Оглавление
Формат обмена сообщениями об обнаружении вторжений
-
Определение и использование IDMEF
- IDMEF – это формат данных для обмена информацией между системами безопасности.
- Сообщения IDMEF предназначены для автоматической обработки и описаны в RFC 4765.
- Требования к формату и рекомендуемый транспортный протокол описаны в RFC 4766 и RFC 4767 соответственно.
-
Структура и типы сообщений IDMEF
- IDMEF состоит из 33 классов с 108 полями, включая обязательные поля.
- Существуют два типа сообщений: Heartbeat и Alert.
- Heartbeat сообщения используются для указания состояния анализаторов и отправки с регулярными интервалами.
- Alert сообщения описывают атаки и содержат детали, такие как время создания, обнаружения и отправки.
-
Инструменты и библиотеки для IDMEF
- Prelude – это система обнаружения вторжений, которая поддерживает IDMEF.
- LibPrelude – это библиотека для обмена данными между агентами IDS, доступная на разных языках программирования.
- LibIDMEF – это реализация стандарта IDMEF, написанная на C.
- IDMEF Framework Dotnet – это библиотека для создания объектов IDMEF в формате XML.
- DILCA – это распределенная архитектура логической корреляции IDMEF.
- XML::IDMEF – это Perl-модуль для создания и анализа IDMEF-сообщений.
- Snort IDMEF – это плагин для Snort, который выводит IDMEF-сообщения.
- Сервер Broccoli отправляет оповещения IDMEF через Prelude.
- Конвертер для формата IDMEF и другие инструменты доступны для работы с этим протоколом.
-
Сравнение с другими форматами оповещений
- IDMEF конкурирует с другими форматами охранной сигнализации, такими как CEF, LEEF и SDEE.
-
Рекомендации и учебные пособия
- Ссылки на RFC и учебные пособия доступны на английском языке.
- В учебных пособиях подробно описаны форматы и использование IDMEF.