IDMEF | Présentation

Le but du format Intrusion Detection Message Exchange Format (IDMEF) est de définir les formats de données et les procédures d’échange pour le partage des informations d’intérêt pour la détection d’intrusion et les systèmes de réponse et aux systèmes de gestion qui peuvent avoir besoin d’interagir avec eux.

 

Pour le moment, la RFC IDMEF définie deux classes d’objets majeures:

 

  • la classe d’alerte est utilisée pour envoyer des alertes des analyseurs aux gestionnaires,
  • la classe Heartbeat est utilisée pour envoyer des «battements de cœur » de l’analyseur aux gestionnaires.

 

Une alerte peut être envoyée:

 

  • par un analyseur trouvant un « échec d’authentification » dans un fichier journal de l’application
  • par une détection d’un virus dans un fichier par un antivirus
  • par une détection d’une attaque connue dans les flux du réseau IDS

 

Hearbeats sont généralement envoyés par tout les analyseurs afin de vérifier qu’ils fonctionnent correctement.

 

Format

 

IDMEF-Schema

 

Les informations majeures contenues dans ces classes sont:

 

  • Analyser : Informations d’identifications pour l’analyseur qui a levé l’alerte.
  • CreateTime : La date à laquelle l’alerte a été crée. Parmi les trois fois plus susceptibles d’être pourvus d’une alerte, il est le seul qui est nécessaire.
  • DetectTime : La date de l’évenement(s) donnant lieu à la création de l’alerte. Dans les cas de plus d’un évènement, la date à laquelle le premier évènement a été détecté. Dans certaines circonstances, ceci peut être différent de CreateTime.
  • AnalyserTime : La classe AnalyzerTime est utilisée pour indiquer la date et l’heure actuelle sur l’analyseur. Ces valeurs devraient être remplies aussi tard que possible dans le processus de transmission de message, idéalement juste avant d’envoyer ledit message. AnalyzerTime peut être utilisé pour synchroniser de façon rudimentaire les analyseurs et les managers.
  • Source : La classe Source contient les informations sur les sources possibles de ou des évènements ayant donné lieu à l’alerte. Un évènement peut avoir plus d’une source (ex: dans une attaque de déni de service distribuée).
  • Target : La classe Target contient les informations sur les cibles possibles des évènements ayant généré l’alerte. Un évènement peut avoir plus d’une cible (ex: dans le cas d’un balayage de port).
  • Classification : La classe Classification fournit le « nom » de l’alerte, ou d’autres informations permettant au manager de comprendre la nature de l’alerte. Ce nom est choisi par le fournisseur d’alertes.
  • Assessment : La classe Assessment est utilisée pour fournir l’évaluation d’un évènement par l’analyseur (son impact, les actions prises en réponse, et la confiance dans cette évaluation).
  • AdditionalData : Informations incluses par l’analyseur qui ne rentrent pas dans le modèle de données. Ceci peut être des morceaux de données atomiques, ou d’importantes masses de données fournies par une extension IDMEF.