Snort IDMEF est un plugin IDMEF XML pour Snort afin d'obtenir en sortie des évenements d'alertes sous la forme de messages IDMEF. Ce plugin est compatible avec Snort 2.x
A Broccoli server to send IDMEF alerts via Prelude
Converter for the IDMEF format
IDMEF Parser
An IDMEF alerting library for distributed IDPS

Références

Liens externes

(en) RFC 4765^[1], The Intrusion Detection Message Exchange Format (IDMEF)
(en) RFC 4766^[2], Intrusion Detection Message Exchange Requirements (IDMEF)
(en) RFC 4767^[3], The Intrusion Detection Exchange Protocol (IDXP)
(fr) RGI V2, Référentiel Général d'Interopérabilité (décembre 2015)
(en) Pravin Kothari, Intrusion Detection Interoperability and Standardization, SANS Institute InfoSec Reading Room, 19 février 2002
(en) SECEF, Project for the promotion of the IDMEF and IODEF formats

Portail de la sécurité informatique

↑ ^{a b et c} (en) Request for comments n^o 4765
↑ ^{a et b} (en) Request for comments n^o 4766
↑ ^{a et b} (en) Request for comments n^o 4767

[RFC-4765-1] {a b et c} (en) Request for comments n^o 4765

[RFC-4766-2] {a et b} (en) Request for comments n^o 4766

[RFC-4767-3] {a et b} (en) Request for comments n^o 4767

[1]

[2]

[3]