Intrusion Detection Message Exchange Format

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Utilisé dans le cadre de la sécurité informatique, IDMEF (Intrusion Detection Message Exchange Format, format d'échange de messages de détection d'intrusion) est un format de données qui sert à échanger des rapports d'incidents entre les logiciels de détection d'intrusion, de prévention d'intrusion et de collecte d'informations de sécurité et les logiciels qui doivent interagir avec eux.

Les messages IDMEF sont conçus pour pouvoir être traités facilement automatiquement. Les détails du format sont décrits dans la RFC 4765 de 2007. Cette RFC présente une implémentation du modèle de données en XML ainsi que la DTD associée.

Exemple[modifier | modifier le code]

Un rapport IDMEF sur une attaque de type Ping de la mort a l'aspect suivant :

<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0">
  <idmef:Alert messageid="abc123456789">
    <idmef:Analyzer analyzerid="bc-sensor01">
      <idmef:Node category="dns">
        <idmef:name>sensor.example.com</idmef:name>
      </idmef:Node>
    </idmef:Analyzer>
    <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime>
    <idmef:Source ident="a1a2" spoofed="yes">
      <idmef:Node ident="a1a2-1">
        <idmef:Address ident="a1a2-2" category="ipv4-addr">
          <idmef:address>192.0.2.200</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Source>
    <idmef:Target ident="b3b4">
      <idmef:Node>
        <idmef:Address ident="b3b4-1" category="ipv4-addr">
          <idmef:address>192.0.2.50</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="c5c6">
      <idmef:Node ident="c5c6-1" category="nisplus">
        <idmef:name>lollipop</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="d7d8">
      <idmef:Node ident="d7d8-1">
        <idmef:location>Cabinet B10</idmef:location>
        <idmef:name>Cisco.router.b10</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Classification text="Ping-of-death detected">
      <idmef:Reference origin="cve">
        <idmef:name>CVE-1999-128</idmef:name>
        <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>
      </idmef:Reference>
    </idmef:Classification>
  </idmef:Alert>
</idmef:IDMEF-Message>

Logiciels prenant en charge le protocole IDMEF[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Source[modifier | modifier le code]

Liens externes[modifier | modifier le code]