IODEF et IDMEF au SSTIC 2016

Suite à l’intégration des formats IDMEF et IODEF au RGI V2, nous avons présenté en avant première les librairies open-source GPL V2 libidmef et libiodef au « Symposium sur la Sécurité des Technologies de l’Information et des Communications » 2016.

 

La bibliothèque libIDMEF reprend les bases de la libPrelude connue et reconnue pour sa sécurité, sa stabilité et sa performance. Nous retrouvons un mécanisme de chemins (IDMEFPath) pour accéder et manipuler les objets IDMEF (IDMEFPath est calqué sur la RFC IDMEF). Des bindings sont présents permettant d’utiliser cette bibliothèque dans différents langages : C, C++, Python (d’autres bindings sont à venir). En entrée, vous pouvez positionner tout type de valeur cohérente par rapport à la RFC : chaine de caractère, entier, entier non signé, binaire, etc. En sortie, vous pouvez soit générer un affichage console compréhensible par un humain, soit un JSON (très pratique pour tout ce qui est WebService par exemple) ou encore le format binaire de Prelude. Nous prévoyons dans le futur de supporter le format XML utilisé comme exemple dans la RFC. Il est également important de pouvoir échanger ces objets IDMEF. La libIDMEF-trans est en cours de développement. Elle permettra le transport d’objets IDMEF à travers différents protocoles : Syslog, AMQP, HTTP ainsi que le transport Prelude. Il sera ainsi possible d’envoyer ou de recevoir des objets IDMEF facilement. Tout comme la libIDMEF, des bindings sont prévus. Nous supporterons : C, C++, Python.

 

Grâce à la libIDMEF et bientôt la libIDMEF-trans, vous serez capable de créer, modifier, envoyer et recevoir des alertes de sécurité concernant votre réseau, le tout indépendamment du langage de programmation de vos sondes. Vous bénéficierez naturellement de la richesse d’IDMEF.

 

Des travaux similaires sont en cours de réalisation autour de IODEF (RFC 5070), le standard de description d’incidents de sécurité. Comme indiqué plus haut, nous avons déjà mis en ligne la libiodef dans une première version.

 

Voici l’accès aux dépôts de développement :

 

 

Téléchargement de la présentation SSTIC au format PDF : IDMEF_IODEF_SSTIC_2016