IODEF | Présentation

 

 

Incident Object Description Exchange Format (IODEF) est un format représentant les informations de sécurité d’un ordinateur communément échangées entre les équipes de réponses aux incidents de sécurité des ordinateurs (Computer Security Incident Response Teams – CSIRTs).

 

Il fournit une représentation XML pour transmettre l’information de l’incident, à travers les domaines administratifs, entre les parties qui ont une responsabilité opérationnelle de remédiation ou un « watch-and-warning » sur une circonscription définie. Le modèle de données encode les informations à propos des hébergeurs, réseaux, et des services en fonctionnement sur ces systèmes : méthodologie d’attaque, autres preuves d’autopsies associées, impact de l’activité et approches limitées pour la documentation de la chaîne de travail.

 

Le but de IODEF est d’améliorer les capacités opérationnelles des CSIRTs. L’adoption par la communauté de IODEF fournit une capacité améliorée à résoudre les incidents et la connaissance de la situation en simplifiant la collaboration et l’échange de données. Ce format structuré, fournit par IODEF, permet:

 

  • D’augmenter l’automatisation du traitement des données d’incidents, étant donné que les ressources des analystes de la sécurité pour parser des documents textes non-formatés sera réduite.
  • De décroitre les efforts servant à normaliser des données similaires (même hautement structurées) de différentes sources.
  • Un format commun sur lequel construire des outils interopérables pour la gestion d’incidents et l’analyse subséquente, spécifiquement quand les données viennent de multiples sources.

 

Une des principales caractéristiques de IODEF est sa compatibilité avec l’Intrusion Detection Message Exchange Format (IDMEF) développé pour les systèmes de détection d’intrusion. Pour cette raison, IODEF est lourdement basé sur IDMEF et fournit une compatibilité ascendante avec celui-ci.

Format

IODEF-Schema

Les classes agrégées qui constituent un incident sont:

 

  • IncidentID : Une. Un numéro d’identification d’incident assigné à cet incident par le CSIRT qui génère le document IODEF.
  • AlternativeID : Zéro ou une. Les numéros d’identification d’incidents utilisés par d’autres CSIRTs pour se référer à l’incident décrit dans le document.
  • RelatedActivity : Zéro ou une. Les numéros d’identification des incidents reliés à celui du document en question.
  • DetectTime : Zéro ou une. L’heure à laquelle l’incident a été détecté pour la 1ere fois.
  • StartTime : Zéro ou une. L’heure à laquelle l’incident a commencé.
  • EndTime : Zéro ou une. L’heure à laquelle l’incident s’est terminé.
  • ReportTime : Une. L’heure à laquelle l’incident a été signalé.
  • Description : Zéro ou plus. ML_STRING. Une description textuelle non-formatée de l’incident.
  • Assessment : Une ou plus. Une caractérisation de l’impact de l’incident.
  • Method : Zéro ou plus. Les techniques utilisées par l’intrus durant l’incident.
  • Contact : Une ou plus. Les informations de contact pour les parties impliquées dans l’incident.
  • EventData : Zéro ou plus. Description des évènement comprenant l’incident.
  • History : Zéro ou une. Un log, des évènements ou des actions significatives qui ont eu lieu durant la gestion de l’incident.
  • AdditionalData : Zéro ou plus. Mécanismes par lequel étendre le modèle de données.