IDMEF : Intrusion Detection Message Exchange Format

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Utilisé dans le cadre de la sécurité informatique, IDMEF (Intrusion Detection Message Exchange Format / En français, Format d’Échange de Messages de Détection d'Intrusion) est un format de données servant à échanger des informations de sécurité collectées par les logiciels de détection d'intrusion et de prévention d'intrusion avec les systèmes de management qui communiquent avec eux. IDMEF permet également les interactions avec d'autres outils.

Les messages IDMEF sont conçus pour pouvoir être traités automatiquement. Les détails du format sont décrits dans la RFC 4765 de 2007. Cette RFC présente une implémentation du modèle de données en XML ainsi que la DTD associée. Les exigences pour ce format sont décrites dans la RFC 4766, et le protocole de transport recommandé (IDXP) est documenté dans la RFC 4767

Format IDMEF[modifier | modifier le code]

Schéma Format IDMEF

Le but du format IDMEF est de définir les formats de données et les procédures d’échange pour le partage des informations concernant la détection d’intrusion avec les systèmes de réponse et de gestion qui peuvent avoir besoin d’interagir avec eux. Les services de modernisation de l’État français recommandent les formats IDMEF et IODEF pour assurer l'interopérabilité des administrations françaises dans le RGI v2.0 (Référentiel Général d'Interopérabilité) entré en vigueur le 20 Avril 2016.

IDMEF est un format orienté objet bien structuré qui se compose de 33 classes contenant 108 champs dont trois obligatoires:

  • La classification
  • L'identifiant unique
  • La date de création de l'alerte.

Il y a actuellement deux types de messages IDMEF qui peuvent être créés: Heartbeat ou Alert

Heartbeat[modifier | modifier le code]

Les Heartbeats (Battements de cœur) sont envoyés par les analyseurs afin d'indiquer leur état. Ces messages sont envoyés à intervalle régulier dont la période est défini dans le champ "heartbeatinterval". Si aucun de ces messages n'est reçu pendant plusieurs périodes de temps, il faut considérer que cet analyseur n'est plus en mesure de remonter des alertes.

Les battements de cœur permettent également d'indiquer des informations relatives à l'analyseur.

Alert[modifier | modifier le code]

Les alertes permettent de décrire une attaque qui a eu lieu, les principaux champs qui constituent l'alerte sont :

  • CreateTime : Date de création de l'alerte.
  • DetectTime : Heure de détection de l'alerte par l'analyseur.
  • AnalyzerTime : Heure à laquelle l'alerte a été envoyée par l'analyseur.
  • Source : Détail sur l'origine de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud.
  • Target : Détail sur la cible de l'attaque, peut être un service, un utilisateur, un processus et/ou un nœud ainsi qu'un fichier.
  • Classification : Nom de l'attaque et références, comme des CVEs.
  • Assessment : Évaluation de l'attaque (sévérité, potentiel impact, etc).
  • AdditionalData : Informations supplémentaires relative à cette attaque.

Il existe trois autres types d'alerte qui héritent de ce schéma :

  • CorrelationAlert : Groupement d'alertes lié l'une aux autres.
  • ToolAlert : Groupement d'alertes provenant du même outil.
  • OverflowAlert : Alerte résultant d'attaque dite de dépassement de tampon.

Exemple[modifier | modifier le code]

Un rapport IDMEF sur une attaque de type Ping de la mort a l'aspect suivant :

<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0">
  <idmef:Alert messageid="abc123456789">
    <idmef:Analyzer analyzerid="bc-sensor01">
      <idmef:Node category="dns">
        <idmef:name>sensor.example.com</idmef:name>
      </idmef:Node>
    </idmef:Analyzer>
    <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime>
    <idmef:Source ident="a1a2" spoofed="yes">
      <idmef:Node ident="a1a2-1">
        <idmef:Address ident="a1a2-2" category="ipv4-addr">
          <idmef:address>192.0.2.200</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Source>
    <idmef:Target ident="b3b4">
      <idmef:Node>
        <idmef:Address ident="b3b4-1" category="ipv4-addr">
          <idmef:address>192.0.2.50</idmef:address>
        </idmef:Address>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="c5c6">
      <idmef:Node ident="c5c6-1" category="nisplus">
        <idmef:name>lollipop</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Target ident="d7d8">
      <idmef:Node ident="d7d8-1">
        <idmef:location>Cabinet B10</idmef:location>
        <idmef:name>Cisco.router.b10</idmef:name>
      </idmef:Node>
    </idmef:Target>
    <idmef:Classification text="Ping-of-death detected">
      <idmef:Reference origin="cve">
        <idmef:name>CVE-1999-128</idmef:name>
        <idmef:url>http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128</idmef:url>
      </idmef:Reference>
    </idmef:Classification>
  </idmef:Alert>
</idmef:IDMEF-Message>

Logiciels prenant en charge le protocole IDMEF[modifier | modifier le code]


Références[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Tutoriels[modifier | modifier le code]