RFC4765 日本語訳
4765 The Intrusion Detection Message Exchange Format (IDMEF). H.Debar, D. Curry, B. Feinstein. March 2007. (Format: TXT=307966 bytes) (Status: EXPERIMENTAL)
プログラムでの自動翻訳です。
英語原文
Network Working Group H. Debar
Request for Comments: 4765 France Telecom
Category: Experimental D. Curry
Guardian
B. Feinstein
SecureWorks, Inc.
March 2007
作業部会H.をネットワークでつないでください。コメントを求める要求を締め出してください: 4765年のフランステレコムカテゴリ: 2007年の実験的なD.の保護者B.ファインスティンSecureWorks Inc.カレー行進
The Intrusion Detection Message Exchange Format (IDMEF)
侵入検出交換処理形式(IDMEF)
Status of This Memo
このメモの状態
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのためにExperimentalプロトコルを定義します。 それはどんな種類のインターネット標準も指定しません。 議論と改善提案は要求されています。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The IETF Trust (2007).
IETFが信じる著作権(C)(2007)。
IESG Note
IESG注意
The content of this RFC was at one time considered by the IETF, but the working group concluded before this work was approved as a standards-track protocol. This RFC is not a candidate for any level of Internet Standard. The IETF disclaims any knowledge of the fitness of this RFC for any purpose and in particular notes that the decision to publish is not based on complete IETF review for such things as security, congestion control, or inappropriate interaction with deployed protocols. The IESG has chosen to publish this document in order to document the work as it was when the working group concluded and to encourage experimentation and development of the technology. Readers of this RFC should exercise caution in evaluating its value for implementation and deployment.
このRFCの内容はひところ、IETFによって考えられましたが、この仕事が標準化過程プロトコルとして承認される前にワーキンググループは結論を下しました。 このRFCはインターネットStandardのどんなレベルの候補ではありません。 IETFは配布しているプロトコルとのセキュリティのようなもの、輻輳制御、または不適当な相互作用のために、どんな目的のためのこのRFCのフィットネスに関するどんな知識と発行するという決定が完全なIETFレビューに基づいていないという特に注も放棄します。 IESGはワーキンググループが結論を下した時であるときに仕事を記録するためにこのドキュメントを発表して、技術の実験と開発を奨励するのを選びました。 このRFCの読者は実装と展開のために値を評価する際に警戒するべきです。
Abstract
要約
The purpose of the Intrusion Detection Message Exchange Format (IDMEF) is to define data formats and exchange procedures for sharing information of interest to intrusion detection and response systems and to the management systems that may need to interact with them.
Intrusion Detection Message Exchange Format(IDMEF)の目的はそれらと対話する必要があるかもしれないマネージメントシステムに侵入検出と応答システムと、そして、興味がある情報交換のためにデータ書式と交換手順を定義することです。
This document describes a data model to represent information exported by intrusion detection systems and explains the rationale for using this model. An implementation of the data model in the Extensible Markup Language (XML) is presented, an XML Document Type Definition is developed, and examples are provided.
このドキュメントで、侵入検知システムによってエクスポートされた情報を表すためにデータモデルについて説明して、このモデルを使用するために原理がわかります。 拡張マークアップ言語(XML)におけるデータモデルの実装を提示します、そして、XML Document Type Definitionは開発しています、そして、例を提供します。
Debar, et al. Experimental [Page 1] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[1ページ]RFC4765IDMEF行進
Table of Contents
目次
1. Introduction ....................................................4
1.1. About the IDMEF Data Model .................................4
1.1.1. Problems Addressed by the Data Model ................5
1.1.2. Data Model Design Goals .............................6
1.2. About the IDMEF XML Implementation .........................7
1.2.1. The Extensible Markup Language ......................7
1.2.2. Rationale for Implementing IDMEF in XML .............8
2. Notices and Conventions Used in This Document ..................10
3. Notational Conventions and Formatting Issues ...................10
3.1. IDMEF XML Documents .......................................10
3.1.1. The Document Prolog ................................10
3.1.2. Character Data Processing in IDMEF .................11
3.1.3. Languages in IDMEF .................................12
3.2. IDMEF Data Types ..........................................12
3.2.1. Integers ...........................................12
3.2.2. Real Numbers .......................................12
3.2.3. Characters and Strings .............................13
3.2.4. Bytes ..............................................14
3.2.5. Enumerated Types ...................................14
3.2.6. Date-Time Strings ..................................14
3.2.7. NTP Timestamps .....................................16
3.2.8. Port Lists .........................................16
3.2.9. Unique Identifiers .................................17
4. The IDMEF Data Model and DTD ...................................18
4.1. Data Model Overview .......................................18
4.2. The Message Classes .......................................20
4.2.1. The IDMEF-Message Class ............................20
4.2.2. The Alert Class ....................................20
4.2.3. The Heartbeat Class ................................27
4.2.4. The Core Classes ...................................29
4.2.5. The Time Classes ...................................41
4.2.6. The Assessment Classes .............................42
4.2.7. The Support Classes ................................47
5. Extending the IDMEF ............................................79
5.1. Extending the Data Model ..................................79
5.2. Extending the IDMEF DTD ...................................80
6. Special Considerations .........................................81
6.1. XML Validity and Well-Formedness ..........................81
6.2. Unrecognized XML Tags .....................................82
6.3. Analyzer-Manager Time Synchronization .....................82
6.4. NTP Timestamp Wrap-Around .................................84
6.5. Digital Signatures ........................................85
7. Examples .......................................................85
7.1. Denial-of-Service Attacks .................................86
7.1.1. The "teardrop" Attack ..............................86
7.1.2. The "ping of death" Attack .........................87
1. 序論…4 1.1. IDMEFに関して、データはモデル化されます…4 1.1.1. データによって扱われた問題はモデル化されます…5 1.1.2. データはデザイン目標をモデル化します…6 1.2. IDMEF XML実装に関して…7 1.2.1. 拡張マークアップ言語…7 1.2.2. XMLでIDMEFを実装するための原理…8 2. このドキュメントで中古の通知とコンベンション…10 3. 記号法のコンベンションと形式問題…10 3.1. IDMEF XMLドキュメント…10 3.1.1. ドキュメントプロローグ…10 3.1.2. IDMEFのキャラクターデータ処理…11 3.1.3. IDMEFの言語…12 3.2. IDMEFデータ型…12 3.2.1. 整数…12 3.2.2. 本当の数…12 3.2.3. キャラクターとストリング…13 3.2.4. バイト…14 3.2.5. タイプを数え上げます…14 3.2.6. 日付-時間ストリング…14 3.2.7. NTPタイムスタンプ…16 3.2.8. リストを移植してください…16 3.2.9. ユニークな識別子…17 4. IDMEFデータモデルとDTD…18 4.1. データは概要をモデル化します…18 4.2. メッセージは属します…20 4.2.1. IDMEF-メッセージのクラス…20 4.2.2. 注意深いクラス…20 4.2.3. 鼓動のクラス…27 4.2.4. コアは属します…29 4.2.5. 時間は属します…41 4.2.6. 査定は属します…42 4.2.7. サポートは属します…47 5. IDMEFを広げています…79 5.1. データを広げて、モデル化してください…79 5.2. IDMEF DTDを広げています…80 6. 特別な問題…81 6.1. XMLの正当性と井戸-Formedness…81 6.2. 認識されていないXMLタグ…82 6.3. 分析器マネージャ時間同期化…82 6.4. NTPタイムスタンプ巻きつけて着るドレス…84 6.5. Digital署名…85 7. 例…85 7.1. サービス不能攻撃…86 7.1.1. 「涙」攻撃…86 7.1.2. 「死のピング」Attack…87
Debar, et al. Experimental [Page 2] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[2ページ]RFC4765IDMEF行進
7.2. Port Scanning Attacks .....................................88
7.2.1. Connection to a Disallowed Service .................88
7.2.2. Simple Port Scanning ...............................89
7.3. Local Attacks .............................................90
7.3.1. The "loadmodule" Attack ............................90
7.3.2. The "phf" Attack ...................................93
7.3.3. File Modification ..................................94
7.4. System Policy Violation ...................................96
7.5. Correlated Alerts .........................................98
7.6. Analyzer Assessments ......................................99
7.7. Heartbeat ................................................100
7.8. XML Extension ............................................101
8. The IDMEF Document Type Definition (Normative) ................104
9. Security Considerations .......................................117
10. IANA Considerations ..........................................118
10.1. Adding Values to Existing Attributes ....................118
10.1.1. Attribute Registrations ..........................119
10.1.2. Registration Template ............................130
10.2. Adding New Attributes and Classes .......................131
11. References ...................................................131
11.1. Normative References ....................................131
11.2. Informative References ..................................132
Appendix A. Acknowledgements ....................................134
Appendix B. The IDMEF Schema Definition (Non-normative) .........135
7.2. スキャン攻撃を移植してください…88 7.2.1. 禁じられたサービスとの接続…88 7.2.2. 簡単なポートスキャン…89 7.3. 地方の攻撃…90 7.3.1. "loadmodule"攻撃…90 7.3.2. "phf"攻撃…93 7.3.3. 変更をファイルしてください…94 7.4. システム方針違反…96 7.5. 警戒を関連させます…98 7.6. 分析器の査定…99 7.7. 鼓動…100 7.8. XML拡張子…101 8. IDMEFは型定義(標準の)を記録します…104 9. セキュリティ問題…117 10. IANA問題…118 10.1. 付加は存在するのに属性を評価します…118 10.1.1. 登録証明書を結果と考えてください…119 10.1.2. 登録テンプレート…130 10.2. 新しい属性とクラスを加えます…131 11. 参照…131 11.1. 標準の参照…131 11.2. 有益な参照…132 付録A.承認…134付録、B. IDMEF図式定義(非標準の)…135
Debar, et al. Experimental [Page 3] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[3ページ]RFC4765IDMEF行進
1. Introduction
1. 序論
The Intrusion Detection Message Exchange Format (IDMEF) [2] is intended to be a standard data format that automated intrusion detection systems can use to report alerts about events that they deem suspicious. The development of this standard format will enable interoperability among commercial, open source, and research systems, allowing users to mix-and-match the deployment of these systems according to their strong and weak points to obtain an optimal implementation.
Intrusion Detection Message Exchange Format(IDMEF)[2]は自動化された侵入検知システムが彼らが疑わしげであると考えるイベントに関して警戒を報告するのに使用できる標準データ形式であることを意図します。 この標準書式の開発はコマーシャル、オープンソース、およびリサーチシステムの中で相互運用性を可能にするでしょう、それらの得手不得手によると、ユーザが最適の実装を得るためにこれらのシステムの展開を混ぜて、合っているのを許容して。
The most obvious place to implement the IDMEF is in the data channel between an intrusion detection analyzer (or "sensor") and the manager (or "console") to which it sends alarms. But there are other places where the IDMEF can be useful:
侵入検出分析器(または、「センサ」)とそれがアラームを送るマネージャ(または、「コンソール」)の間には、IDMEFを実装する最も明白な場所がデータ・チャンネルであります。しかし、他の場所がIDMEFが役に立つ場合があるところにあります:
o a single database system that could store the results from a
variety of intrusion detection products would make it possible for
data analysis and reporting activities to be performed on "the
whole picture" instead of just a part of it;
o さまざまな侵入検出製品から結果を保存できたただ一つのデータベース・システムで、まさしくそれの一部の代わりに「全貌」に実行されるのはデータ分析と活動を報告するのに可能になるでしょう。
o an event correlation system that could accept alerts from a
variety of intrusion detection products would be capable of
performing more sophisticated cross-correlation and cross-
confirmation calculations than one that is limited to a single
product;
o さまざまな侵入検出製品から警戒を受け入れることができたイベント相関関係システムはただ一つの製品に制限されるものより精巧な相互相関と十字確認計算を実行できるでしょう。
o a graphical user interface that could display alerts from a
variety of intrusion detection products would enable the user to
monitor all of the products from a single screen, and require him
or her to learn only one interface, instead of several; and
o さまざまな侵入検出製品から警戒を表示できたグラフィカルユーザーインターフェースは、ユーザが、単一のスクリーンからの製品のすべてをモニターして、その人が1つのインタフェースだけを学ぶのを要求するのを可能にするでしょう、数個の代わりに。 そして
o a common data exchange format would make it easier for different
organizations (users, vendors, response teams, law enforcement) to
not only exchange data, but also communicate about it.
o 一般的なデータ交換形式で、異なった組織(ユーザ、ベンダー、応答は組になります、法施行)がデータを交換するだけではなく、それについて話し合いもするのが、より簡単になるでしょう。
The diversity of uses for the IDMEF needs to be considered when selecting its method of implementation.
IDMEFへの用途の多様性は、実装のメソッドを選択するとき、考えられる必要があります。
1.1. About the IDMEF Data Model
1.1. IDMEFデータモデルに関して
The IDMEF data model is an object-oriented representation of the alert data sent to intrusion detection managers by intrusion detection analyzers.
IDMEFデータモデルは侵入検出分析器によって侵入検出マネージャに送られた注意を喚起するデータのオブジェクト指向表現です。
Debar, et al. Experimental [Page 4] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[4ページ]RFC4765IDMEF行進
1.1.1. Problems Addressed by the Data Model
1.1.1. データモデルによって扱われた問題
The data model addresses several problems associated with representing intrusion detection alert data:
データモデルは侵入検出注意を喚起するデータを表すと関連しているそのいくつかの問題を訴えます:
o Alert information is inherently heterogeneous. Some alerts are
defined with very little information, such as origin, destination,
name, and time of the event. Other alerts provide much more
information, such as ports or services, processes, user
information, and so on. The data model that represents this
information must be flexible to accommodate different needs.
o 注意深い情報は本来異種です。 いくつかの警戒がイベントの発生源や、目的地や、名前や、時間などの非常に少ない情報で定義されます。 他の警戒はポートやサービスのようなプロセス、ユーザー情報などを多くの詳しい情報に提供します。 この情報を表すデータモデルは異なった必要性を収容するのにおいてフレキシブルであるに違いありません。
An object-oriented model is naturally extensible via aggregation
and subclassing. If an implementation of the data model extends
it with new classes, either by aggregation or subclassing, an
implementation that does not understand these extensions will
still be able to understand the subset of information that is
defined by the data model. Subclassing and aggregation provide
extensibility while preserving the consistency of the model.
オブジェクト指向モデルは集合と副分類を通して自然に広げることができます。 データモデルの実装が新しいクラスと共にそれを広げているなら、集合か副分類、実装で、それは、これらの拡大がまだデータモデルによって定義される情報の部分集合を理解できるのを理解していません。 Subclassingと集合はモデルの一貫性を保存している間、伸展性を提供します。
o Intrusion detection environments are different. Some analyzers
detect attacks by analyzing network traffic; others use operating
system logs or application audit trail information. Alerts for
the same attack, sent by analyzers with different information
sources, will not contain the same information.
o 侵入検出環境は異なっています。 いくつかの分析器がネットワークトラフィックを分析することによって、攻撃を検出します。 他のものはオペレーティングシステムログかアプリケーション監査証跡情報を使用します。 異なった情報源がある分析器によって送られた同じ攻撃のための警戒は同じ情報を含まないでしょう。
The data model defines support classes that accommodate the
differences in data sources among analyzers. In particular, the
notions of source and target for the alert are represented by the
combination of Node, Process, Service, and User classes.
データモデルは分析器の中にデータ送信端末の違いを収容するサポートのクラスを定義します。 特に、警戒のためのソースと目標の概念はNode、Process、Service、およびUserのクラスの組み合わせで表されます。
o Analyzer capabilities are different. Depending on the
environment, one may install a lightweight analyzer that provides
little information in its alerts, or a more complex analyzer that
will have a greater impact on the running system but provide more
detailed alert information. The data model must allow for
conversion to formats used by tools other than intrusion detection
analyzers, for the purpose of further processing the alert
information.
o 分析器の能力は異なっています。 環境によって、ほとんど情報を警戒に提供しない軽量の分析器、または実行システムの上で、よりすばらしい影響を与えますが、より詳細な注意深い情報を提供するより複雑な分析器をインストールするかもしれません。 データモデルは侵入検出分析器以外のツールによって使用される形式への変換、さらなる処理の目的のために注意深い情報を許容しなければなりません。
The data model defines extensions to the basic Document Type
Definition (DTD) that allow carrying both simple and complex
alerts. Extensions are accomplished through subclassing or
association of new classes.
データモデルは簡単なものと同様に複雑な警戒を運ばせる基本的なDocument Type Definition(DTD)と拡大を定義します。 拡大は新しいクラスの副分類か協会を通して実行されます。
Debar, et al. Experimental [Page 5] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[5ページ]RFC4765IDMEF行進
o Operating environments are different. Depending on the kind of
network or operating system used, attacks will be observed and
reported with different characteristics. The data model should
accommodate these differences.
o 操作環境は異なっています。 ネットワークか使用されるオペレーティングシステムの種類によって、攻撃は、異なった特性で観測されて、報告されるでしょう。 データモデルはこれらの違いを収容するべきです。
Significant flexibility in reporting is provided by the Node and
Service support classes. If additional information must be
reported, subclasses may be defined that extend the data model
with additional attributes.
報告における重要な柔軟性はNodeとServiceサポートのクラスによって提供されます。 追加情報を報告しなければならないなら、追加属性があるデータモデルを広げるサブクラスは定義されるかもしれません。
o Commercial vendor objectives are different. For various reasons,
vendors may wish to deliver more or less information about certain
types of attacks.
o 商業ベンダー目的は異なっています。 様々な理由で、ベンダーはあるタイプの攻撃に関して多少情報を配布したがっているかもしれません。
The object-oriented approach allows this flexibility while the
subclassing rules preserve the integrity of the model.
副分類規則はモデルの保全を保持しますが、オブジェクト指向アプローチはこの柔軟性を許容します。
1.1.2. Data Model Design Goals
1.1.2. データモデルデザイン目標
The data model was designed to provide a standard representation of alerts in an unambiguous fashion, and to permit the relationship between simple and complex alerts to be described.
データモデルは、明白なファッションにおける、警戒の標準の表現を前提として、簡単で複雑な警戒の間の関係が説明されることを許可するように設計されました。
1.1.2.1. Representing Events
1.1.2.1. イベントを表します。
The goal of the data model is to provide a standard representation of the information that an intrusion detection analyzer reports when it detects an occurrence of some unusual event(s). These alerts may be simple or complex, depending on the capabilities of the analyzer that creates them.
データモデルの目標は何らかの珍しいイベントの発生を検出するとき、侵入検出分析器が報告するという情報の標準の表現を提供することです。 それらを作成する分析器の能力によって、これらの警戒は、簡単であるか、または複雑であるかもしれません。
1.1.2.2. Content-Driven
1.1.2.2. 内容駆動です。
The design of the data model is content-driven. This means that new objects are introduced to accommodate additional content, not semantic differences between alerts. This is an important goal, as the task of classifying and naming computer vulnerabilities is both extremely difficult and very subjective.
データモデルのデザインは内容駆動です。 これは、新しいオブジェクトが警戒の間で意味違いではなく、追加内容に対応するために導入されることを意味します。 これは重要な目標です、コンピュータ脆弱性を分類して、命名するタスクが非常に難しくて、かつ非常に主観的であるときに。
The data model must be unambiguous. This means that while we allow analyzers to be more or less precise than one another (i.e., one analyzer may report more information about an event than another), we do not allow them to produce contradictory information in two alerts describing the same event (i.e., the common subset of information reported by both analyzers must be identical and inserted in the same placeholders within the alert data structure). Of course, it is always possible to insert all "interesting" information about an
データモデルは明白であるに違いありません。 これは、お互いより分析器が多少正確であることを許容している間(すなわち、1台の分析器が別のものよりイベントの情報を報告するかもしれません)私たちが同じイベントについて説明する2つの警戒における相容れない情報を作り出させないことを意味します(すなわち、両方の分析器によって報告された情報の一般的な部分集合は、同じで注意深いデータ構造の中で同じプレースホルダに挿入していなければなりません)。 もちろん、それはすべての「おもしろい」情報を挿入するのにおいていつも可能です。
Debar, et al. Experimental [Page 6] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[6ページ]RFC4765IDMEF行進
event in extension fields of the alert instead of in the fields where it belongs; however, such practice reduces interoperability and should be avoided whenever possible.
それが属する分野の代わりに警戒の拡大分野のイベント、。 しかしながら、可能であるときはいつも、そのような習慣は、相互運用性を減少させて、避けられるべきです。
1.1.2.3. Relationship between Alerts
1.1.2.3. 警戒の間の関係
Intrusion detection alerts can be transmitted at several levels. This document applies to the entire range, from very simple alerts (e.g., those alerts that are the result of a single action or operation in the system, such as a failed login report) to very complex ones (e.g., the aggregation of several events causing an alert to be generated).
いくつかのレベルで侵入検出警戒を伝えることができます。 このドキュメントは全体の範囲に適用されます、非常に簡単な警戒(例えば、ただ一つの動作の結果かシステムで、失敗したログインレポートなどの操作であるそれらの警戒)から非常に複雑なもの(例えば、警戒を生成するいくつかのイベントの集合)まで。
As such, the data model must provide a way for complex alerts that aggregate several simple alerts to identify those simple alerts in the complex alert's content.
そういうものとして、データモデルは複雑な警戒の内容におけるそれらの簡単な警戒を特定するためにいくつかの簡単な警戒に集められる複雑な警戒のための方法を提供しなければなりません。
1.2. About the IDMEF XML Implementation
1.2. IDMEF XML実装に関して
Two implementations of the IDMEF were originally proposed to the Intrusion Detection Working Group (IDWG): one using the Structure of Management Information (SMI) to describe a Simple Network Management Protocol (SNMP) MIB, and the other using a DTD to describe XML documents.
IDMEFの2つの実装が元々、Intrusion Detection作業部会(IDWG)に提案されました: XMLドキュメントについて説明するのにDTDを使用するSimple Network Managementプロトコル(SNMP)MIB、およびもう片方について説明するManagement情報(SMI)のStructureを使用する1つ。
These proposed implementations were reviewed by the IDWG at its September 1999 and February 2000 meetings; it was decided at the February meeting that the XML solution was best at fulfilling the IDWG requirements.
これらの提案された実装は1999年9月のIDWGと2000年2月ミーティングで見直されました。 2月のミーティングでは、XMLソリューションはIDWG要件を実現させるのが最も上手であると決められました。
1.2.1. The Extensible Markup Language
1.2.1. 拡張マークアップ言語
The Extensible Markup Language (XML) [3] is a simplified version of the Standard Generalized Markup Language (SGML), a syntax for specifying text markup defined by the ISO 8879 standard. XML is gaining widespread attention as a language for representing and exchanging documents and data on the Internet, and as the solution to most of the problems inherent in HyperText Markup Language (HTML). XML was published as a recommendation by the World Wide Web Consortium (W3C) on February 10, 1998.
拡張マークアップ言語(XML)[3]はStandard Generalized Markup Language(SGML)(8879年のISO規格によって定義されたテキストマーク付けを指定するための構文)の簡易型のバージョンです。 XMLはドキュメントとデータをインターネットと表して、交換するための言語としてハイパーテキスト・マークアップ言語(HTML)の固有である問題の大部分への解決として広範囲の注目を集めています。 XMLは1998年2月10日に推薦としてワールドワイドウェブコンソーシアム(W3C)によって発行されました。
XML is a metalanguage -- a language for describing other languages -- that enables an application to define its own markup. XML allows the definition of customized markup languages for different types of documents and different applications. This differs from HTML, in which there is a fixed set of identifiers with preset meanings that must be "adapted" for specialized uses. Both XML and HTML use elements (tags) (identifiers delimited by '<' and '>') and attributes
XMLはアプリケーションがそれ自身のマークアップを定義するのを可能にするメタ言語(他の言語を説明するための言語)です。 XMLは異なったタイプのドキュメントと異なったアプリケーションのためのカスタム設計されたマークアップ言語の定義を許します。 あらかじめセットされて、これがHTMLと異なる、専門化している用途のために「適合させられなければならない」意味。(そこには、固定セットの識別子があります)。 XMLとHTMLの両方が要素(タグ)('<'と'>'によって区切られた識別子)と属性を使用します。
Debar, et al. Experimental [Page 7] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[7ページ]RFC4765IDMEF行進
(of the form "name='value'"). But where "<p>" always means "paragraph" in HTML, it may mean "paragraph", "person", "price", or "platypus" in XML, or it might have no meaning at all, depending on the particular application.
(フォーム「名前='値'」の。) しかし、XMLで「<p>」がいつもHTMLにおける「パラグラフ」を意味するところで「パラグラフ」、「人」、「価格」、または「カモノハシ」を意味するかもしれませんか、またはそれには意味でないのが全くあるかもしれません、特定用途によって。
NOTE: XML provides both a syntax for declaring document markup and
structure (i.e., defining elements and attributes, specifying the
order in which they appear, and so on) and a syntax for using that
markup in documents. Because markup declarations look radically
different from markup, many people are confused as to which syntax
is called XML. The answer is that they both are, because they are
actually both part of the same language.
以下に注意してください。 XMLはドキュメントマーク付けと構造が(すなわち、それらが現れるオーダーを指定して、要素と属性を定義して、など)であると宣言するための構文とドキュメントでそのマークアップを使用するための構文の両方を提供します。 マーク付け宣言がマーク付けと根本的に異なるように見えるので、どの構文がXMLと呼ばれるかに関して多くの人々が混乱します。 答えはそれらの両方がそれらが実際に両方が同じ言語を離れさせるということであるからであることです。
For clarity in this document, we will use the terms "XML" and "XML
documents" when speaking in the general case, and the term "IDMEF
markup" when speaking specifically of the elements (tags) and
attributes that describe IDMEF messages.
特にIDMEFメッセージについて説明する要素(タグ)と属性について話すとき、このドキュメントの明快ために、私たちは一般的なケース、および「IDMEFマーク付け」という用語で話すときの用語"XML"と「XMLドキュメント」を使用するつもりです。
The publication of XML was followed by the publication of a second recommendation [4] by the World Wide Web Consortium, defining the use of namespaces in XML documents. An XML namespace is a collection of names, identified by a Uniform Resource Identifier (URI) [5]. When using namespaces, each tag is identified with the namespace it comes from, allowing tags from different namespaces with the same names to occur in the same document. For example, a single document could contain both "usa:football" and "europe:football" tags, each with different meanings.
ワールドワイドウェブコンソーシアムは2番目の推薦[4]の公表がXMLの公表のあとに続きました、XMLドキュメントにおける名前空間の使用を定義して。 XML名前空間はUniform Resource Identifier(URI)[5]によって特定された名前の収集です。 名前空間を使用するとき、各タグはそれが来る名前空間と同一視されています、同じ名前がある異なった名前空間からのタグが同じドキュメントに現れるのを許容して。 例えば、ただ一つのドキュメントはそれぞれ異なった意味で「usa: フットボール」と「ヨーロッパ: フットボール」がタグ付けをする両方を含むかもしれません。
In anticipation of the widespread use of XML namespaces, this memo includes the definition of the URI to be used to identify the IDMEF namespace.
XML名前空間の普及使用を予測して、このメモは、IDMEF名前空間を特定するのに使用されるためにURIの定義を含んでいます。
1.2.2. Rationale for Implementing IDMEF in XML
1.2.2. XMLでIDMEFを実装するための原理
XML-based applications are being used or developed for a wide variety of purposes, including electronic data interchange in a variety of fields, financial data interchange, electronic business cards, calendar and scheduling, enterprise software distribution, web "push" technology, and markup languages for chemistry, mathematics, music, molecular dynamics, astronomy, book and periodical publishing, web publishing, weather observations, real estate transactions, and many others.
XMLベースのアプリケーションは、さまざまな目的のために使用されるか、または開発されています、さまざまな分野、財政データ置き換え、電子名刺、カレンダー、スケジューリング、企業ソフトウェア配布、ウェブ「プッシュ」技術、および化学、数学、音楽、分子動力学、天文学、本、定期刊行の出版、ウェブ出版、気象観測、不動産トランザクション、および多くの他のもののためのマークアップ言語に電子データ交換を含んでいて。
XML's flexibility makes it a good choice for these applications; that same flexibility makes it a good choice for implementing the IDMEF as well. Other, more specific reasons for choosing XML to implement the IDMEF are:
XMLの柔軟性はそれをこれらのアプリケーションのための良い選択にします。 その同じ柔軟性はそれをまた、IDMEFを実装するための良い選択にします。 IDMEFを実装するXMLを選ぶ他の、そして、より特定の理由は以下の通りです。
Debar, et al. Experimental [Page 8] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[8ページ]RFC4765IDMEF行進
o XML allows a custom language to be developed specifically for the
purpose of describing intrusion detection alerts. It also defines
a standard way to extend this language, either for later revisions
of this document ("standard" extensions) or for vendor-specific
use ("non-standard" extensions).
o XMLは特に侵入検出警戒について説明する目的のためにカスタム言語を開発させます。 また、それはこのドキュメントの後の改正(「標準」の拡大)かベンダー特定的用法(「標準的でない」拡大)のためにこの言語を広げる標準の方法を定義します。
o Software tools for processing XML documents are widely available,
in both commercial and open source forms. Numerous tools and APIs
for parsing and/or validating XML are available in a variety of
languages, including Java, C, C++, Tcl, Perl, Python, and GNU
Emacs Lisp. Widespread access to tools will make adoption of the
IDMEF by product developers easier, and hopefully, faster.
o 処理XMLドキュメントのためのソフトウェアツールは広く利用可能です、コマーシャルとオープンソースフォームの両方で。XMLを分析する、そして/または、有効にするための多数のツールとAPIはさまざまな言語で利用可能です、Java、C、C++、Tcl、Perl、パイソン、およびGNU Emacs Lispを含んでいて。 ツールへの広範囲のアクセスで、製品開発者によるIDMEFの採用は希望をいだいてより速くより簡単になるでしょう。
o XML meets IDMEF Requirement 5.1 [2], that message formats support
full internationalization and localization. The XML standard
requires support for both the UTF-8 and UTF-16 encodings of ISO/
IEC 10646 (Universal Multiple-Octet Coded Character Set, "UCS")
and Unicode, making all XML applications (and therefore all IDMEF-
compliant applications) compatible with these common character
encodings.
o XMLはIDMEF Requirement5.1[2]、形式が完全な国際化をサポートするそのメッセージ、およびローカライズを満たします。 XML規格はISO/IEC10646(普遍的なMultiple-八重奏Coded文字コード、「UCS」)のUTF-8とUTF-16 encodingsとユニコードの両方に支持を要します、すべてのXMLアプリケーション(そして、したがって、すべてのIDMEF対応することのアプリケーション)をこれらの一般的な文字符号化と互換性があるようにして。
XML also provides support for specifying, on a per-element basis,
the language in which the element's content is written, making
IDMEF easy to adapt to "Natural Language Support" versions of a
product.
また、XMLは指定するサポートを提供します、1要素あたり1個のベースで、要素の内容が書かれている言語、製品の「自然言語サポート」バージョンにIDMEFに順応するのを簡単にして。
o XML meets IDMEF Requirement 5.2 [2], that message formats must
support filtering and aggregation. XML's integration with XSL, a
style language, allows messages to be combined, discarded, and
rearranged.
o XMLはIDMEF Requirement5.2[2]、形式がフィルタリングをサポートしなければならないそのメッセージ、および集合を満たします。 XSLとのXMLの統合(スタイル言語)は結合した、捨てられた、再配列されるべきメッセージを許容します。
o Ongoing XML development projects, in the W3C and elsewhere, will
provide object-oriented extensions, database support, and other
useful features. If implemented in XML, the IDMEF immediately
gains these features as well.
o 進行中のXML開発計画はオブジェクト指向拡大、データベース・サポート、および他の役に立つ特徴をW3Cとほかの場所に供給するでしょう。 XMLで実装されるなら、IDMEFはすぐに、また、これらの特徴を獲得します。
o XML is free, with no license, no license fees, and no royalties.
o XMLはライセンス、ライセンス料がなく、およびどんなロイヤリティのない無料ではありません。
Debar, et al. Experimental [Page 9] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[9ページ]RFC4765IDMEF行進
2. Notices and Conventions Used in This Document
2. 本書では使用される通知とコンベンション
The keywords "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [1].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTはRFC2119[1]で説明されるように本書では解釈されることであるべきですか?
An "IDMEF-compliant application" is a program or program component, such as an analyzer or manager, that reads and/or writes messages in the format specified by this memo.
「IDMEF対応することのアプリケーション」は、プログラムかプログラム構成です、分析器やマネージャのように、とそれがこのメモで指定された形式で、メッセージを読む、そして/または、書きます。
An "IDMEF document" is a message that adheres to the requirements specified by this memo and that is exchanged by two or more IDMEF applications. "IDMEF message" is another term for an "IDMEF document".
「IDMEFドキュメント」はこのメモで指定された要件を固く守って、2つ以上のIDMEFアプリケーションで交換されるメッセージです。 「IDMEFメッセージ」は「IDMEFドキュメント」のための別の用語です。
3. Notational Conventions and Formatting Issues
3. 記号法のコンベンションと形式問題
This document uses three notations: Unified Modeling Language to describe the data model [14], XML to describe the markup used in IDMEF documents, and IDMEF markup to represent the documents themselves.
このドキュメントは3つの記法を使用します: データモデル[14]について説明する統一モデリング言語、マークアップについて説明するXMLはドキュメントと称するのにIDMEFでドキュメント、およびIDMEFマーク付けを使用しました。
3.1. IDMEF XML Documents
3.1. IDMEF XMLドキュメント
This section describes IDMEF XML document formatting rules. Most of these rules are "inherited" from the rules for formatting XML documents.
このセクションはIDMEF XMLドキュメント形式規則について説明します。 これらの規則の大部分は形式XMLドキュメントのために規則から「引き継がれます」。
3.1.1. The Document Prolog
3.1.1. ドキュメントプロローグ
The format of an IDMEF XML document prolog is described in the following sections.
IDMEF XMLドキュメントプロローグの形式は以下のセクションで説明されます。
3.1.1.1. XML Declaration
3.1.1.1. XML宣言
IDMEF documents being exchanged between IDMEF-compliant applications MUST begin with an XML declaration, and MUST specify the XML version in use. Specification of the encoding in use is RECOMMENDED.
IDMEF対応することのアプリケーションの間で交換されるIDMEFドキュメントは、XML宣言で始まらなければならなくて、使用中のXMLバージョンを指定しなければなりません。 使用におけるコード化の仕様はRECOMMENDEDです。
An IDMEF message SHOULD therefore start with:
したがってSHOULDが始まるIDMEFメッセージ:
<?xml version="1.0" encoding="UTF-8"?>
<?xmlバージョン=、「=「UTF-8インチ?」をコード化する1インチ>。
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef"/>
<idmef: IDMEF-メッセージバージョンは「1インチのxmlns: idmefは" http://iana.org/idmef "/>と等しいこと」と等しいです。
Debar, et al. Experimental [Page 10] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[10ページ]RFC4765IDMEF行進
IDMEF-compliant applications MAY choose to omit the XML declaration internally to conserve space, adding it only when the message is sent to another destination (e.g., a web browser). This practice is NOT RECOMMENDED unless it can be accomplished without loss of each message's version and encoding information.
IDMEF対応することのアプリケーションは、スペースを保存するために内部的にXML宣言を省略するのを選ぶかもしれません、別の目的地(例えば、ウェブブラウザ)にメッセージを送るときだけ、それを加えて。 各メッセージのバージョンと符号化情報の損失なしでそれを達成できないなら、この習慣はNOT RECOMMENDEDです。
In order to be valid (see Section 6.1), an XML document must contain a document type definition. However, this represents significant overhead to an IDMEF-compliant application, both in the bandwidth it consumes as well as the requirements it places on the XML processor (not only to parse the declaration itself, but also to parse the DTD it references).
有効に(セクション6.1を見ます)なるように、XMLドキュメントはドキュメント型定義を含まなければなりません。 しかしながら、これはIDMEF対応することのアプリケーションに重要なオーバーヘッドを表します、ともにそれがそれがXMLプロセッサ(単に宣言自体を分析するのではなく、それが参照をつけるDTDを分析もするために)に置く要件と同様に消費する帯域幅で。
Implementors MAY decide, therefore, to have analyzers and managers agree out-of-band on the particular document type definition they will be using to exchange messages (the standard one as defined here, or one with extensions), and then omit the document type definition from IDMEF messages. The method for negotiating this agreement is outside the scope of this document. Note that great care must be taken in negotiating any such agreements, as the manager may have to accept messages from many different analyzers, each using a DTD with a different set of extensions.
したがって、作成者は、分析器とマネージャに彼らがメッセージ(ここで定義される、標準のもの、または拡大を伴う1)を交換して、次に、IDMEFメッセージからドキュメント型定義を省略するのに使用する特定のドキュメント型定義のときにバンドの外で同意させると決めるかもしれません。 このドキュメントの範囲の外にこの協定を交渉するためのメソッドがあります。 どんなそのような協定も交渉しながら高度の注意を中に入れなければならないことに注意してください、マネージャが多くの異なった分析器からメッセージを受け入れなければならないかもしれないとき、それぞれ異なった拡大を伴うDTDを使用して。
3.1.2. Character Data Processing in IDMEF
3.1.2. IDMEFのキャラクターデータ処理
For portability reasons, IDMEF-compliant applications SHOULD NOT use, and IDMEF messages SHOULD NOT be encoded in, character encodings other than UTF-8 and UTF-16. Consistent with the XML standard, if no encoding is specified for an IDMEF message, UTF-8 is assumed.
コード化されたコネ、UTF-8とUTF-16以外のIDMEF対応することのアプリケーションの移植性理由、SHOULD NOT使用、およびIDMEFメッセージSHOULD NOTのための、文字符号化になってください。 XML規格と一致していて、コード化でないのがIDMEFメッセージに指定されるなら、UTF-8は想定されます。
NOTE: The ASCII character set is a subset of the UTF-8 encoding, and
therefore may be used to encode IDMEF messages.
以下に注意してください。 ASCII文字の組は、UTF-8コード化の部分集合であり、したがって、IDMEFメッセージをコード化するのに使用されるかもしれません。
Per the XML standard, IDMEF documents encoded in UTF-16 MUST begin with the Byte Order Mark described by ISO/IEC 10646 Annex E and Unicode Appendix B (the "ZERO WIDTH NO-BREAK SPACE" character, #xFEFF).
XML規格に従って、Byte OrderマークがISO/IEC10646Annex EとユニコードAppendix B(「幅の非分割空白がありません」キャラクタ、#xFEFF)によって説明されている状態で、UTF-16でコード化されたIDMEFドキュメントは始まらなければなりません。
3.1.2.1. Character Entity References
3.1.2.1. キャラクター実体参照
It is RECOMMENDED that IDMEF-compliant applications use the entity reference form (see Section 3.2.3.1) of the characters '&', ,'<', '>', '"', and ''' (single-quote) whenever writing these characters in data, to avoid any possibility of misinterpretation.
IDMEF対応することのアプリケーションが実体参照フォームを使用するのが、RECOMMENDEDである、(見る、セクション3.2 .3 .1キャラクタ'&'、)'<'、'>'、'「'」'(ただ一つの引用文の) データにこれらのキャラクタに書くとき誤解のどんな可能性も避ける、'
3.1.2.2. White Space Processing
3.1.2.2. 余白処理
All IDMEF elements MUST support the "xml:space" attribute.
すべてのIDMEF要素がサポートしなければならない、「xml: スペース」は結果と考えます。
Debar, et al. Experimental [Page 11] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[11ページ]RFC4765IDMEF行進
3.1.3. Languages in IDMEF
3.1.3. IDMEFの言語
IDMEF-compliant applications MUST specify the language in which their contents are encoded; in general this can be done by specifying the "xml:lang" attribute for the top-level element and letting all other elements "inherit" that definition [10].
IDMEF対応することのアプリケーションはそれらの内容がコード化される言語を指定しなければなりません。 一般に、「xml: lang」属性をトップレベル要素に指定して、他のすべての要素にその定義[10]を「遺伝」にさせるのであることによって、これができます。
3.2. IDMEF Data Types
3.2. IDMEFデータ型
Within an XML IDMEF message, all data will be expressed as "text" (as opposed to "binary"), since XML is a text formatting language. We provide typing information for the attributes of the classes in the data model, however, to convey to the reader the type of data that the model expects for each attribute.
XML IDMEFメッセージの中では、すべてのデータが「テキスト」(「バイナリー」と対照的に)として言い表されるでしょう、XMLがテキスト形式言語であるので。 私たちは、しかしながら、モデルが各属性のために予想するデータのタイプを読者に伝えるためにデータモデルのクラスの属性のための情報をタイプしながら、提供します。
Each data type in the model has specific formatting requirements in an XML IDMEF message; these requirements are set forth in this section.
モデルの各データ型には、XML IDMEFメッセージの特定の形式要件があります。 これらの要件はこのセクションで詳しく説明されます。
3.2.1. Integers
3.2.1. 整数
Integer attributes are represented by the INTEGER data type. Integer data MUST be encoded in Base 10 or Base 16.
整数属性はINTEGERデータ型によって表されます。 基地10か基地16で整数データをコード化しなければなりません。
Base 10 integer encoding uses the digits '0' through '9' and an
optional sign ('+' or '-'). For example, "123", "-456".
基地10の整数コード化は'9'と任意のサイン('+ ''--')を通してケタ'0'を使用します。 例えば、「123」、「-456。」
Base 16 integer encoding uses the digits '0' through '9' and 'a' through 'f' (or their uppercase equivalents), and is preceded by the characters "0x". For example, "0x1a2b".
基地16の整数コード化は、'f'(または、それらの大文字している同等物)を通して'9'と'a'を通してケタ'0'を使用して、キャラクタ"0x"によって先行されています。 例えば、"0x1a2b"。
3.2.2. Real Numbers
3.2.2. 実数
Real (floating-point) attributes are represented by the REAL data type. Real data MUST be encoded in Base 10.
本当(浮動小数点の)の属性はレアルデータ型によって表されます。 基地10で本当のデータをコード化しなければなりません。
Real encoding is that of the POSIX 1003.1 "strtod" library function:
an optional sign ('+' or '-') followed by a non-empty string of
decimal digits, optionally containing a radix character, then an
optional exponent part. An exponent part consists of an 'e' or 'E',
followed by an optional sign, followed by one or more decimal digits.
For example, "123.45e02", "-567,89e-03".
本当のコード化はPOSIX1003.1"strtod"ライブラリ関数のものです: 任意に基数キャラクタを含んでいて、任意のサイン('+ ''--')は10進数字の非空のストリングで従って、その時は任意の指数部です。 指数部は''e'か1つ以上の10進数字があとに続いた任意のサインが支えたE'から成ります。 例えば、「123.45e02"、「-567、89e-03"。」
IDMEF-compliant applications MUST support both the '.' and ',' radix characters.
そして、'IDMEF対応することのアプリケーションが両方をサポートしなければならない、'.'、'、'基数キャラクタ。
Debar, et al. Experimental [Page 12] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[12ページ]RFC4765IDMEF行進
3.2.3. Characters and Strings
3.2.3. キャラクターとストリング
Single-character attributes are represented by the CHARACTER data type. Multi-character attributes of known length are represented by the STRING data type.
単独のキャラクタ属性はキャラクターデータ型によって表されます。 知られている長さのマルチキャラクタ属性はSTRINGデータ型によって表されます。
Character and string data have no special formatting requirements, other than the need to occasionally use character references (see Section 3.2.3.1 and Section 3.2.3.2) to represent special characters.
セクション3.2.3の.1とセクション3.2を見てください。キャラクターと列データには、どんな特別な形式要件もありません、時折文字参照を使用する必要性を除いて(.3 特殊文字を表す.2)。
3.2.3.1. Character Entity References
3.2.3.1. キャラクター実体参照
Within XML documents, certain characters have special meanings in some contexts. To include the actual character itself in one of these contexts, a special escape sequence, called an entity reference, must be used.
XMLドキュメントの中では、確信しているキャラクタはいくつかの文脈での特別な意味を持っています。 これらの文脈の1つの実際のキャラクタ自体を含むように、実体参照と呼ばれる特別なエスケープシーケンスを使用しなければなりません。
The characters that sometimes need to be escaped, and their entity references, are:
時々逃げられる必要があるキャラクタ、および彼らの実体参照は以下の通りです。
+-----------+------------------+
| Character | Entity Reference |
+-----------+------------------+
| & | & |
| | |
| < | < |
| | |
| > | > |
| | |
| " | " |
| | |
| ' | ' |
+-----------+------------------+
+-----------+------------------+ | キャラクター| 実体参照| +-----------+------------------+ | & | &|| | | | <| <。| | | | | >| >。| | | | | " | "|| | | | ' | apos。 | +-----------+------------------+
3.2.3.2. Character Code References
3.2.3.2. キャラクターコード参照
Any character defined by the ISO/IEC 10646 and Unicode standards may be included in an XML document by the use of a character reference. A character reference is started with the characters '&' and '#', and ended with the character ';'. Between these characters, the character code for the character is inserted.
ISO/IEC10646とユニコード規格によって定義されたどんなキャラクタもXMLドキュメントに文字参照の使用で含まれるかもしれません。 '文字参照は、キャラクタ'&'と'#'から始められて、キャラクタ';'で終わります。 これらのキャラクタの間に、キャラクタのためのキャラクタコードは挿入されます。
If the character code is preceded by an 'x' it is interpreted in hexadecimal (base 16); otherwise, it is interpreted in decimal (base 10). For instance, the ampersand (&) is encoded as & or & and the less-than sign (<) is encoded as < or <.
'x'がキャラクタコードに先行するなら、それは16進(ベース16)で解釈されます。 さもなければ、それは小数(ベース10)で解釈されます。 または、例えば、アンパーサンド(&)が&としてコード化される、#x0026。 または、そして、不等号(<)が<としてコード化される、#x003C。
Debar, et al. Experimental [Page 13] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[13ページ]RFC4765IDMEF行進
Any one-, two-, or four-byte character specified in the ISO/IEC 10646 and Unicode standards can be included in a document using this technique.
ドキュメントにこのテクニックを使用することでISO/IEC10646とユニコード規格で指定されたどんな1つ、2、または4バイトのキャラクタも含むことができます。
3.2.4. Bytes
3.2.4. バイト
Binary data is represented by the BYTE (and BYTE[]) data type.
バイナリ・データはBYTEによって表されます。(そして、BYTE[])データ型。
Binary data MUST be encoded in its entirety using base64.
base64を使用して、バイナリ・データを全体としてコード化しなければなりません。
3.2.5. Enumerated Types
3.2.5. 列挙型
Enumerated types are represented by the ENUM data type, and consist of an ordered list of acceptable values.
列挙型は、ENUMデータ型によって表されて、許容値の規則正しいリストから成ります。
3.2.6. Date-Time Strings
3.2.6. 日付-時間ストリング
Date-time strings are represented by the DATETIME data type. Each date-time string identifies a particular instant in time; ranges are not supported.
日付-時間ストリングはDATETIMEデータ型によって表されます。 それぞれの日付-時間ストリングは時間内に、特定の瞬間を特定します。 範囲はサポートされません。
Date-time strings are formatted according to a subset of ISO 8601: 2000 [6], as show below. Section references in parentheses refer to sections of the ISO 8601:2000 standard [6].
ISO8601の部分集合によると、日付-時間ストリングはフォーマットされます: 以下のショーとしての2000[6]。 括弧でのセクション参照はISO8601のセクションを示します: 2000年の規格[6]。
1. Dates MUST be formatted as follows:
1. 以下の通り日付をフォーマットしなければなりません:
YYYY-MM-DD
YYYY mm DD
where YYYY is the four-digit year, MM is the two-digit month
(01-12), and DD is the two-digit day (01-31). (Section 5.2.1.1,
"Complete representation -- Extended format".)
YYYYが4ケタの年であるところでは、MMは2ケタの月(01-12)です、そして、DDは2ケタの日(01-31)です。 (セクション5.2 .1 .1 「完全表記--拡張フォーマット」。)
2. Times MUST be formatted as follows:
2. 以下の通り回をフォーマットしなければなりません:
hh:mm:ss
hh:mm:ss
where hh is the two-digit hour (00-24), mm is the two-digit
minute (00-59), and ss is the two-digit second (00-60). (Section
5.3.1.1, "Complete representation -- Extended format".)
hhが2ケタの時間(00-24)であるところでは、mmは2ケタの分(00-59)です、そして、ssは2番目の2ケタの(00-60)です。 (セクション5.3 .1 .1 「完全表記--拡張フォーマット」。)
Note that midnight has two representations, 00:00:00 and
24:00:00. Both representations MUST be supported by IDMEF-
compliant applications; however, the 00:00:00 representation
SHOULD be used whenever possible.
真夜中には2つの表現、00:00:00、および24:00:00があることに注意してください。 IDMEF対応することのアプリケーションで両方の表現をサポートしなければなりません。 しかしながら、00:00:00表現SHOULD、可能であるときはいつも、使用されてください。
Debar, et al. Experimental [Page 14] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[14ページ]RFC4765IDMEF行進
Note also that this format accounts for leap seconds. Positive
leap seconds are inserted between 23:59:59Z and 24:00:00Z and are
represented as 23:59:60Z. Negative leap seconds are achieved by
the omission of 23:59:59Z. IDMEF-compliant applications MUST
support leap seconds.
また、この形式が飛躍秒を説明することに注意してください。 陽の飛躍秒は、23:59:59Zと24:00:00Zの間に挿入されて、23:59:60Zとして表されます。 負の飛躍秒は23:59:59Zの省略で達成されます。 IDMEF対応することのアプリケーションは飛躍秒をサポートしなければなりません。
3. Times MAY be formatted to include a decimal fraction of seconds,
as follows:
3. 回は、秒の小数に、以下の通り以下を含むようにフォーマットされるかもしれません。
hh:mm:ss.ss or
hh:mm:ss,ss
hh:mm:ss.ssかhh:mm:ss、ss
As many digits as necessary may follow the decimal sign (at least
one digit must follow the decimal sign). Decimal fractions of
hours and minutes are not supported. (Section 5.3.1.3,
"Representation of decimal fractions".)
必要なだけのケタが10進サインに従うかもしれません(少なくとも1ケタは10進サインに従わなければなりません)。 何時間もの数分の小数はサポートされません。 (セクション5.3 .1 .3 「小数の表現」。)
IDMEF-compliant applications MUST support the use of both decimal
signs ('.' and ',').
そして、'IDMEF対応することのアプリケーションが両方の10進サインの使用をサポートしなければならない、('.'、'、'、)
Note that the number of digits in the fraction part does not
imply anything about accuracy -- i.e., "00.100000", "00,1000",
and "00.1" are all equivalent.
小数部における、ケタの数が精度に関してすなわち、何も含意しないことに注意してください、「0.1インチ、「00 1000 」 「0.1インチはすべて同等です」。
4. Times MUST be formatted to include (a) an indication that the
time is in Coordinated Universal Time (UTC) or (b) an indication
of the difference between the specified time and Coordinated
Universal Time.
4. (a) 時間が協定世界時(UTC)にあるという指示か(b) 指定された時間と協定世界時の違いのしるしを含むように回をフォーマットしなければなりません。
* Times in UTC MUST be formatted by appending the letter 'Z' to
the time string as follows:
* 回、UTC MUSTでは、'Z'という手紙を以下の時間ストリングに追加することによって、フォーマットされてください:
hh:mm:ssZ
hh:mm:ss.ssZ
hh:mm:ss,ssZ
hh:mm:ssZ hh:mm:ss.ssZ hh:mm:ss、ssZ
(Section 5.3.3, "Coordinated Universal Time (UTC) -- Extended
format".)
(セクション5.3.3、「協定世界時(UTC)--、拡張フォーマット、」、)。
* If the time is ahead of or equal to UTC, a '+' sign is
appended to the time string; if the time is behind UTC, a '-'
sign is appended. Following the sign, the number of hours and
minutes representing the different from UTC is appended, as
follows:
* 時間が時間ストリングと前に、あるか、またはUTC、サインが追加される'+'と等しいなら。 UTCの後ろに時間があるなら、'--'サインを追加します。 以下の通りUTCからの異なるのを表しながらサイン、数時間、および議事録に従うのを追加します:
hh:mm:ss+hh:mm
hh:mm:ss-hh:mm
hh:mm:ss.ss+hh:mm
hh:mm:ss+hh: mm hh: mm:ss-hh:mm hh:mm:ss.ss+hh: mm
Debar, et al. Experimental [Page 15] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[15ページ]RFC4765IDMEF行進
hh:mm:ss.ss-hh:mm
hh:mm:ss,ss+hh:mm
hh:mm:ss,ss-hh:mm
hh:mm:ss.ss-hh: mm hh:mm:ss、ss+hh: mm hh:mm:ss、ss-hh: mm
The difference from UTC MUST be specified in both hours and
minutes, even if the minutes component is 0. A "difference"
of "+00:00" is equivalent to UTC. (Section 5.3.4.2, "Local
time and the difference with Coordinated Universal Time --
Extended Format".)
違い、UTC MUSTから、数分成分が0であっても何時間もの数分の両方で指定されてください。 「」 +00の「違い」: 0インチはUTCに同等です。 (セクション5.3 .4 .2と、「現地時間、協定世界時--Formatを広げているのがある違い」。)
5. Date-time strings are created by joining the date and time
strings with the letter 'T', as shown below:
5. 日付-時間ストリングは以下に示されるように文字'T'に日時のストリングを接合することによって、作成されます:
YYYY-MM-DDThh:mm:ssZ
YYYY-MM-DDThh:mm:ss.ssZ
YYYY-MM-DDThh:mm:ss,ssZ
YYYY-MM-DDThh:mm:ss+hh:mm
YYYY-MM-DDThh:mm:ss-hh:mm
YYYY-MM-DDThh:mm:ss.ss+hh:mm
YYYY-MM-DDThh:mm:ss.ss-hh:mm
YYYY-MM-DDThh:mm:ss,ss+hh:mm
YYYY-MM-DDThh:mm:ss,ss-hh:mm
YYYY-MM-DDThh:mm:ssZ YYYY-MM-DDThh:mm:ss.ssZ YYYY-MM-DDThh:mm:ss,ssZ YYYY-MM-DDThh:mm:ss+hh:mm YYYY-MM-DDThh:mm:ss-hh:mm YYYY-MM-DDThh:mm:ss.ss+hh:mm YYYY-MM-DDThh:mm:ss.ss-hh:mm YYYY-MM-DDThh:mm:ss,ss+hh:mm YYYY-MM-DDThh:mm:ss,ss-hh:mm
(Section 5.4.1, "Complete representation -- Extended format".)
(セクション5.4.1、「完全表記--拡張フォーマット」。)
In summary, IDMEF date-time strings MUST adhere to one of the nine templates identified in Paragraph 5, above.
概要では、IDMEF日付-時間ストリングは上のParagraph5で特定された9個のテンプレートの1つを固く守らなければなりません。
3.2.7. NTP Timestamps
3.2.7. NTPタイムスタンプ
NTP timestamps are represented by the NTPSTAMP data type and are described in detail in [7] and [8]. An NTP timestamp is a 64-bit unsigned fixed-point number. The integer part is in the first 32 bits, and the fraction part is in the last 32 bits.
NTPタイムスタンプは、NTPSTAMPデータ型によって表されて、[7]と[8]で詳細に説明されます。 NTPタイムスタンプは64ビットの未署名の固定小数点数です。 整数部が最初の32ビットにあります、そして、小数部が最後の32ビットにあります。
Within IDMEF messages, NTP timestamps MUST be encoded as two 32-bit
hexadecimal values, separated by a period ('.'). For example,
"0x12345678.0x87654321".
IDMEFメッセージの中では、期間までに切り離された2つの32ビットの16進値としてNTPタイムスタンプをコード化しなければならない、('、'、)。 例えば、"0x12345678.0x87654321"。
See also Section 6.4 for more information on NTP timestamps.
また、NTPタイムスタンプの詳しい情報に関してセクション6.4を見てください。
3.2.8. Port Lists
3.2.8. 左舷傾斜
Port lists are represented by the PORTLIST data type and consist of a comma-separated list of numbers (individual integers) and ranges (N-M means ports N through M, inclusive). Any combination of numbers and ranges may be used in a single list. For example, "5-25,37,42,43,53,69-119,123-514".
左舷傾斜は、PORTLISTデータ型によって表されて、数(個々の整数)と範囲のコンマで切り離されたリストから成ります(N-MはMを通してポートNを意味します、包括的です)。 どんな複合番号と範囲もただ一つのリストで使用されるかもしれません。 例えば、「5-25、37、42、43、53、69-119,123-514。」
Debar, et al. Experimental [Page 16] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[16ページ]RFC4765IDMEF行進
3.2.9. Unique Identifiers
3.2.9. ユニークな識別子
There are two types of unique identifiers used in this specification. Both types are represented by STRING data types.
この仕様で使用される2つのタイプのユニークな識別子があります。 両方のタイプはSTRINGデータ型によって代理をされます。
These identifiers are implemented as attributes on the relevant XML elements, and they must have unique values as follows:
これらの識別子は関連XML要素の属性として実装されます、そして、ユニークな値を以下の通りにしなければなりません:
1. The Analyzer class' (Section 4.2.4.1) "analyzerid" attribute, if
specified, MUST have a value that is unique across all analyzers
in the intrusion detection environment.
1. Analyzerのクラスのもの、(セクション4.2 .4 .1) "analyzerid"属性に、指定されるなら、すべての分析器の向こう側に侵入検出環境でユニークな値がなければなりません。
The "analyzerid" attribute is not required to be globally unique,
only unique within the intrusion detection environment of which
the analyzer is a member. It is permissible for two analyzers,
in different intrusion detection environments, to have the same
value for "analyzerid".
"analyzerid"属性はグローバルに特有になるのに必要ではありません、侵入検出環境で分析器がメンバーである以内ユニークであるだけです。 2台の分析器において、それは、"analyzerid"のための同じ値を持つために異なった侵入検出環境で許されています。
The default value is "0", which indicates that the analyzer
cannot generate unique identifiers.
デフォルト値は「0インチ」です。(0インチは、分析器がユニークな識別子を生成することができないのを示します)。
2. The Alert and Heartbeat messages (Sections 4.2.2, 4.2.3) must be
uniquely identified by the couple (analyzerid,messageid), if the
analyzer supports the generation of message identifiers.
2. AlertとHeartbeatメッセージ、(セクション4.2 .2 4.2 カップル(analyzerid、messageid)は唯一.3を)特定しなければなりません、分析器がメッセージ識別子の世代をサポートするなら。
3. The Classification, Source, Target, Node, User, Process, Service,
File, Address, and UserId classes' (Sections 4.2.4.2, 4.2.4.3,
4.2.4.4, 4.2.7.2, 4.2.7.3, 4.2.7.4, 4.2.7.5, 4.2.7.6, 4.2.7.2.1,
and 4.2.7.3.1) "ident" attribute, if specified, MUST have a value
that is unique across all messages sent by the individual
analyzer.
3. Classification、Source、Target、Node、User、Process、Service、File、Address、およびUserIdのクラスのもの、(セクション4.2 .4 .2 4.2 .4 .3 4.2 .4 .4 4.2 .7 .2 4.2 .7 .3 4.2 .7 .4 4.2 .7 .5 4.2 .7 .6 4.2 .7 .2 .1、および4.2.7.3.1)"ident"属性であって、指定されている、個々の分析器によって送られたすべてのメッセージの向こう側にユニークな値を持たなければなりません。
The "ident" attribute value MUST be unique for each particular
combination of data identifying an object, not for each object.
Objects may have more than one "ident" value associated with
them. For example, an identification of a host by name would
have one value, while an identification of that host by address
would have another value, and an identification of that host by
both name and address would have still another value.
Furthermore, different analyzers may produce different values for
the same information.
オブジェクトを特定するデータのそれぞれの特定の組み合わせに、"ident"属性値は各オブジェクトにユニークであるのではなく、ユニークであるに違いありません。 オブジェクトには、それらに関連している1つ以上の"ident"値があるかもしれません。 例えば、名前のホストの識別には、1つの値があるでしょう、アドレスによるそのホストの識別では、別の値があるでしょう、そして、名前とアドレスの両方によるそのホストの識別にはまだ別の値があるでしょうが。 その上、異なった分析器は同じ情報のために異価を生産するかもしれません。
The "ident" attribute by itself provides a unique identifier only
among all the "ident" values sent by a particular analyzer. But
when combined with the "analyzerid" value for the analyzer, a
value that is unique across the intrusion detection environment
is created. Again, there is no requirement for global
uniqueness.
それ自体で"ident"属性は特定の分析器によって送られたすべての"ident"値だけにユニークな識別子を提供します。 しかし、分析器のために"analyzerid"値に結合されると、侵入検出環境の向こう側にユニークな値は作成されます。 一方、グローバルなユニークさのための要件が全くありません。
Debar, et al. Experimental [Page 17] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[17ページ]RFC4765IDMEF行進
The default value is "0", which indicates that the analyzer
cannot generate unique identifiers.
デフォルト値は「0インチ」です。(0インチは、分析器がユニークな識別子を生成することができないのを示します)。
The specification of methods for creating the unique values contained in these attributes is outside the scope of this document.
このドキュメントの範囲の外にこれらの属性に含まれたユニークな値を作成するためのメソッドの仕様があります。
4. The IDMEF Data Model and DTD
4. IDMEFデータモデルとDTD
In this section, the individual components of the IDMEF data model are explained in detail. Unified Modeling Language (UML) diagrams of the model are provided to show how the components are related to each other, and relevant sections of the IDMEF DTD are presented to show how the model is translated into XML.
このセクションで、IDMEFデータモデルの個々の部品は詳細に説明されます。 コンポーネントがどう互いに関連するかを示しているためにモデルの統一モデリング言語(UML)ダイヤグラムを提供します、そして、モデルがどう翻訳されるかをXMLに招き入れるためにIDMEF DTDの関連セクションを提示します。
4.1. Data Model Overview
4.1. データモデル概要
The relationship between the principal components of the data model is shown in Figure 1 (occurrence indicators and attributes are omitted).
データモデルの主成分の間の関係は図1に示されます(発生インディケータと属性は省略されます)。
The top-level class for all IDMEF messages is IDMEF-Message; each type of message is a subclass of this top-level class. There are presently two types of messages defined: Alerts and Heartbeats. Within each message, subclasses of the message class are used to provide the detailed information carried in the message.
すべてのIDMEFメッセージのためのトップレベルのクラスはIDMEF-メッセージです。 それぞれのタイプに関するメッセージはこのトップレベルのクラスのサブクラスです。 現在、定義されたメッセージの2つのタイプがあります: 警戒と鼓動。 各メッセージの中では、メッセージのクラスのサブクラスは、メッセージで運ばれた詳細な情報を提供するのに使用されます。
It is important to note that the data model does not specify how an alert should be classified or identified. For example, a port scan may be identified by one analyzer as a single attack against multiple targets, while another analyzer might identify it as multiple attacks from a single source. However, once an analyzer has determined the type of alert it plans to send, the data model dictates how that alert should be formatted.
データモデルが警戒が分類されるべきであるか、またはどう特定されるべきであるかを指定しないことに注意するのは重要です。 例えば、マルチターゲットに対する別の分析器が、それが複数であると認識するかもしれない間のただ一つの攻撃が単独のソースから攻撃されるとき、ポート・スキャンは1台の分析器によって特定されるかもしれません。 しかしながら、分析器がいったんそれが送るのを計画している警戒のタイプを決定すると、データモデルはその警戒がどうフォーマットされるべきであるかを決めます。
Debar, et al. Experimental [Page 18] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[18ページ]RFC4765IDMEF行進
IDMEF-Message
/_\
|
+--------------------+-------------+
| |
+-------+ +--------------+ +-----------+ +----------------+
| Alert |<>-| Analyzer | | Heartbeat |<>-| Analyzer |
+-------+ +--------------+ +-----------+ +----------------+
| | +--------------+ | | +----------------+
| |<>-| CreateTime | | |<>-| CreateTime |
| | +--------------+ | | +----------------+
| | +--------------+ | | +----------------+
| |<>-| DetectTime | | |<>-| AdditionalData |
| | +--------------+ +-----------+ +----------------+
| | +--------------+
| |<>-| AnalyzerTime |
| | +--------------+
| | +--------+ +----------+
| |<>-| Source |<>-| Node |
| | +--------+ +----------+
| | | | +----------+
| | | |<>-| User |
| | | | +----------+
| | | | +----------+
| | | |<>-| Process |
| | | | +----------+
| | | | +----------+
| | | |<>-| Service |
| | +--------+ +----------+
| | +--------+ +----------+
| |<>-| Target |<>-| Node |
| | +--------+ +----------+
| | | | +----------+
| | | |<>-| User |
| | | | +----------+
| | | | +----------+
| | | |<>-| Process |
| | | | +----------+
| | | | +----------+
| | | |<>-| Service | +----------------+
| | | | +----------+ +----| Classification |
| | | | +----------+ | +----------------+
| | | |<>-| File | | +----------------+
| | +--------+ +----------+ | +--| Assessment |
| |<>----------------------------+ | +----------------+
| |<>------------------------------+ +----------------+
| |<>---------------------------------| AdditionalData |
+-------+ +----------------+
IDMEF-メッセージ/_\| +--------------------+-------------+ | | +-------+ +--------------+ +-----------+ +----------------+ | 警戒| <>、-、| 分析器| | 鼓動| <>、-、| 分析器| +-------+ +--------------+ +-----------+ +----------------+ | | +--------------+ | | +----------------+ | | <>、-、| CreateTime| | | <>、-、| CreateTime| | | +--------------+ | | +----------------+ | | +--------------+ | | +----------------+ | | <>、-、| DetectTime| | | <>、-、| AdditionalData| | | +--------------+ +-----------+ +----------------+ | | +--------------+ | | <>、-、| AnalyzerTime| | | +--------------+ | | +--------+ +----------+ | | <>、-、| ソース| <>、-、| ノード| | | +--------+ +----------+ | | | | +----------+ | | | | <>、-、| ユーザ| | | | | +----------+ | | | | +----------+ | | | | <>、-、| プロセス| | | | | +----------+ | | | | +----------+ | | | | <>、-、| サービス| | | +--------+ +----------+ | | +--------+ +----------+ | | <>、-、| 目標| <>、-、| ノード| | | +--------+ +----------+ | | | | +----------+ | | | | <>、-、| ユーザ| | | | | +----------+ | | | | +----------+ | | | | <>、-、| プロセス| | | | | +----------+ | | | | +----------+ | | | | <>、-、| サービス| +----------------+ | | | | +----------+ +----| 分類| | | | | +----------+ | +----------------+ | | | | <>、-、| ファイル| | +----------------+ | | +--------+ +----------+ | +--| 査定| | | <>、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、--+ | +----------------+ | | <>、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、--+ +----------------+ | |<>---------------------------------| AdditionalData| +-------+ +----------------+
Debar, et al. Experimental [Page 19] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[19ページ]RFC4765IDMEF行進
Figure 1: Data Model Overview
図1: データモデル概要
4.2. The Message Classes
4.2. メッセージのクラス
The individual classes are described in the following sections.
個々のクラスは以下のセクションで説明されます。
4.2.1. The IDMEF-Message Class
4.2.1. IDMEF-メッセージのクラス
All IDMEF messages are instances of the IDMEF-Message class; it is the top-level class of the IDMEF data model, as well as the IDMEF DTD. There are currently two types (subclasses) of IDMEF-Message: Alert and Heartbeat.
すべてのIDMEFメッセージがIDMEF-メッセージのクラスのインスタンスです。 それは、IDMEFデータモデルのトップレベルのクラスと、IDMEF DTDです。 現在、IDMEF-メッセージの2つのタイプ(サブクラス)があります: 警戒と鼓動。
The IDMEF-Message class has a single attribute:
IDMEF-メッセージのクラスには、ただ一つの属性があります:
version
バージョン
The version of the IDMEF-Message specification (this document)
this message conforms to. Applications specifying a value for
this attribute MUST specify the value "1.0".
このメッセージが従うIDMEF-メッセージ仕様(このドキュメント)のバージョン。 この属性に値を指定するアプリケーションは値「1インチ」を指定しなければなりません。
4.2.2. The Alert Class
4.2.2. 注意深いクラス
Generally, every time an analyzer detects an event that it has been configured to look for, it sends an Alert message to its manager(s). Depending on the analyzer, an Alert message may correspond to a single detected event or multiple detected events. Alerts occur asynchronously in response to outside events.
一般に分析器が探すためにそれがあったイベントを構成にされているので検出する毎回であり、それはAlertメッセージをマネージャに送ります。 分析器によって、Alertメッセージはただ一つの検出されたイベントか複数の検出されたイベントに対応するかもしれません。 警戒は外のイベントに対応して非同期に起こります。
An Alert message is composed of several aggregate classes, as shown in Figure 2. The aggregate classes themselves are described in Section 4.2.4, Section 4.2.5, and Section 4.2.6.
Alertメッセージは図2に示されるようにいくつかの集約クラスで構成されます。 集約クラス自体はセクション4.2.4、セクション4.2.5、およびセクション4.2.6で説明されます。
Debar, et al. Experimental [Page 20] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[20ページ]RFC4765IDMEF行進
+-------------------+
| Alert |
+-------------------+ +------------------+
| STRING messageid |<>----------| Analyzer |
| | +------------------+
| | +------------------+
| |<>----------| CreateTime |
| | +------------------+
| | +------------------+
| |<>----------| Classification |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| DetectTime |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| AnalyzerTime |
| | +------------------+
| | 0..* +------------------+
| |<>----------| Source |
| | +------------------+
| | 0..* +------------------+
| |<>----------| Target |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| Assessment |
| | +------------------+
| | 0..* +------------------+
| |<>----------| AdditionalData |
| | +------------------+
+-------------------+
/_\
|
+----+------------+-------------+
| | |
+-------------------+ | +-------------------+
| ToolAlert | | | CorrelationAlert |
+-------------------+ | +-------------------+
|
+-------------------+
| OverflowAlert |
+-------------------+
+-------------------+ | 警戒| +-------------------+ +------------------+ | STRING messageid| <>、-、-、-、-、-、-、-、-、--、| 分析器| | | +------------------+ | | +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| CreateTime| | | +------------------+ | | +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| 分類| | | +------------------+ | | 0..1 +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| DetectTime| | | +------------------+ | | 0..1 +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| AnalyzerTime| | | +------------------+ | | 0..* +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| ソース| | | +------------------+ | | 0..* +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| 目標| | | +------------------+ | | 0..1 +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| 査定| | | +------------------+ | | 0..* +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| AdditionalData| | | +------------------+ +-------------------+ /_\ | +----+------------+-------------+ | | | +-------------------+ | +-------------------+ | ToolAlert| | | CorrelationAlert| +-------------------+ | +-------------------+ | +-------------------+ | OverflowAlert| +-------------------+
Figure 2: The Alert Class
図2: 注意深いクラス
Debar, et al. Experimental [Page 21] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[21ページ]RFC4765IDMEF行進
The aggregate classes that make up Alert are:
Alertを作る集約クラスは以下の通りです。
Analyzer
分析器
Exactly one. Identification information for the analyzer that
originated the alert.
ちょうど1。 警戒を溯源した分析器のための識別情報。
CreateTime
CreateTime
Exactly one. The time the alert was created. Of the three times
that may be provided with an Alert, this is the only one that is
required.
ちょうど1。 警戒が作成された時。 Alertが提供されるかもしれない3回では、これは必要である唯一無二です。
Classification
分類
Exactly one. The "name" of the alert, or other information
allowing the manager to determine what it is.
ちょうど1。 警戒の「名前」、またはマネージャがそれが何であるかを決心できる他の情報。
DetectTime
DetectTime
Zero or one. The time the event(s) leading up to the alert was
detected. In the case of more than one event, the time the first
event was detected. In some circumstances, this may not be the
same value as CreateTime.
ゼロか1。 警戒に導くイベントが検出された時。 1つ以上のイベントに関するケース、最初のイベントが検出された時代の間。 いくつかの事情では、これはCreateTimeと同じ値でないかもしれません。
AnalyzerTime
AnalyzerTime
Zero or one. The current time on the analyzer (see Section 6.3).
ゼロか1。 分析器(セクション6.3を見る)の現在の時間。
Source
ソース
Zero or more. The source(s) of the event(s) leading up to the
alert.
ゼロか以上。 警戒に導くイベントの源。
Target
目標
Zero or more. The target(s) of the event(s) leading up to the
alert.
ゼロか以上。 警戒に導くイベントの目標。
Assessment
査定
Zero or one. Information about the impact of the event, actions
taken by the analyzer in response to it, and the analyzer's
confidence in its evaluation.
ゼロか1。 イベントの影響に関する情報、分析器によってそれに対応して取られた行動、および評価における分析器の信用。
Debar, et al. Experimental [Page 22] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[22ページ]RFC4765IDMEF行進
AdditionalData
AdditionalData
Zero or more. Information included by the analyzer that does not
fit into the data model. This may be an atomic piece of data, or
a large amount of data provided through an extension to the IDMEF
(see Section 5).
ゼロか以上。 データモデルに収まらない分析器は情報を含んでいます。 これは原子データであるかもしれませんか多量のデータがIDMEFへの拡大で提供されました(セクション5を見てください)。
Alert is represented in the IDMEF DTD as follows:
警戒は以下のIDMEF DTDに表されます:
<!ELEMENT Alert (
Analyzer, CreateTime, DetectTime?, AnalyzerTime?,
Source*, Target*, Classification, Assessment?, (ToolAlert |
OverflowAlert | CorrelationAlert)?, AdditionalData*
)>
<!ATTLIST Alert
messageid CDATA '0'
%attlist.global;
>
<!ELEMENT Alert(分析器、CreateTime、DetectTime?、AnalyzerTime?、Source*、Target*、Classification、Assessment?、(ToolAlert|OverflowAlert|CorrelationAlert?)、AdditionalData*)><!ATTLIST Alert messageid CDATA'0'%attlist.global。 >。
The Alert class has one attribute:
Alertのクラスには、1つの属性があります:
messageid
messageid
Optional. A unique identifier for the alert; see Section 3.2.9.
任意。 警戒のためのユニークな識別子。 セクション3.2.9を見てください。
4.2.2.1. The ToolAlert Class
4.2.2.1. ToolAlertのクラス
The ToolAlert class carries additional information related to the use of attack tools or malevolent programs such as Trojan horses and can be used by the analyzer when it is able to identify these tools. It is intended to group one or more previously-sent alerts together, to say "these alerts were all the result of someone using this tool".
ToolAlertのクラスは、トロイの木馬などの攻撃ツールか悪意のあるプログラムの使用に関連する追加情報を運んで、これらのツールを特定できるとき、分析器で使用できます。 1つを分類するのが意図していたか、または以上は、以前に、「これらの警戒はすべて、だれかがこのツールを使用するという結果でした」と言うために一緒に警戒を送りました。
The ToolAlert class is composed of three aggregate classes, as shown in Figure 3.
ToolAlertのクラスは図3に示されるように3つの集約クラスで構成されます。
Debar, et al. Experimental [Page 23] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[23ページ]RFC4765IDMEF行進
+------------------+
| Alert |
+------------------+
/_\
|
+------------------+
| ToolAlert |
+------------------+ +-------------------+
| |<>----------| name |
| | +-------------------+
| | 0..1 +-------------------+
| |<>----------| command |
| | +-------------------+
| | 1..* +-------------------+
| |<>----------| alertident |
| | +-------------------+
| | | STRING analyzerid |
| | +-------------------+
+------------------+
+------------------+ | 警戒| +------------------+ /_\ | +------------------+ | ToolAlert| +------------------+ +-------------------+ | | <>、-、-、-、-、-、-、-、-、--、| 名前| | | +-------------------+ | | 0..1 +-------------------+ | | <>、-、-、-、-、-、-、-、-、--、| コマンド| | | +-------------------+ | | 1..* +-------------------+ | | <>、-、-、-、-、-、-、-、-、--、| alertident| | | +-------------------+ | | | STRING analyzerid| | | +-------------------+ +------------------+
Figure 3: The ToolAlert Class
図3: ToolAlertのクラス
The aggregate classes that make up ToolAlert are:
ToolAlertを作る集約クラスは以下の通りです。
name
名前
Exactly one. STRING. The reason for grouping the alerts
together, for example, the name of a particular tool.
ちょうど1。 結びます。 警戒を分類する理由、例えば、特定のツールの名前。
command
コマンド
Zero or one. STRING. The command or operation that the tool was
asked to perform, for example, a BackOrifice ping.
ゼロか1。 結びます。 コマンドかツールが実行するように頼まれた操作、例えば、BackOrificeが確認します。
alertident
alertident
One or more. STRING. The list of alert identifiers that are
related to this alert. Because alert identifiers are only unique
across the alerts sent by a single analyzer, the optional
"analyzerid" attribute of "alertident" should be used to identify
the analyzer that a particular alert came from. If the
"analyzerid" is not provided, the alert is assumed to have come
from the same analyzer that is sending the ToolAlert.
1以上。 結びます。 この警戒に関連する注意深い識別子のリスト。 注意深い識別子が単一の分析器によって送られた警戒の向こう側にユニークであるだけであるので、"alertident"の任意の"analyzerid"属性は特定の警戒が来た分析器を特定するのに使用されるべきです。 "analyzerid"が提供されないなら、警戒がToolAlertを送るのと同じ分析器から来たと思われます。
Debar, et al. Experimental [Page 24] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[24ページ]RFC4765IDMEF行進
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT ToolAlert (
name, command?, alertident+
)>
<!ATTLIST ToolAlert
%attlist.global;
>
<!ELEMENT ToolAlert、(名前、命令して、+) ><!ATTLIST ToolAlert%attlist.globalをalertidentします。 >。
4.2.2.2. The CorrelationAlert Class
4.2.2.2. CorrelationAlertのクラス
The CorrelationAlert class carries additional information related to the correlation of alert information. It is intended to group one or more previously-sent alerts together, to say "these alerts are all related".
CorrelationAlertのクラスは注意深い情報の相関関係に関連する追加情報を運びます。 1つを分類するのが意図していたか、または以上は、以前に、「これらの警戒はすべて関係づけられます」と言うために一緒に警戒を送りました。
The CorrelationAlert class is composed of two aggregate classes, as shown in Figure 4.
CorrelationAlertのクラスは図4に示されるように2つの集約クラスで構成されます。
+------------------+
| Alert |
+------------------+
/_\
|
+------------------+
| CorrelationAlert |
+------------------+ +-------------------+
| |<>----------| name |
| | +-------------------+
| | 1..* +-------------------+
| |<>----------| alertident |
| | +-------------------+
| | | STRING analyzerid |
| | +-------------------+
+------------------+
+------------------+ | 警戒| +------------------+ /_\ | +------------------+ | CorrelationAlert| +------------------+ +-------------------+ | | <>、-、-、-、-、-、-、-、-、--、| 名前| | | +-------------------+ | | 1..* +-------------------+ | | <>、-、-、-、-、-、-、-、-、--、| alertident| | | +-------------------+ | | | STRING analyzerid| | | +-------------------+ +------------------+
Figure 4: The CorrelationAlert Class
図4: CorrelationAlertのクラス
The aggregate classes that make up CorrelationAlert are:
CorrelationAlertを作る集約クラスは以下の通りです。
name
名前
Exactly one. STRING. The reason for grouping the alerts
together, for example, a particular correlation method.
ちょうど1。 結びます。 警戒を分類する理由、例えば、特定の相関関係メソッド。
Debar, et al. Experimental [Page 25] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[25ページ]RFC4765IDMEF行進
alertident
alertident
One or more. STRING. The list of alert identifiers that are
related to this alert. Because alert identifiers are only unique
across the alerts sent by a single analyzer, the optional
"analyzerid" attribute of "alertident" should be used to identify
the analyzer that a particular alert came from. If the
"analyzerid" is not provided, the alert is assumed to have come
from the same analyzer that is sending the CorrelationAlert.
1以上。 結びます。 この警戒に関連する注意深い識別子のリスト。 注意深い識別子が単一の分析器によって送られた警戒の向こう側にユニークであるだけであるので、"alertident"の任意の"analyzerid"属性は特定の警戒が来た分析器を特定するのに使用されるべきです。 "analyzerid"が提供されないなら、警戒がCorrelationAlertを送るのと同じ分析器から来たと思われます。
This is represented in the IDMEF DTD as follows.
これは以下のIDMEF DTDに表されます。
<!ELEMENT CorrelationAlert (
name, alertident+
)>
<!ATTLIST CorrelationAlert
%attlist.global;
>
<!ELEMENT CorrelationAlert(名前、alertident+)><!ATTLIST CorrelationAlert%attlist.global。 >。
4.2.2.3. The OverflowAlert Class
4.2.2.3. OverflowAlertのクラス
The OverflowAlert carries additional information related to buffer overflow attacks. It is intended to enable an analyzer to provide the details of the overflow attack itself.
OverflowAlertはバッファオーバーフロー攻撃に関連する追加情報を運びます。 分析器がオーバーフロー攻撃自体の詳細を明らかにするのを可能にするのは意図しています。
The OverflowAlert class is composed of three aggregate classes, as shown in Figure 5.
OverflowAlertのクラスは図5に示されるように3つの集約クラスで構成されます。
+------------------+
| Alert |
+------------------+
/_\
|
+------------------+
| OverflowAlert |
+------------------+ +---------+
| |<>----------| program |
| | +---------+
| | 0..1 +---------+
| |<>----------| size |
| | +---------+
| | 0..1 +---------+
| |<>----------| buffer |
| | +---------+
+------------------+
+------------------+ | 警戒| +------------------+ /_\ | +------------------+ | OverflowAlert| +------------------+ +---------+ | | <>、-、-、-、-、-、-、-、-、--、| プログラム| | | +---------+ | | 0..1 +---------+ | | <>、-、-、-、-、-、-、-、-、--、| サイズ| | | +---------+ | | 0..1 +---------+ | | <>、-、-、-、-、-、-、-、-、--、| バッファ| | | +---------+ +------------------+
Figure 5: The OverflowAlert Class
図5: OverflowAlertのクラス
Debar, et al. Experimental [Page 26] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[26ページ]RFC4765IDMEF行進
The aggregate classes that make up OverflowAlert are:
OverflowAlertを作る集約クラスは以下の通りです。
program
プログラム
Exactly one. STRING. The program that the overflow attack
attempted to run (NOTE: this is not the program that was
attacked).
ちょうど1。 結びます。 オーバーフロー攻撃が動くのを(注意: これは攻撃されたプログラムではありません)試みたプログラム。
size
サイズ
Zero or one. INTEGER. The size, in bytes, of the overflow (i.e.,
the number of bytes the attacker sent).
ゼロか1。 整数。 オーバーフローのバイトで表現されるサイズ(すなわち、攻撃者が送ったバイト数)。
buffer
バッファ
Zero or one. BYTE[]. Some or all of the overflow data itself
(dependent on how much the analyzer can capture).
ゼロか1。 バイト[]。 オーバーフローデータ(分析器がどのくらいキャプチャすることができるかに依存する)自体のいくつかかすべて。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT OverflowAlert (
program, size?, buffer?
)>
<!ATTLIST OverflowAlert
%attlist.global;
>
<!ELEMENT OverflowAlert(プログラム、サイズ--よりもみ皮製ですか?)><!ATTLIST OverflowAlert%attlist.global。 >。
4.2.3. The Heartbeat Class
4.2.3. 鼓動のクラス
Analyzers use Heartbeat messages to indicate their current status to managers. Heartbeats are intended to be sent in a regular period, say, every ten minutes or every hour. The receipt of a Heartbeat message from an analyzer indicates to the manager that the analyzer is up and running; lack of a Heartbeat message (or more likely, lack of some number of consecutive Heartbeat messages) indicates that the analyzer or its network connection has failed.
分析器はそれらの現在の状態をマネージャに示すHeartbeatメッセージを使用します。 たとえば、通常の時代に10分毎か毎時間単位で鼓動が送られることを意図します。 分析器からのHeartbeatメッセージの領収書は、分析器が活動しているのをマネージャに示します。 Heartbeatメッセージ(または、おそらく何らかの数の連続したHeartbeatメッセージの不足)の不足は、分析器かそのネットワーク接続が失敗したのを示します。
All managers MUST support the receipt of Heartbeat messages; however, the use of these messages by analyzers is OPTIONAL. Developers of manager software SHOULD permit the software to be configured on a per-analyzer basis to use/not use Heartbeat messages.
すべてのマネージャがHeartbeatメッセージの領収書を支えなければなりません。 しかしながら、分析器によるこれらのメッセージの使用はOPTIONALです。 SHOULDが1分析器あたり1個のベースで使用/に構成されるのをソフトウェアを可能にするマネージャソフトウェアの開発者はHeartbeatメッセージを使用しません。
A Heartbeat message is composed of several aggregate classes, as shown in Figure 6. The aggregate classes themselves are described in Sections 4.2.4 and 4.2.5.
Heartbeatメッセージは図6に示されるようにいくつかの集約クラスで構成されます。 集約クラス自体はセクション4.2.4と4.2で.5に説明されます。
Debar, et al. Experimental [Page 27] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[27ページ]RFC4765IDMEF行進
+------------------+
| Heartbeat |
+------------------+ +------------------+
| STRING messageid |<>----------| Analyzer |
| | +------------------+
| | +------------------+
| |<>----------| CreateTime |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| HeartbeatInterval|
| | +------------------+
| | 0..1 +------------------+
| |<>----------| AnalyzerTime |
| | +------------------+
| | 0..* +------------------+
| |<>----------| AdditionalData |
| | +------------------+
+------------------+
+------------------+ | 鼓動| +------------------+ +------------------+ | STRING messageid| <>、-、-、-、-、-、-、-、-、--、| 分析器| | | +------------------+ | | +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| CreateTime| | | +------------------+ | | 0..1 +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| HeartbeatInterval| | | +------------------+ | | 0..1 +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| AnalyzerTime| | | +------------------+ | | 0..* +------------------+ | | <>、-、-、-、-、-、-、-、-、--、| AdditionalData| | | +------------------+ +------------------+
Figure 6: The Heartbeat Class
図6: 鼓動のクラス
The aggregate classes that make up Heartbeat are:
Heartbeatを作る集約クラスは以下の通りです。
Analyzer
分析器
Exactly one. Identification information for the analyzer that
originated the heartbeat.
ちょうど1。 鼓動を溯源した分析器のための識別情報。
CreateTime
CreateTime
Exactly one. The time the heartbeat was created.
ちょうど1。 鼓動が引き起こされた時。
HeartbeatInterval
HeartbeatInterval
Zero or one. The interval in seconds at which heartbeats are
generated.
ゼロか1。 鼓動が発生している秒の間隔。
AnalyzerTime
AnalyzerTime
Zero or one. The current time on the analyzer (see Section 6.3).
ゼロか1。 分析器(セクション6.3を見る)の現在の時間。
AdditionalData
AdditionalData
Zero or more. Information included by the analyzer that does not
fit into the data model. This may be an atomic piece of data or a
large amount of data provided through an extension to the IDMEF
(see Section 5).
ゼロか以上。 データモデルに収まらない分析器は情報を含んでいます。 これは、IDMEFへの拡大で提供された原子データか多量のデータであるかもしれません(セクション5を見てください)。
Debar, et al. Experimental [Page 28] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[28ページ]RFC4765IDMEF行進
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Heartbeat (
Analyzer, CreateTime, HeartbeatInterval?, AnalyzerTime?,
AdditionalData*
)>
<!ATTLIST Heartbeat
messageid CDATA '0'
%attlist.global;
>
<!ELEMENT Heartbeat(分析器、CreateTime、HeartbeatInterval?、AnalyzerTime?、AdditionalData*)><!ATTLIST Heartbeat messageid CDATA'0'%attlist.global。 >。
The Heartbeat class has one attribute:
Heartbeatのクラスには、1つの属性があります:
messageid
messageid
Optional. A unique identifier for the heartbeat; see
Section 3.2.9.
任意。 鼓動のためのユニークな識別子。 セクション3.2.9を見てください。
4.2.4. The Core Classes
4.2.4. コアのクラス
The core classes -- Analyzer, Source, Target, Classification, and AdditionalData -- are the main parts of Alerts and Heartbeats, as shown in Figure 7.
コアのクラス(分析器、Source、Target、Classification、およびAdditionalData)は図7に示されるようにAlertsとHeartbeatsの主部です。
+-----------+ +----------------+
| Heartbeat | +-------| Analyzer |
+-----------+ | +----------------+
| |<>---+--+
+-----------+ | | 0..* +----------------+
| +-------| AdditionalData |
| +----------------+
+-----------+ |
| Alert | | 0..* +----------------+
+-----------+ | +-------| Source |
| |<>---+ | +----------------+
| | | 0..* +----------------+
| | +-------| Target |
| | | +----------------+
| |<>------+
+-----------+ | +----------------+
+-------| Classification |
+----------------+
+-----------+ +----------------+ | 鼓動| +-------| 分析器| +-----------+ | +----------------+ | | <>、-、--+--+ +-----------+ | | 0..* +----------------+ | +-------| AdditionalData| | +----------------+ +-----------+ | | 警戒| | 0..* +----------------+ +-----------+ | +-------| ソース| | | <>、-、--+ | +----------------+ | | | 0..* +----------------+ | | +-------| 目標| | | | +----------------+ | | <>、-、-、-、-、--+ +-----------+ | +----------------+ +-------| 分類| +----------------+
Figure 7: The Core Classes
図7: コアのクラス
Debar, et al. Experimental [Page 29] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[29ページ]RFC4765IDMEF行進
4.2.4.1. The Analyzer Class
4.2.4.1. 分析器のクラス
The Analyzer class identifies the analyzer from which the Alert or Heartbeat message originates. Only one analyzer may be encoded for each alert or heartbeat, and that MUST be the analyzer at which the alert or heartbeat originated. Although the IDMEF data model does not prevent the use of hierarchical intrusion detection systems (where alerts get relayed up the tree), it does not provide any way to record the identity of the "relay" analyzers along the path from the originating analyzer to the manager that ultimately receives the alert.
AnalyzerのクラスはAlertかHeartbeatメッセージが起因する分析器を特定します。 各警戒か鼓動のために1台の分析器だけをコード化してもよいです、そして、それは警戒か鼓動が起因した分析器であるに違いありません。 IDMEFデータモデルは階層的な侵入検知システム(警戒が木にリレーされるところ)の使用を防ぎませんが、それは経路に沿って起因する分析器から結局警戒を受けるマネージャまで「リレー」分析器のアイデンティティを記録する少しの方法も提供しません。
The Analyzer class is composed of three aggregate classes, as shown in Figure 8.
Analyzerのクラスは図8に示されるように3つの集約クラスで構成されます。
+---------------------+
| Analyzer |
+---------------------+ 0..1 +----------+
| STRING analyzerid |<>----------| Node |
| STRING name | +----------+
| STRING manufacturer |
| STRING model | 0..1 +----------+
| STRING version |<>----------| Process |
| STRING class | +----------+
| STRING ostype | 0..1 +----------+
| STRING osversion |<>----------| Analyzer |
+---------------------+ +----------+
+---------------------+ | 分析器| +---------------------+ 0..1 +----------+ | STRING analyzerid| <>、-、-、-、-、-、-、-、-、--、| ノード| | STRING名| +----------+ | STRINGメーカー| | STRINGモデル| 0..1 +----------+ | STRINGバージョン| <>、-、-、-、-、-、-、-、-、--、| プロセス| | STRINGのクラス| +----------+ | STRING ostype| 0..1 +----------+ | STRING osversion| <>、-、-、-、-、-、-、-、-、--、| 分析器| +---------------------+ +----------+
Figure 8: The Analyzer Class
エイト環: 分析器のクラス
The aggregate classes that make up Analyzer are:
Analyzerを作る集約クラスは以下の通りです。
Node
ノード
Zero or one. Information about the host or device on which the
analyzer resides (network address, network name, etc.).
ゼロか1。 分析器が住んでいるホストかデバイス(ネットワーク・アドレス、ネットワーク名など)に関する情報。
Process
プロセス
Zero or one. Information about the process in which the analyzer
is executing.
ゼロか1。 分析器が実行されているプロセスに関する情報。
Analyzer
分析器
Zero or one. Information about the analyzer from which the
message may have gone through. The idea behind this mechanism is
that when a manager receives an alert and wants to forward it to
another analyzer, it needs to substitute the original analyzer
ゼロか1。 メッセージが通られたかもしれない分析器に関する情報。 このメカニズムの後ろの考えはマネージャが警戒を受けて、別の分析器にそれを送りたがっているとき、オリジナルの分析器を代入するのが必要であるということです。
Debar, et al. Experimental [Page 30] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[30ページ]RFC4765IDMEF行進
information with its own. To preserve the original analyzer
information, it may be included in the new analyzer definition.
This will allow analyzer path tracking.
それ自身のものがある情報。 オリジナルの分析器の情報を保存するために、それは新しい分析器の定義に含まれるかもしれません。 これは分析器の経路追従を許容するでしょう。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Analyzer (
Node?, Process?, Analyzer?
)>
<!ATTLIST Analyzer
analyzerid CDATA '0'
name CDATA #IMPLIED
manufacturer CDATA #IMPLIED
model CDATA #IMPLIED
version CDATA #IMPLIED
class CDATA #IMPLIED
ostype CDATA #IMPLIED
osversion CDATA #IMPLIED
%attlist.global;
>
<!要素分析器(ノード(処理する)、分析器?)><!ATTLIST Analyzer analyzerid CDATA'0'はCDATA#IMPLIEDメーカーCDATA#IMPLIEDモデルCDATA#IMPLIEDバージョンCDATA#IMPLIEDクラスCDATA#IMPLIED ostype CDATA#IMPLIED osversion CDATA#IMPLIED%をattlist.globalと命名します。 >。
The Analyzer class has eight attributes:
Analyzerのクラスには、8つの属性があります:
analyzerid
analyzerid
Optional (but see below). A unique identifier for the analyzer;
see Section 3.2.9.
任意です(下を見てください)。 分析器のためのユニークな識別子。 セクション3.2.9を見てください。
This attribute is only "partially" optional. If the analyzer
makes use of the "ident" attributes on other classes to provide
unique identifiers for those objects, then it MUST also provide a
valid "analyzerid" attribute. This requirement is dictated by the
uniqueness requirements of the "ident" attribute (they are unique
only within the context of a particular "analyzerid"). If the
analyzer does not make use of the "ident" attributes, however, it
may also omit the "analyzerid" attribute.
この属性は「部分的に」だけそうです。任意。 また、分析器がそれらのオブジェクトのためのユニークな識別子を提供するのに他のクラスの"ident"属性を利用するなら、それは有効な"analyzerid"属性を提供しなければなりません。 この要件は"ident"属性のユニークさの要件によって書き取られます(彼らは特定の"analyzerid"の文脈だけの中でユニークです)。 しかしながら、分析器が"ident"属性を利用しないなら、また、それは"analyzerid"属性を省略するかもしれません。
name
名前
Optional. An explicit name for the analyzer that may be easier to
understand than the analyzerid.
任意。 理解しているのがanalyzeridより簡単であるかもしれない分析器のための明白な名前。
manufacturer
メーカー
Optional. The manufacturer of the analyzer software and/or
hardware.
任意。 分析器のソフトウェア、そして/または、ハードウェアのメーカー。
Debar, et al. Experimental [Page 31] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[31ページ]RFC4765IDMEF行進
model
モデル
Optional. The model name/number of the analyzer software and/or
hardware.
任意。 分析器のソフトウェア、そして/または、ハードウェアの機種モデル名/数。
version
バージョン
Optional. The version number of the analyzer software and/or
hardware.
任意。 分析器のソフトウェア、そして/または、ハードウェアのバージョン番号。
class
クラス
Optional. The class of analyzer software and/or hardware.
任意。 分析器のソフトウェア、そして/または、ハードウェアのクラス。
ostype
ostype
Optional. Operating system name. On POSIX 1003.1 compliant
systems, this is the value returned in utsname.sysname by the
uname() system call, or the output of the "uname -s" command.
任意。 オペレーティングシステム名。 POSIXでは、1003.1台の対応するシステムであり、これはutsname.sysnameでuname()システムコールで返された値であるか「uname-s」の出力はコマンドです。
osversion
osversion
Optional. Operating system version. On POSIX 1003.1 compliant
systems, this is the value returned in utsname.release by the
uname() system call, or the output of the "uname -r" command.
任意。 オペレーティングシステムバージョン。 POSIXでは、1003.1台の対応するシステムであり、これはutsname.releaseでuname()システムコールで返された値であるか「uname-r」の出力はコマンドです。
The "manufacturer", "model", "version", and "class" attributes' contents are vendor-specific, but may be used together to identify different types of analyzers (and perhaps make determinations about the contents to expect in other vendor-specific fields of IDMEF messages).
「メーカー」、「モデル」、「バージョン」、および属性のものが満足させる「クラス」は、ベンダー特有ですが、異なったタイプの分析器を特定するのに一緒に使用されるかもしれません(恐らくIDMEFの他のベンダー特有の分野でメッセージを予想するコンテンツに関する決断をしてください)。
4.2.4.2. The Classification Class
4.2.4.2. 分類のクラス
The Classification class provides the "name" of an alert, or other information allowing the manager to determine what it is. This name is chosen by the alert provider.
Classificationのクラスは警戒の「名前」、またはマネージャがそれが何であるかを決心できる他の情報を提供します。 この名前は注意深いプロバイダーによって選ばれています。
The Classification class is composed of one aggregate class, as shown in Figure 9.
Classificationのクラスは図9に示されるように1つの集約クラスで構成されます。
Debar, et al. Experimental [Page 32] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[32ページ]RFC4765IDMEF行進
+----------------+
| Classification |
+----------------+ 0..* +-----------+
| STRING ident |<>----------| Reference |
| STRING text | +-----------+
+----------------+
+----------------+ | 分類| +----------------+ 0..* +-----------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| 参照| | STRINGテキスト| +-----------+ +----------------+
Figure 9: The Classification Class
図9: 分類のクラス
The aggregate class that makes up Classification is:
Classificationを作る集約クラスは以下の通りです。
Reference
参照
Zero or more. Information about the message, pointing to external
documentation sites, that will provide background information
about the alert.
ゼロか以上。 警戒に関する基礎的な情報を提供する外部のドキュメンテーションサイトを示すメッセージに関する情報。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Classification (
Reference*
)>
<!ATTLIST Classification
ident CDATA '0'
text CDATA #REQUIRED
>
<!ELEMENT Classification(参照*)><!ATTLIST Classification ident CDATA'0'テキストCDATA#REQUIRED>。
The Classification class has two attributes:
Classificationのクラスには、2つの属性があります:
ident
ident
Optional. A unique identifier for this classification; see
Section 3.2.9.
任意。 この分類のためのユニークな識別子。 セクション3.2.9を見てください。
text
テキスト
Required. A vendor-provided string identifying the Alert message.
必要。 Alertメッセージを特定するベンダーによって提供されたストリング。
4.2.4.3. The Source Class
4.2.4.3. ソースのクラス
The Source class contains information about the possible source(s) of the event(s) that generated an alert. An event may have more than one source (e.g., in a distributed denial-of-service attack).
Sourceのクラスは警戒を生成したイベントの可能な源の情報を含みます。 イベントには、1つ以上のソース(例えば、分配されたサービス不能攻撃における)があるかもしれません。
The Source class is composed of four aggregate classes, as shown in Figure 10.
Sourceのクラスは図10に示されるように4つの集約クラスで構成されます。
Debar, et al. Experimental [Page 33] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[33ページ]RFC4765IDMEF行進
+------------------+
| Source |
+------------------+ 0..1 +---------+
| STRING ident |<>----------| Node |
| ENUM spoofed | +---------+
| STRING interface | 0..1 +---------+
| |<>----------| User |
| | +---------+
| | 0..1 +---------+
| |<>----------| Process |
| | +---------+
| | 0..1 +---------+
| |<>----------| Service |
| | +---------+
+------------------+
+------------------+ | ソース| +------------------+ 0..1 +---------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| ノード| | ENUMはだましました。| +---------+ | STRINGインタフェース| 0..1 +---------+ | | <>、-、-、-、-、-、-、-、-、--、| ユーザ| | | +---------+ | | 0..1 +---------+ | | <>、-、-、-、-、-、-、-、-、--、| プロセス| | | +---------+ | | 0..1 +---------+ | | <>、-、-、-、-、-、-、-、-、--、| サービス| | | +---------+ +------------------+
Figure 10: The Source Class
図10: ソースのクラス
The aggregate classes that make up Source are:
Sourceを作る集約クラスは以下の通りです。
Node
ノード
Zero or one. Information about the host or device that appears to
be causing the events (network address, network name, etc.).
ゼロか1。 イベント(ネットワーク・アドレス、ネットワーク名など)を引き起こしているように見えるホストかデバイスに関する情報。
User
ユーザ
Zero or one. Information about the user that appears to be
causing the event(s).
ゼロか1。 イベントを引き起こしているように見えるユーザに関する情報。
Process
プロセス
Zero or one. Information about the process that appears to be
causing the event(s).
ゼロか1。 イベントを引き起こしているように見えるプロセスに関する情報。
Service
サービス
Zero or one. Information about the network service involved in
the event(s).
ゼロか1。 イベントにかかわるネットワーク・サービスに関する情報。
Debar, et al. Experimental [Page 34] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[34ページ]RFC4765IDMEF行進
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Source (
Node?, User?, Process?, Service?
)>
<!ATTLIST Source
ident CDATA '0'
spoofed %attvals.yesno; 'unknown'
interface CDATA #IMPLIED
%attlist.global;
>
<!要素ソース(ノード?、ユーザ(処理する)、サービス?)><!ATTLIST Source ident CDATA'0'は、%がattvals.yesnoであると偽造しました。 '未知'のインタフェースCDATA#IMPLIED%attlist.global。 >。
The Source class has three attributes:
Sourceのクラスには、3つの属性があります:
ident
ident
Optional. A unique identifier for this source; see Section 3.2.9.
任意。 このソースに、ユニークな識別子。 セクション3.2.9を見てください。
spoofed
だまします。
Optional. An indication of whether the source is, as far as the
analyzer can determine, a spoofed address used for hiding the real
origin of the attack. The permitted values for this attribute are
shown below. The default value is "unknown". (See also
Section 10.)
任意。 ソースが分析器が決定できるのと同じくらい遠くに偽造しているアドレスであるかどうかしるしは隠れることに攻撃の本当の発生源を使用しました。 この属性のための受入れられた値は以下に示されます。 デフォルト値は「未知です」。 (また、セクション10を見てください。)
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of source information unknown |
| | | |
| 1 | yes | Source is believed to be a decoy |
| | | |
| 2 | no | Source is believed to be "real" |
+------+---------+----------------------------------------+
+------+---------+----------------------------------------+ | ランク| キーワード| 記述| +------+---------+----------------------------------------+ | 0 | 未知| ソース情報未知の精度| | | | | | 1 | はい| ソースはおとりであると信じられています。| | | | | | 2 | いいえ| ソースが「本当である」と信じられています。| +------+---------+----------------------------------------+
interface
インタフェース
Optional. May be used by a network-based analyzer with multiple
interfaces to indicate which interface this source was seen on.
任意。 複数のインタフェースがあるネットワークベースの分析器によって使用されて、どれがこのソースを連結するかがオンであることが見られたのを示すかもしれません。
4.2.4.4. The Target Class
4.2.4.4. 目標のクラス
The Target class contains information about the possible target(s) of the event(s) that generated an alert. An event may have more than one target (e.g., in the case of a port sweep).
Targetのクラスは警戒を生成したイベントの可能な目標の情報を含みます。 イベントには、1個以上の目標(例えば、ポート一掃の場合における)があるかもしれません。
Debar, et al. Experimental [Page 35] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[35ページ]RFC4765IDMEF行進
The Target class is composed of four aggregate classes, as shown in Figure 11.
Targetのクラスは図11に示されるように4つの集約クラスで構成されます。
+------------------+
| Target |
+------------------+ 0..1 +----------+
| STRING ident |<>----------| Node |
| ENUM decoy | +----------+
| STRING interface | 0..1 +----------+
| |<>----------| User |
| | +----------+
| | 0..1 +----------+
| |<>----------| Process |
| | +----------+
| | 0..1 +----------+
| |<>----------| Service |
| | +----------+
| | 0..n +----------+
| |<>----------| File |
| | +----------+
+------------------+
+------------------+ | 目標| +------------------+ 0..1 +----------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| ノード| | ENUMおとり| +----------+ | STRINGインタフェース| 0..1 +----------+ | | <>、-、-、-、-、-、-、-、-、--、| ユーザ| | | +----------+ | | 0..1 +----------+ | | <>、-、-、-、-、-、-、-、-、--、| プロセス| | | +----------+ | | 0..1 +----------+ | | <>、-、-、-、-、-、-、-、-、--、| サービス| | | +----------+ | | 0..n+----------+ | | <>、-、-、-、-、-、-、-、-、--、| ファイル| | | +----------+ +------------------+
Figure 11: The Target Class
図11: 目標のクラス
The aggregate classes that make up Target are:
Targetを作る集約クラスは以下の通りです。
Node
ノード
Zero or one. Information about the host or device at which the
event(s) (network address, network name, etc.) is being directed.
ゼロか1。 イベント(ネットワーク・アドレス、ネットワーク名など)が指示されているホストかデバイスに関する情報。
User
ユーザ
Zero or one. Information about the user at which the event(s) is
being directed.
ゼロか1。 イベントが指示されているユーザに関する情報。
Process
プロセス
Zero or one. Information about the process at which the event(s)
is being directed.
ゼロか1。 イベントが指示されているプロセスに関する情報。
Service
サービス
Zero or one. Information about the network service involved in
the event(s).
ゼロか1。 イベントにかかわるネットワーク・サービスに関する情報。
Debar, et al. Experimental [Page 36] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[36ページ]RFC4765IDMEF行進
File
ファイル
Optional. Information about file(s) involved in the event(s).
任意。 イベントにかかわるファイルに関する情報。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Target (
Node?, User?, Process?, Service?, File*
)>
<!ATTLIST Target
ident CDATA '0'
decoy %attvals.yesno; 'unknown'
interface CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT Target(ノード?、User?、Process Service?、File*?)><!ATTLIST Target ident CDATA'0'は%attvals.yesnoをおびき寄せます。 '未知'のインタフェースCDATA#IMPLIED%attlist.global。 >。
The Target class has three attributes:
Targetのクラスには、3つの属性があります:
ident
ident
Optional. A unique identifier for this target, see Section 3.2.9.
任意。 ユニークな識別子、この目標に関しては、.9にセクション3.2を見てください。
decoy
おとり
Optional. An indication of whether the target is, as far as the
analyzer can determine, a decoy. The permitted values for this
attribute are shown below. The default value is "unknown". (See
also Section 10.)
任意。 目標が分析器が決定できるのと同じくらい遠くにおとりであるかどうかしるし。 この属性のための受入れられた値は以下に示されます。 デフォルト値は「未知です」。 (また、セクション10を見てください。)
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of target information unknown |
| | | |
| 1 | yes | Target is believed to be a decoy |
| | | |
| 2 | no | Target is believed to be "real" |
+------+---------+----------------------------------------+
+------+---------+----------------------------------------+ | ランク| キーワード| 記述| +------+---------+----------------------------------------+ | 0 | 未知| 目標情報未知の精度| | | | | | 1 | はい| 目標はおとりであると信じられています。| | | | | | 2 | いいえ| 目標が「本当である」と信じられています。| +------+---------+----------------------------------------+
interface
インタフェース
Optional. May be used by a network-based analyzer with multiple
interfaces to indicate which interface this target was seen on.
任意。 複数のインタフェースがあるネットワークベースの分析器によって使用されて、どれがこの目標を連結するかがオンであることが見られたのを示すかもしれません。
Debar, et al. Experimental [Page 37] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[37ページ]RFC4765IDMEF行進
4.2.4.5. The Assessment Class
4.2.4.5. 査定のクラス
The Assessment class is used to provide the analyzer's assessment of an event -- its impact, actions taken in response, and confidence.
Assessmentのクラスは分析器のイベントの査定を提供するのに使用されます--影響、応答で取られた行動、および信用。
The Assessment class is composed of three aggregate classes, as shown in Figure 12.
Assessmentのクラスは図12に示されるように3つの集約クラスで構成されます。
+------------------+
| Assessment |
+------------------+ 0..1 +------------+
| |<>----------| Impact |
| | +------------+
| | 0..* +------------+
| |<>----------| Action |
| | +------------+
| | 0..1 +------------+
| |<>----------| Confidence |
| | +------------+
+------------------+
+------------------+ | 査定| +------------------+ 0..1 +------------+ | | <>、-、-、-、-、-、-、-、-、--、| 影響| | | +------------+ | | 0..* +------------+ | | <>、-、-、-、-、-、-、-、-、--、| 動作| | | +------------+ | | 0..1 +------------+ | | <>、-、-、-、-、-、-、-、-、--、| 信用| | | +------------+ +------------------+
Figure 12: The Assessment Class
図12: 査定のクラス
The aggregate classes that make up Assessment are:
Assessmentを作る集約クラスは以下の通りです。
Impact
影響
Zero or one. The analyzer's assessment of the impact of the event
on the target(s).
ゼロか1。 目標における分析器のイベントの影響の査定。
Action
動作
Zero or more. The action(s) taken by the analyzer in response to
the event.
ゼロか以上。 分析器によってイベントに対応して取られた行動。
Confidence
信用
Zero or one. A measurement of the confidence the analyzer has in
its evaluation of the event.
ゼロか1。 分析器がイベントの評価で持っている信用の測定。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Assessment (
Impact?, Action*, Confidence?
)>
<!ATTLIST Assessment
%attlist.global;
>
<!要素査定(影響?、動作*、信用?)><!ATTLIST査定%attlist.global。 >。
Debar, et al. Experimental [Page 38] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[38ページ]RFC4765IDMEF行進
4.2.4.6. The AdditionalData Class
4.2.4.6. AdditionalDataのクラス
The AdditionalData class is used to provide information that cannot be represented by the data model. AdditionalData can be used to provide atomic data (integers, strings, etc.) in cases where only small amounts of additional information need to be sent; it can also be used to extend the data model and the DTD to support the transmission of complex data (such as packet headers). Detailed instructions for extending the data model and the DTD are provided in Section 5.
AdditionalDataのクラスは、データモデルが表すことができない情報を提供するのに使用されます。 少量の追加情報だけが送られる必要があるケースの中に原子データ(整数、ストリングなど)を供給するのにAdditionalDataを使用できます。 また、複雑なデータ(パケットのヘッダーなどの)の伝達をサポートするためにデータモデルとDTDを広げるのにそれを使用できます。 データモデルとDTDを広げるための細かい指示をセクション5に提供します。
+------+-------------+----------------------------------------------+ | Rank | Keyword | Description | +------+-------------+----------------------------------------------+ | 0 | boolean | The element contains a boolean value, i.e., | | | | the strings "true" or "false" | | | | | | 1 | byte | The element content is a single 8-bit byte | | | | (see Section 3.2.4) | | | | | | 2 | character | The element content is a single character | | | | (see Section 3.2.3) | | | | | | 3 | date-time | The element content is a date-time string | | | | (see Section 3.2.6) | | | | | | 4 | integer | The element content is an integer (see | | | | Section 3.2.1) | | | | | | 5 | ntpstamp | The element content is an NTP timestamp (see | | | | Section 3.2.7) | | | | | | 6 | portlist | The element content is a list of ports (see | | | | Section 3.2.8) | | | | | | 7 | real | The element content is a real number (see | | | | Section 3.2.2) | | | | | | 8 | string | The element content is a string (see | | | | Section 3.2.3) | | | | | | 9 | byte-string | The element is a byte[] (see Section 3.2.4) | | | | | | 10 | xmltext | The element content is XML-tagged data (see | | | | Section 5.2) | +------+-------------+----------------------------------------------+
+------+-------------+----------------------------------------------+ | ランク| キーワード| 記述| +------+-------------+----------------------------------------------+ | 0 | 論理演算子| すなわち、要素はブール値を含んでいます。| | | | ストリング「本当である」か「誤る」| | | | | | 1 | バイト| 要素含有量は8ビットの1バイトです。| | | | (セクション3.2.4を見ます) | | | | | | 2 | キャラクタ| 要素含有量は単独のキャラクタです。| | | | (セクション3.2.3を見ます) | | | | | | 3 | 日付-時間| 要素含有量は日付-時間ストリングです。| | | | (セクション3.2.6を見ます) | | | | | | 4 | 整数| 要素含有量は整数(| | | | セクション3.2.1を見る)です。| | | | | | 5 | ntpstamp| 要素含有量はNTPタイムスタンプ(| | | | セクション3.2.7を見る)です。| | | | | | 6 | 「恰幅のい-者」| 要素含有量はポートのリスト(| | | | セクション3.2.8を見る)です。| | | | | | 7 | 本当| 要素含有量は実数(| | | | セクション3.2.2を見る)です。| | | | | | 8 | ストリング| 要素含有量はストリング(| | | | セクション3.2.3を見る)です。| | | | | | 9 | バイトストリング| 要素はバイト[]です(セクション3.2.4を見てください)。| | | | | | 10 | xmltext| 要素含有量はXMLによってタグ付けをされたデータ(| | | | セクション5.2を見る)です。| +------+-------------+----------------------------------------------+
Debar, et al. Experimental [Page 39] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[39ページ]RFC4765IDMEF行進
The AdditionalData element is declared in the IDMEF DTD as follows:
AdditionalData要素は以下のIDMEF DTDで申告されます:
<!ENTITY % attvals.adtype "
( boolean | byte | character | date-time | integer | ntpstamp |
portlist | real | string | byte-string | xmltext )
">
<!ENTITY%attvals.adtype、「(論理演算子|バイト|キャラクタ|日付-時間| 整数|ntpstamp|「恰幅のい-者」|本物|ストリング| バイトストリング| xmltext)">"
<!ELEMENT AdditionalData (
(boolean | byte | character | date-time |
integer | ntpstamp | portlist | real |
string | byte-string | xmltext )
)>
<!要素AdditionalData((論理演算子|バイト|キャラクタ| 日付-時間| 整数|ntpstamp|「恰幅のい-者」|本物|ストリング| バイトストリング| xmltext))>。
<!ATTLIST AdditionalData
type %attvals.adtype; 'string'
meaning CDATA #IMPLIED
%attlist.global;
>
<!ATTLIST AdditionalDataは%attvals.adtypeをタイプします。 'ストリング'意味CDATA#IMPLIED%attlist.global。 >。
The AdditionalData class has one attribute:
AdditionalDataのクラスには、1つの属性があります:
meaning
意味
Optional. A string describing the meaning of the element content.
These values will be vendor/implementation dependent; the method
for ensuring that managers understand the strings sent by
analyzers is outside the scope of this specification. A list of
acceptable meaning keywords is not within the scope of the
document, although later versions may undertake to establish such
a list.
任意。 要素含有量の意味について説明する五弦。 これらの値はベンダー/実装に依存するようになるでしょう。 この仕様の範囲の外にマネージャが分析器によって送られたストリングを理解しているのを確実にするためのメソッドがあります。 ドキュメントの範囲の中に許容できる意味キーワードのリストがありません、後のバージョンは、そのようなリストを確立するのを引き受けるかもしれませんが。
Debar, et al. Experimental [Page 40] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[40ページ]RFC4765IDMEF行進
4.2.5. The Time Classes
4.2.5. 時間のクラス
The data model provides three classes for representing time. These classes are elements of the Alert and Heartbeat classes.
データモデルは3つのクラスを時間を表すのに提供します。 これらのクラスはAlertとHeartbeatのクラスの要素です。
The time classes are represented in the IDMEF DTD as follows:
時間のクラスは以下のIDMEF DTDに表されます:
<!ELEMENT ntpstamp (#PCDATA) > <!ATTLIST ntpstamp %attlist.global; >
<!ELEMENT ntpstamp(#PCDATA)><!ATTLIST ntpstamp%attlist.global。 >。
<!ELEMENT CreateTime (#PCDATA) >
<!ATTLIST CreateTime
ntpstamp CDATA #REQUIRED
%attlist.global;
>
<!ELEMENT CreateTime(#PCDATA)><!ATTLIST CreateTime ntpstamp CDATA#REQUIRED%attlist.global。 >。
<!ELEMENT DetectTime (#PCDATA) >
<!ATTLIST DetectTime
ntpstamp CDATA #REQUIRED
%attlist.global;
>
<!ELEMENT DetectTime(#PCDATA)><!ATTLIST DetectTime ntpstamp CDATA#REQUIRED%attlist.global。 >。
<!ELEMENT AnalyzerTime (#PCDATA) >
<!ATTLIST AnalyzerTime
ntpstamp CDATA #REQUIRED
%attlist.global;
>
<!ELEMENT AnalyzerTime(#PCDATA)><!ATTLIST AnalyzerTime ntpstamp CDATA#REQUIRED%attlist.global。 >。
The DATETIME format of the <CreateTime> element content is described in Section 3.2.6.
<CreateTime>要素含有量のDATETIME形式はセクション3.2.6で説明されます。
If the date and time represented by the element content and the NTP timestamp differ (should "never" happen), the value in the NTP timestamp MUST be used.
要素含有量によって表された日時とNTPタイムスタンプが異なるなら(“never"が起こるはずであるなら)、NTPタイムスタンプの値を使用しなければなりません。
4.2.5.1. The CreateTime Class
4.2.5.1. CreateTimeのクラス
The CreateTime class is used to indicate the date and time the alert or heartbeat was created by the analyzer.
CreateTimeのクラスは、警戒か鼓動が分析器によって引き起こされた日時を示すのに使用されます。
4.2.5.2. The DetectTime Class
4.2.5.2. DetectTimeのクラス
The DetectTime class is used to indicate the date and time that the event(s) producing an alert was detected by the analyzer. In the case of more than one event, it is the time that the first event was detected. (This may or may not be the same time as CreateTime; analyzers are not required to send alerts immediately upon detection).
DetectTimeのクラスは、警戒を生産するイベントが分析器によって検出された日時を示すのに使用されます。 1つ以上のイベントの場合では、最初のイベントがもう検出されるべきであった時間です。 (これはCreateTimeと同時間であるかもしれません; 分析器はすぐ検出に警戒を送る必要はありません。)
Debar, et al. Experimental [Page 41] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[41ページ]RFC4765IDMEF行進
4.2.5.3. The AnalyzerTime Class
4.2.5.3. AnalyzerTimeのクラス
The AnalyzerTime class is used to indicate the current date and time on the analyzer. Its values should be filled in as late as possible in the message transmission process, ideally immediately before placing the message "on the wire".
AnalyzerTimeのクラスは、分析器の上に現在の日時を示すのに使用されます。 値はできるだけ遅くメッセージトランスミッションプロセスに記入するべきです、「ワイヤ」にメッセージを置く理想的に直前。
The use of <AnalyzerTime> to perform rudimentary time synchronization between analyzers and managers is discussed in Section 6.3.
セクション6.3で分析器とマネージャの間の初歩的な時間同期化を実行する<AnalyzerTime>の使用について議論します。
4.2.6. The Assessment Classes
4.2.6. 査定のクラス
The data model provides three types of "assessments" that an analyzer can make about an event. These classes are aggregates of the Assessment class.
データモデルは分析器がイベントに関して作ることができる3つのタイプの「査定」を提供します。 これらのクラスはAssessmentのクラスの集合です。
4.2.6.1. The Impact Class
4.2.6.1. 影響のクラス
The Impact class is used to provide the analyzer's assessment of the impact of the event on the target(s). It is represented in the IDMEF DTD as follows:
Impactのクラスは、目標における分析器のイベントの影響の査定を提供するのに使用されます。 それは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.severity "
( info | low | medium | high )
">
<!ENTITY % attvals.completion "
( failed | succeeded )
">
<!ENTITY % attvals.impacttype "
( admin | dos | file | recon | user | other )
">
<!ENTITY%attvals.severity、「(インフォメーション| 安値|媒体|高値)「><!ENTITY%attvals.completion」、(失敗される|、成功、)、(アドミン| dos| | 探察| ユーザをファイルしてください| 他)であるという「><!ENTITY%attvals.impacttype」">"
<!ELEMENT Impact (#PCDATA) >
<!ATTLIST Impact
severity %attvals.severity; #IMPLIED
completion %attvals.completion; #IMPLIED
type %attvals.impacttype; 'other'
%attlist.global;
>
<!ELEMENT Impact(#PCDATA)><!ATTLIST Impact厳しさ%attvals.severity。 #IMPLIED完成%attvals.completion。 #IMPLIEDは%attvals.impacttypeをタイプします。 '他'の%attlist.global。 >。
Debar, et al. Experimental [Page 42] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[42ページ]RFC4765IDMEF行進
The Impact class has three attributes:
Impactのクラスには、3つの属性があります:
severity
厳しさ
An estimate of the relative severity of the event. The permitted
values are shown below. There is no default value. (See also
Section 10.)
イベントの相対的な厳しさの見積り。 受入れられた値は以下に示されます。 デフォルト値が全くありません。 (また、セクション10を見てください。)
+------+---------+-----------------------------------------+
| Rank | Keyword | Description |
+------+---------+-----------------------------------------+
| 0 | info | Alert represents informational activity |
| | | |
| 1 | low | Low severity |
| | | |
| 2 | medium | Medium severity |
| | | |
| 3 | high | High severity |
+------+---------+-----------------------------------------+
+------+---------+-----------------------------------------+ | ランク| キーワード| 記述| +------+---------+-----------------------------------------+ | 0 | インフォメーション| 警戒は情報の活動を表します。| | | | | | 1 | 安値| 低厳しさ| | | | | | 2 | 媒体| 中型の厳しさ| | | | | | 3 | 高値| 高い厳しさ| +------+---------+-----------------------------------------+
completion
完成
An indication of whether the analyzer believes the attempt that
the event describes was successful or not. The permitted values
are shown below. There is no default value. (See also
Section 10.)
分析器がイベントが説明する試みを信じるかどうかしるしはうまくいきました。 受入れられた値は以下に示されます。 デフォルト値が全くありません。 (また、セクション10を見てください。)
+------+-----------+--------------------------------+
| Rank | Keyword | Description |
+------+-----------+--------------------------------+
| 0 | failed | The attempt was not successful |
| | | |
| 1 | succeeded | The attempt succeeded |
+------+-----------+--------------------------------+
+------+-----------+--------------------------------+ | ランク| キーワード| 記述| +------+-----------+--------------------------------+ | 0 | 失敗されます。| 試みはうまくいきませんでした。| | | | | | 1 | 成功します。| 試みは成功しました。| +------+-----------+--------------------------------+
Debar, et al. Experimental [Page 43] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[43ページ]RFC4765IDMEF行進
type
タイプ
The type of attempt represented by this event, in relatively broad
categories. The permitted values are shown below. The default
value is "other". (See also Section 10.)
比較的広いカテゴリにおけるこのイベントによって表された試みのタイプ。 受入れられた値は以下に示されます。 デフォルト値は「他です」。 (また、セクション10を見てください。)
+------+---------+--------------------------------------------------+ | Rank | Keyword | Description | +------+---------+--------------------------------------------------+ | 0 | admin | Administrative privileges were attempted or | | | | obtained | | | | | | 1 | dos | A denial of service was attempted or completed | | | | | | 2 | file | An action on a file was attempted or completed | | | | | | 3 | recon | A reconnaissance probe was attempted or | | | | completed | | | | | | 4 | user | User privileges were attempted or obtained | | | | | | 5 | other | Anything not in one of the above categories | +------+---------+--------------------------------------------------+
+------+---------+--------------------------------------------------+ | ランク| キーワード| 記述| +------+---------+--------------------------------------------------+ | 0 | アドミン| または管理特権が試みられた。| | | | 得ます。| | | | | | 1 | dos| サービスの否定は、試みられたか、または終了しました。| | | | | | 2 | ファイル| ファイルへの操作は、試みられたか、または完了しました。| | | | | | 3 | 探察| または偵察徹底的調査が試みられた。| | | | 完成されます。| | | | | | 4 | ユーザ| ユーザ特権を試みたか、または得ました。| | | | | | 5 | 他| 上のカテゴリの1つでないのにおける何でも| +------+---------+--------------------------------------------------+
All three attributes are optional. The element itself may be empty, or may contain a textual description of the impact, if the analyzer is able to provide additional details.
すべての3つの属性が任意です。 要素自体は、空であるかもしれないか、または影響の原文の記述を含むかもしれません、分析器が追加詳細を明らかにすることができるなら。
4.2.6.2. The Action Class
4.2.6.2. 動作のクラス
The Action class is used to describe any actions taken by the analyzer in response to the event. Is is represented in the IDMEF DTD as follows:
Actionのクラスは、分析器によってイベントに対応して取られたどんな行動についても説明するのに使用されます。 以下のIDMEF DTDでは、表されます:
<!ENTITY % attvals.actioncat "
( block-installed | notification-sent | taken-offline | other )
">
<!ENTITY%attvals.actioncat、「(| | | ブロックでインストールされた通知で送られた取られてオフラインの他)">"
<!ELEMENT Action (#PCDATA) >
<!ATTLIST Action
category %attvals.actioncat; 'other'
%attlist.global;
>
<!ELEMENT Action(#PCDATA)><!ATTLIST Actionカテゴリ%attvals.actioncat。 '他'の%attlist.global。 >。
Debar, et al. Experimental [Page 44] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[44ページ]RFC4765IDMEF行進
Action has one attribute:
動作には、1つの属性があります:
category
カテゴリ
The type of action taken. The permitted values are shown below.
The default value is "other". (See also Section 10.)
取られた行動のタイプ。 受入れられた値は以下に示されます。 デフォルト値は「他です」。 (また、セクション10を見てください。)
+------+-------------------+----------------------------------------+ | Rank | Keyword | Description | +------+-------------------+----------------------------------------+ | 0 | block-installed | A block of some sort was installed to | | | | prevent an attack from reaching its | | | | destination. The block could be a | | | | port block, address block, etc., or | | | | disabling a user account. | | | | | | 1 | notification-sent | A notification message of some sort | | | | was sent out-of-band (via pager, | | | | e-mail, etc.). Does not include the | | | | transmission of this alert. | | | | | | 2 | taken-offline | A system, computer, or user was taken | | | | offline, as when the computer is shut | | | | down or a user is logged off. | | | | | | 3 | other | Anything not in one of the above | | | | categories. | +------+-------------------+----------------------------------------+
+------+-------------------+----------------------------------------+ | ランク| キーワード| 記述| +------+-------------------+----------------------------------------+ | 0 | ブロックで、インストールされています。| 1ブロックのある種にインストールされました。| | | | 攻撃に達するのを防いでください、それ| | | | 目的地。 ブロックはaであるかもしれません。| | | | またはブロック、あて先ブロックなどを移植してください。| | | | ユーザアカウントを無効にします。 | | | | | | 1 | 通知で、送ります。| ある種の通知メッセージ| | | | バンドの外(| | | | ポケットベル、メールなどで)に送りました。 含んでいません。| | | | この警戒の送信。 | | | | | | 2 | -オフラインで取ります。| システム、コンピュータ、またはユーザが乗られました。| | | | オフライン、コンピュータが閉まっている時| | | | 下であるかユーザログオフされます。 | | | | | | 3 | 他| 上記の1つでないところの何でも| | | | カテゴリ。 | +------+-------------------+----------------------------------------+
The element itself may be empty, or may contain a textual
description of the action, if the analyzer is able to provide
additional details.
要素自体は、空であるかもしれないか、または動作の原文の記述を含むかもしれません、分析器が追加詳細を明らかにすることができるなら。
4.2.6.3. The Confidence Class
4.2.6.3. 信用のクラス
The Confidence class is used to represent the analyzer's best estimate of the validity of its analysis. It is represented in the IDMEF DTD as follows:
Confidenceのクラスは、分析器の分析の正当性の最高の見積もりを表すのに使用されます。 それは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.rating "
( low | medium | high | numeric )
">
<!ENTITY%attvals.rating、「(安値|媒体|高値| 数値)">"
<!ELEMENT Confidence (#PCDATA) >
<!ATTLIST Confidence
rating %attvals.rating; 'numeric'
%attlist.global;
>
<!ELEMENT Confidence(#PCDATA)><!ATTLIST Confidence格付けの%attvals.rating。 '数値'の%attlist.global。 >。
Debar, et al. Experimental [Page 45] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[45ページ]RFC4765IDMEF行進
The Confidence class has one attribute:
Confidenceのクラスには、1つの属性があります:
rating
格付け
The analyzer's rating of its analytical validity. The permitted
values are shown below. The default value is "numeric". (See
also Section 10.)
分析器の分析正当性の格付け。 受入れられた値は以下に示されます。 デフォルト値は「数値です」。 (また、セクション10を見てください。)
+------+---------+--------------------------------------------------+ | Rank | Keyword | Description | +------+---------+--------------------------------------------------+ | 0 | low | The analyzer has little confidence in its | | | | validity | | | | | | 1 | medium | The analyzer has average confidence in its | | | | validity | | | | | | 2 | high | The analyzer has high confidence in its validity | | | | | | 3 | numeric | The analyzer has provided a posterior | | | | probability value indicating its confidence in | | | | its validity | +------+---------+--------------------------------------------------+
+------+---------+--------------------------------------------------+ | ランク| キーワード| 記述| +------+---------+--------------------------------------------------+ | 0 | 安値| 分析器には信用がほとんどない、それ| | | | 正当性| | | | | | 1 | 媒体| 分析器には平均した信用がある、それ| | | | 正当性| | | | | | 2 | 高値| 分析器には、正当性における高い信用があります。| | | | | | 3 | 数値| 分析器は後部を提供しました。| | | | 中に信用を示す確率値| | | | その正当性| +------+---------+--------------------------------------------------+
This element should be used only when the analyzer can produce meaningful information. Systems that can output only a rough heuristic should use "low", "medium", or "high" as the rating value. In this case, the element content should be omitted.
分析器が有意義な情報を作り出すことができる場合にだけ、この要素は使用されるべきです。 荒いヒューリスティックしか出力できないシステムは格付けの値として「中型」の、または、「高い」「安値」を使用するはずです。 この場合、要素含有量は省略されるべきです。
Systems capable of producing reasonable probability estimates should use "numeric" as the rating value and include a numeric confidence value in the element content. This numeric value should reflect a posterior probability (the probability that an attack has occurred given the data seen by the detection system and the model used by the system). It is a floating point number between 0.0 and 1.0, inclusive. The number of digits should be limited to those representable by a single precision floating point value, and may be represented as described in Section 3.2.2.
合理的な確率評価を起こすことができるシステムは、格付けの値として「数値」を使用して、要素含有量に数値信用値を含んでいるはずです。 この数値は事後確率(検出システムとシステムによって使用されるモデルによって見られたデータを考えて、攻撃が起こったという確率)を反映するべきです。 それは、0.0の間の浮動小数点と1.0です。包括的。 ケタの数は、単精度浮動小数点価値で「表-可能」なそれらに制限されるべきであり、セクション3.2.2で説明されるように表されるかもしれません。
NOTE: It should be noted that different types of analyzers may
compute confidence values in different ways and that in many
cases, confidence values from different analyzers should not be
compared (for example, if the analyzers use different methods of
computing or representing confidence, or are of different types or
configurations). Care should be taken when implementing systems
that process confidence values (such as event correlators) not to
make comparisons or assumptions that cannot be supported by the
system's knowledge of the environment in which it is working.
以下に注意してください。 異なったタイプの分析器が異なった方法で信用値を計算するかもしれなくて、多くの場合、異なった分析器からの信用値が比較されるべきでないことに(分析器が例えば信用を計算するか、または表す異なったメソッドを使用するか、または異なったタイプか構成のものであるなら)注意されるべきです。 比較をしないように、信用値(イベント相関器などの)を処理するシステムかそれが働いている環境に関するシステムの知識で後押しされることができない仮定を実装するとき、注意するべきです。
Debar, et al. Experimental [Page 46] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[46ページ]RFC4765IDMEF行進
4.2.7. The Support Classes
4.2.7. サポートのクラス
The support classes make up the major parts of the core classes, and are shared between them.
サポートのクラスは、コアのクラスの大半を作って、それらの間で共有されます。
4.2.7.1. The Reference Class
4.2.7.1. 参照のクラス
The Reference class provides the "name" of an alert, or other information allowing the manager to determine what it is.
Referenceのクラスは警戒の「名前」、またはマネージャがそれが何であるかを決心できる他の情報を提供します。
The Reference class is composed of two aggregate classes, as shown in Figure 13.
Referenceのクラスは図13に示されるように2つの集約クラスで構成されます。
+----------------+
| Reference |
+----------------+ +------+
| STRING origin |<>----------| name |
| STRING meaning | +------+
| | +------+
| |<>----------| url |
| | +------+
+----------------+
+----------------+ | 参照| +----------------+ +------+ | STRING発生源| <>、-、-、-、-、-、-、-、-、--、| 名前| | STRING意味| +------+ | | +------+ | | <>、-、-、-、-、-、-、-、-、--、| url| | | +------+ +----------------+
Figure 13: The Reference Class
図13: 参照のクラス
The aggregate classes that make up Reference are:
Referenceを作る集約クラスは以下の通りです。
name
名前
Exactly one. STRING. The name of the alert, from one of the
origins listed below.
ちょうど1。 結びます。 以下に記載された発生源の1つからの警戒の名前。
url
url
Exactly one. STRING. A URL at which the manager (or the human
operator of the manager) can find additional information about the
alert. The document pointed to by the URL may include an in-depth
description of the attack, appropriate countermeasures, or other
information deemed relevant by the vendor.
ちょうど1。 結びます。 マネージャ(または、マネージャの人間のオペレータ)が警戒に関する追加情報を見つけることができるURL。 URLによって示されたドキュメントは関連しているとベンダーによって考えられた攻撃、適切な対策、または他の情報の徹底的な記述を含むかもしれません。
Debar, et al. Experimental [Page 47] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[47ページ]RFC4765IDMEF行進
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.origin "
( unknown | vendor-specific | user-specific | bugtraqid | cve |
osvdb )
">
<!ENTITY%attvals.origin、「(未知| ベンダー詳細| ユーザ詳細| bugtraqid|cve|osvdb)">"
<!ELEMENT Reference (
name, url
)>
<!ATTLIST Reference
origin %attvals.origin; 'unknown'
meaning CDATA #IMPLIED
>
<!ELEMENT Reference(名前、url)><!ATTLIST Reference発生源%attvals.origin。 '未知'の意味CDATA#IMPLIED>。
The Reference class has two attributes:
Referenceのクラスには、2つの属性があります:
origin
発生源
Required. The source from which the name of the alert originates.
The permitted values for this attribute are shown below. The
default value is "unknown". (See also Section 10.)
必要。 警戒の名前が起因するソース。 この属性のための受入れられた値は以下に示されます。 デフォルト値は「未知です」。 (また、セクション10を見てください。)
+------+-----------------+------------------------------------------+
| Rank | Keyword | Description |
+------+-----------------+------------------------------------------+
| 0 | unknown | Origin of the name is not known |
| | | |
| 1 | vendor-specific | A vendor-specific name (and hence, URL); |
| | | this can be used to provide |
| | | product-specific information |
| | | |
| 2 | user-specific | A user-specific name (and hence, URL); |
| | | this can be used to provide |
| | | installation-specific information |
| | | |
| 3 | bugtraqid | The SecurityFocus ("Bugtraq") |
| | | vulnerability database identifier |
| | | (http://www.securityfocus.com/bid) |
| | | |
| 4 | cve | The Common Vulnerabilities and Exposures |
| | | (CVE) name (http://www.cve.mitre.org/) |
| | | |
| 5 | osvdb | The Open Source Vulnerability Database |
| | | (http://www.osvdb.org) |
+------+-----------------+------------------------------------------+
+------+-----------------+------------------------------------------+ | ランク| キーワード| 記述| +------+-----------------+------------------------------------------+ | 0 | 未知| 名前の発生源は知られていません。| | | | | | 1 | ベンダー特有です。| ベンダー種名(そして、したがって、URL)。 | | | | 提供するのにこれを使用できます。| | | | 製品特殊情報| | | | | | 2 | ユーザ特有です。| ユーザ種名(そして、したがって、URL)。 | | | | 提供するのにこれを使用できます。| | | | インストール特殊情報| | | | | | 3 | bugtraqid| SecurityFocus("Bugtraq")| | | | 脆弱性データベース識別子| | | | ( http://www.securityfocus.com/bid ) | | | | | | 4 | cve| 一般的な脆弱性と暴露| | | | (CVE) 名前( http://www.cve.mitre.org/ )| | | | | | 5 | osvdb| オープンソース脆弱性データベース| | | | ( http://www.osvdb.org ) | +------+-----------------+------------------------------------------+
Debar, et al. Experimental [Page 48] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[48ページ]RFC4765IDMEF行進
meaning
意味
Optional. The meaning of the reference, as understood by the
alert provider. This field is only valid if the value of the
<origin> attribute is set to "vendor-specific" or "user-specific".
任意。 注意深いプロバイダーに解釈されているとしての参照の意味。 <発生源>属性の値が「ベンダー特有である」か「ユーザ特有に」設定される場合にだけ、この分野は有効です。
4.2.7.2. The Node Class
4.2.7.2. ノードのクラス
The Node class is used to identify hosts and other network devices (routers, switches, etc.).
Nodeのクラスは、ホストと他のネットワークデバイス(ルータ、スイッチなど)を特定するのに使用されます。
The Node class is composed of three aggregate classes, as shown in Figure 14.
Nodeのクラスは図14に示されるように3つの集約クラスで構成されます。
+---------------+
| Node |
+---------------+ 0..1 +----------+
| STRING ident |<>----------| location |
| ENUM category | +----------+
| | 0..1 +----------+
| |<>----------| name |
| | +----------+
| | 0..* +----------+
| |<>----------| Address |
| | +----------+
+---------------+
+---------------+ | ノード| +---------------+ 0..1 +----------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| 位置| | ENUMカテゴリ| +----------+ | | 0..1 +----------+ | | <>、-、-、-、-、-、-、-、-、--、| 名前| | | +----------+ | | 0..* +----------+ | | <>、-、-、-、-、-、-、-、-、--、| アドレス| | | +----------+ +---------------+
Figure 14: The Node Class
図14: ノードのクラス
The aggregate classes that make up Node are:
Nodeを作る集約クラスは以下の通りです。
location
位置
Zero or one. STRING. The location of the equipment.
ゼロか1。 結びます。 設備の位置。
name
名前
Zero or one. STRING. The name of the equipment. This
information MUST be provided if no Address information is given.
ゼロか1。 結びます。 設備の名前。 Address情報を全く与えないなら、この情報を提供しなければなりません。
Address
アドレス
Zero or more. The network or hardware address of the equipment.
Unless a name (above) is provided, at least one address must be
specified.
ゼロか以上。 設備のネットワークかハードウェア・アドレス。 名前(above)が提供されない場合、少なくとも1つのアドレスを指定しなければなりません。
Debar, et al. Experimental [Page 49] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[49ページ]RFC4765IDMEF行進
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.nodecat "
( unknown | ads | afs | coda | dfs | dns | hosts | kerberos |
nds | nis | nisplus | nt | wfw )
">
<!ENTITY%attvals.nodecat、「(未知|広告|afs|コーダ|dfs|dns|ホスト|kerberos|nds|nis|nisplus|nt|wfw)">"
<!ELEMENT Node (
location?, (name | Address), Address*
)>
<!ATTLIST Node
ident CDATA '0'
category %attvals.nodecat; 'unknown'
%attlist.global;
>
<!ELEMENT Node、(位置?、(名前| アドレス)、Address*) ><!ATTLIST Node ident CDATA'0'カテゴリ%attvals.nodecat。 '未知'の%attlist.global。 >。
Debar, et al. Experimental [Page 50] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[50ページ]RFC4765IDMEF行進
The Node class has two attributes:
Nodeのクラスには、2つの属性があります:
ident
ident
Optional. A unique identifier for the node; see Section 3.2.9.
任意。 ノードのためのユニークな識別子。 セクション3.2.9を見てください。
category
カテゴリ
Optional. The "domain" from which the name information was
obtained, if relevant. The permitted values for this attribute
are shown in the table below. The default value is "unknown".
(See also Section 10 for extensions to the table.)
任意。 名前情報が得て、関連していた「ドメイン。」 この属性のための受入れられた値は以下のテーブルに示されます。 デフォルト値は「未知です」。 (また、拡大に関してセクション10をテーブルに見てください。)
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | unknown | Domain unknown or not relevant |
| | | |
| 1 | ads | Windows 2000 Advanced Directory Services |
| | | |
| 2 | afs | Andrew File System (Transarc) |
| | | |
| 3 | coda | Coda Distributed File System |
| | | |
| 4 | dfs | Distributed File System (IBM) |
| | | |
| 5 | dns | Domain Name System |
| | | |
| 6 | hosts | Local hosts file |
| | | |
| 7 | kerberos | Kerberos realm |
| | | |
| 8 | nds | Novell Directory Services |
| | | |
| 9 | nis | Network Information Services (Sun) |
| | | |
| 10 | nisplus | Network Information Services Plus (Sun) |
| | | |
| 11 | nt | Windows NT domain |
| | | |
| 12 | wfw | Windows for Workgroups |
+------+----------+------------------------------------------+
+------+----------+------------------------------------------+ | ランク| キーワード| 記述| +------+----------+------------------------------------------+ | 0 | 未知| ドメイン未知である、または関連していません。| | | | | | 1 | 広告| Windows2000の高度なディレクトリサービス| | | | | | 2 | afs| アンドリューファイルシステム(Transarc)| | | | | | 3 | コーダ| コーダ分散ファイルシステム| | | | | | 4 | dfs| 分散ファイルシステム(IBM)| | | | | | 5 | dns| ドメインネームシステム| | | | | | 6 | ホスト| ローカル・ホストファイル| | | | | | 7 | kerberos| ケルベロス分野| | | | | | 8 | nds| ノベルディレクトリサービス| | | | | | 9 | nis| ネットワーク情報サービス(Sun)| | | | | | 10 | nisplus| ネットワーク情報サービスと(Sun)| | | | | | 11 | nt| Windows NTドメイン| | | | | | 12 | wfw| Windows for Workgroups| +------+----------+------------------------------------------+
Debar, et al. Experimental [Page 51] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[51ページ]RFC4765IDMEF行進
4.2.7.2.1. The Address Class
4.2.7.2.1. アドレスのクラス
The Address class is used to represent network, hardware, and application addresses.
Addressのクラスは、ネットワーク、ハードウェア、およびアプリケーションアドレスを代表するのに使用されます。
The Address class is composed of two aggregate classes, as shown in Figure 15.
Addressのクラスは図15に示されるように2つの集約クラスで構成されます。
+------------------+
| Address |
+------------------+ +---------+
| STRING ident |<>----------| address |
| ENUM category | +---------+
| STRING vlan-name | 0..1 +---------+
| INTEGER vlan-num |<>----------| netmask |
| | +---------+
+------------------+
+------------------+ | アドレス| +------------------+ +---------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| アドレス| | ENUMカテゴリ| +---------+ | STRING vlan-名前| 0..1 +---------+ | INTEGER vlan-num| <>、-、-、-、-、-、-、-、-、--、| ネットマスク| | | +---------+ +------------------+
Figure 15: The Address Class
図15: アドレスのクラス
The aggregate classes that make up Address are:
Addressを作る集約クラスは以下の通りです。
address
アドレス
Exactly one. STRING. The address information. The format of
this data is governed by the category attribute.
ちょうど1。 結びます。 アドレス情報。 このデータの形式はカテゴリ属性によって決定されます。
netmask
ネットマスク
Zero or one. STRING. The network mask for the address, if
appropriate.
ゼロか1。 結びます。 アドレスと、適切のためのネットワークマスク。
Debar, et al. Experimental [Page 52] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[52ページ]RFC4765IDMEF行進
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.addrcat "
( unknown | atm | e-mail | lotus-notes | mac | sna | vm |
ipv4-addr | ipv4-addr-hex | ipv4-net | ipv4-net-mask |
ipv6-addr | ipv6-addr-hex | ipv6-net | ipv6-net-mask )
">
<!ENTITY%attvals.addrcat、「(未知|気圧|メール| 蓮注意| mac|sna|vm| ipv4-addr| ipv4-addr-十六進法| ipv4-ネット| ipv4-ネットマスク| ipv6-addr| ipv6-addr-十六進法| ipv6-ネット| ipv6-ネットマスク)">"
<!ELEMENT Address (
address, netmask?
)>
<!ATTLIST Address
ident CDATA '0'
category %attvals.addrcat; 'unknown'
vlan-name CDATA #IMPLIED
vlan-num CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT Address(アドレス、ネットマスク?)><!ATTLIST Address ident CDATA'0'カテゴリ%attvals.addrcat。 '未知'のvlan-名前CDATA#IMPLIED vlan-num CDATA#IMPLIED%attlist.global。 >。
The Address class has four attributes:
Addressのクラスには、4つの属性があります:
ident
ident
Optional. A unique identifier for the address; see Section 3.2.9.
任意。 アドレスのためのユニークな識別子。 セクション3.2.9を見てください。
category
カテゴリ
Optional. The type of address represented. The permitted values
for this attribute are shown below. The default value is
"unknown". (See also Section 10.)
任意。 表されたアドレスのタイプ。 この属性のための受入れられた値は以下に示されます。 デフォルト値は「未知です」。 (また、セクション10を見てください。)
Debar, et al. Experimental [Page 53] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[53ページ]RFC4765IDMEF行進
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | unknown | Address type unknown |
| | | |
| 1 | atm | Asynchronous Transfer Mode network address |
| | | |
| 2 | e-mail | Electronic mail address (RFC 2822 [12]) |
| | | |
| 3 | lotus-notes | Lotus Notes e-mail address |
| | | |
| 4 | mac | Media Access Control (MAC) address |
| | | |
| 5 | sna | IBM Shared Network Architecture (SNA) |
| | | address |
| | | |
| 6 | vm | IBM VM ("PROFS") e-mail address |
| | | |
| 7 | ipv4-addr | IPv4 host address in dotted-decimal |
| | | notation (a.b.c.d) |
| | | |
| 8 | ipv4-addr-hex | IPv4 host address in hexadecimal notation |
| | | |
| 9 | ipv4-net | IPv4 network address in dotted-decimal |
| | | notation, slash, significant bits |
| | | (a.b.c.d/nn) |
| | | |
| 10 | ipv4-net-mask | IPv4 network address in dotted-decimal |
| | | notation, slash, network mask in |
| | | dotted-decimal notation (a.b.c.d/w.x.y.z) |
| | | |
| 11 | ipv6-addr | IPv6 host address |
| | | |
| 12 | ipv6-addr-hex | IPv6 host address in hexadecimal notation |
| | | |
| 13 | ipv6-net | IPv6 network address, slash, significant |
| | | bits |
| | | |
| 14 | ipv6-net-mask | IPv6 network address, slash, network mask |
+------+---------------+--------------------------------------------+
+------+---------------+--------------------------------------------+ | ランク| キーワード| 記述| +------+---------------+--------------------------------------------+ | 0 | 未知| アドレスタイプ未知| | | | | | 1 | 気圧| 非同期なTransfer Modeネットワーク・アドレス| | | | | | 2 | メール| 電子メールアドレス、(RFC2822[12])| | | | | | 3 | 蓮注意| ロータスノーツEメールアドレス| | | | | | 4 | mac| メディアAccess Control(MAC)アドレス| | | | | | 5 | sna| IBM共用回線網アーキテクチャ(SNA)| | | | アドレス| | | | | | 6 | vm| IBM VM(「PROFS」)Eメールアドレス| | | | | | 7 | ipv4-addr| ドット付き10進法におけるIPv4ホスト・アドレス| | | | 記法(a.b.c.d)| | | | | | 8 | ipv4-addr-十六進法| 16進法におけるIPv4ホスト・アドレス| | | | | | 9 | ipv4-ネット| ドット付き10進法におけるIPv4ネットワーク・アドレス| | | | 記法、スラッシュ、重要なビット| | | | (a.b.c.d/nn) | | | | | | 10 | ipv4-ネットマスク| ドット付き10進法におけるIPv4ネットワーク・アドレス| | | | 記法、スラッシュ、中のネットワークマスク| | | | ドット付き10進法(a.b.c.d/w.x.y.z)| | | | | | 11 | ipv6-addr| IPv6ホスト・アドレス| | | | | | 12 | ipv6-addr-十六進法| 16進法におけるIPv6ホスト・アドレス| | | | | | 13 | ipv6-ネット| スラッシュの、そして、重要なIPv6ネットワーク・アドレス| | | | ビット| | | | | | 14 | ipv6-ネットマスク| IPv6ネットワーク・アドレス、スラッシュ、ネットワークマスク| +------+---------------+--------------------------------------------+
vlan-name
vlan-名前
Optional. The name of the Virtual LAN to which the address
belongs.
任意。 アドレスが属するバーチャルLANの名前。
Debar, et al. Experimental [Page 54] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[54ページ]RFC4765IDMEF行進
vlan-num
vlan-num
Optional. The number of the Virtual LAN to which the address
belongs.
任意。 アドレスが属するバーチャルLANの数。
4.2.7.3. The User Class
4.2.7.3. ユーザ・クラス
The User class is used to describe users. It is primarily used as a "container" class for the UserId aggregate class, as shown in Figure 16.
Userのクラスは、ユーザについて説明するのに使用されます。 それはUserId集約クラスのための「コンテナ」のクラス図16に示されるように主として使用されます。
+---------------+
| User |
+---------------+ 1..* +--------+
| STRING ident |<>----------| UserId |
| ENUM category | +--------+
+---------------+
+---------------+ | ユーザ| +---------------+ 1..* +--------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| ユーザID| | ENUMカテゴリ| +--------+ +---------------+
Figure 16: The User Class
図16: ユーザ・クラス
The aggregate class contained in User is:
Userに含まれた集約クラスは以下の通りです。
UserId
ユーザID
One or more. Identification of a user, as indicated by its type
attribute (see Section 4.2.7.3.1).
1以上。 セクション4.2を見てください。ユーザの識別、タイプ属性によって示されて、(.7 .3 .1)。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.usercat "
( unknown | application | os-device )
">
<!ENTITY%attvals.usercat、「(未知| アプリケーション| OSデバイス)">"
<!ELEMENT User (
UserId+
)>
<!ATTLIST User
ident CDATA '0'
category %attvals.usercat; 'unknown'
%attlist.global;
>
<!ELEMENT User(UserId+)><!ATTLIST User ident CDATA'0'カテゴリ%attvals.usercat。 '未知'の%attlist.global。 >。
Debar, et al. Experimental [Page 55] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[55ページ]RFC4765IDMEF行進
The User class has two attributes:
Userのクラスには、2つの属性があります:
ident
ident
Optional. A unique identifier for the user; see Section 3.2.9.
任意。 ユーザにとって、ユニークな識別子。 セクション3.2.9を見てください。
category
カテゴリ
Optional. The type of user represented. The permitted values for
this attribute are shown below. The default value is "unknown".
(See also Section 10.)
任意。 代理をされたユーザのタイプ。 この属性のための受入れられた値は以下に示されます。 デフォルト値は「未知です」。 (また、セクション10を見てください。)
+------+-------------+------------------------------------+
| Rank | Keyword | Description |
+------+-------------+------------------------------------+
| 0 | unknown | User type unknown |
| | | |
| 1 | application | An application user |
| | | |
| 2 | os-device | An operating system or device user |
+------+-------------+------------------------------------+
+------+-------------+------------------------------------+ | ランク| キーワード| 記述| +------+-------------+------------------------------------+ | 0 | 未知| ユーザタイプ未知| | | | | | 1 | アプリケーション| アプリケーションユーザ| | | | | | 2 | OSデバイス| オペレーティングシステムかデバイスユーザ| +------+-------------+------------------------------------+
4.2.7.3.1. The UserId Class
4.2.7.3.1. ユーザIDのクラス
The UserId class provides specific information about a user. More than one UserId can be used within the User class to indicate attempts to transition from one user to another, or to provide complete information about a user's (or process') privileges.
UserIdのクラスはユーザに関する特殊情報を提供します。 1人のユーザから別のユーザまでの変遷に試みを示すか、またはユーザ(または、過程のもの)の特権の完全な情報を提供するのにUserのクラスの中で1UserIdを使用できます。
The UserId class is composed of two aggregate classes, as shown in Figure 17.
UserIdのクラスは図17に示されるように2つの集約クラスで構成されます。
+--------------+
| UserId |
+--------------+ 0..1 +--------+
| STRING ident |<>----------| name |
| ENUM type | +--------+
| STRING tty | 0..1 +--------+
| |<>----------| number |
| | +--------+
+--------------+
+--------------+ | ユーザID| +--------------+ 0..1 +--------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| 名前| | ENUMはタイプします。| +--------+ | STRING tty| 0..1 +--------+ | | <>、-、-、-、-、-、-、-、-、--、| 数| | | +--------+ +--------------+
Figure 17: The UserId Class
図17: ユーザIDのクラス
Debar, et al. Experimental [Page 56] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[56ページ]RFC4765IDMEF行進
The aggregate classes that make up UserId are:
UserIdを作る集約クラスは以下の通りです。
name
名前
Zero or one. STRING. A user or group name.
ゼロか1。 結びます。 ユーザかグループ名。
number
数
Zero or one. INTEGER. A user or group number.
ゼロか1。 整数。 ユーザかグループ番号。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.idtype "
( current-user | original-user | target-user | user-privs |
current-group | group-privs | other-privs )
">
<!ENTITY%attvals.idtype、「(現在のユーザ| オリジナルのユーザ| 利用対象者| ユーザ-privs| 現在のグループ| グループ-privs| 他のprivs)">"
<!ELEMENT UserId (
(name, number?) | (number, name?)
)>
<!ATTLIST UserId
ident CDATA '0'
type %attvals.idtype; 'original-user'
tty CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT UserId((名前、数?)| (数、名前?))><!ATTLIST UserId ident CDATA'0'は%attvals.idtypeをタイプします。 'オリジナルのユーザ'tty CDATA#IMPLIED%attlist.global。 >。
The UserId class has three attributes:
UserIdのクラスには、3つの属性があります:
ident
ident
Optional. A unique identifier for the user id, see Section 3.2.9.
任意。 ユニークな識別子、ユーザイドに関しては、.9にセクション3.2を見てください。
type
タイプ
Optional. The type of user information represented. The
permitted values for this attribute are shown below. The default
value is "original-user". (See also Section 10.)
任意。 情報が代理をしたユーザのタイプ。 この属性のための受入れられた値は以下に示されます。 デフォルト値は「オリジナルのユーザ。」です。 (また、セクション10を見てください。)
Debar, et al. Experimental [Page 57] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[57ページ]RFC4765IDMEF行進
+------+---------------+--------------------------------------------+ | Rank | Keyword | Description | +------+---------------+--------------------------------------------+ | 0 | current-user | The current user id being used by the user | | | | or process. On Unix systems, this would | | | | be the "real" user id, in general. | | | | | | 1 | original-user | The actual identity of the user or process | | | | being reported on. On those systems that | | | | (a) do some type of auditing and (b) | | | | support extracting a user id from the | | | | "audit id" token, that value should be | | | | used. On those systems that do not | | | | support this, and where the user has | | | | logged into the system, the "login id" | | | | should be used. | | | | | | 2 | target-user | The user id the user or process is | | | | attempting to become. This would apply, | | | | on Unix systems for example, when the user | | | | attempts to use "su", "rlogin", "telnet", | | | | etc. | | | | | | 3 | user-privs | Another user id the user or process has | | | | the ability to use, or a user id | | | | associated with a file permission. On | | | | Unix systems, this would be the | | | | "effective" user id in a user or process | | | | context, and the owner permissions in a | | | | file context. Multiple UserId elements of | | | | this type may be used to specify a list of | | | | privileges. | | | | | | 4 | current-group | The current group id (if applicable) being | | | | used by the user or process. On Unix | | | | systems, this would be the "real" group | | | | id, in general. | | | | | | 5 | group-privs | Another group id the group or process has | | | | the ability to use, or a group id | | | | associated with a file permission. On | | | | Unix systems, this would be the | | | | "effective" group id in a group or process | | | | context, and the group permissions in a | | | | file context. On BSD-derived Unix | | | | systems, multiple UserId elements of this | | | | type would be used to include all the | | | | group ids on the "group list". |
+------+---------------+--------------------------------------------+ | ランク| キーワード| 記述| +------+---------------+--------------------------------------------+ | 0 | 現在のユーザ| ユーザによって使用される現在のユーザイド| | | | または、処理してください。 Unixシステムに関して、これはそうするでしょう。| | | | 一般に、「本当」のユーザイドになってください。 | | | | | | 1 | オリジナルのユーザ| ユーザかプロセスの実際のアイデンティティ| | | | オンであると報告されること。 それらのシステム、それ| | | | (a) タイプの監査と(b)をしてください。| | | | ユーザイドを抽出にサポートします。| | | | 「監査イド」トークン、その値はそうであるべきです。| | | | 使用にされる。 そうしないそれらのシステムに関して| | | | サポート、ユーザが持っているこれ、およびどこ| | | | システム、「ログインイド」に登録されます。| | | | 使用されるべきです。 | | | | | | 2 | 利用対象者| ユーザイド、ユーザかプロセスがそうです。| | | | なるのを試みます。 これは適用されるでしょう。| | | | 例えば、Unixシステムユーザです。| | | | "su"、"rlogin"「telnet」を使用する試み| | | | など | | | | | | 3 | ユーザ-privs| ユーザかプロセスにはある別のユーザイド| | | | 使用する能力、またはユーザイド| | | | ファイル許可に関連しています。 オン| | | | unixシステムであり、これはそうでしょう。| | | | ユーザかプロセスの「有効な」ユーザイド| | | | 文脈、およびaでの所有者許容| | | | 文脈をファイルしてください。 複数のUserId要素| | | | このタイプはリストを指定するのにおいて使用されているかもしれません。| | | | 特権。 | | | | | | 4 | 現在のグループ| 現在のグループイド(適切であるなら)存在| | | | ユーザかプロセスで、使用されます。 unixに関して| | | | システムであり、これは「本当」のグループでしょう。| | | | 一般にイド。 | | | | | | 5 | グループ-privs| グループかプロセスにはある別のグループイド| | | | 使用する能力、またはグループイド| | | | ファイル許可に関連しています。 オン| | | | unixシステムであり、これはそうでしょう。| | | | グループかプロセスの「有効な」グループイド| | | | 文脈、およびaでのグループ許容| | | | 文脈をファイルしてください。 BSDによって派生させられたunixに関して| | | | システム、この複数のUserId要素| | | | タイプは、すべてを含むのに使用されるでしょう。| | | | 「グループリスト」でイドを分類してください。 |
Debar, et al. Experimental [Page 58] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[58ページ]RFC4765IDMEF行進
| 6 | other-privs | Not used in a user, group, or process | | | | context, only used in the file context. | | | | The file permissions assigned to users who | | | | do not match either the user or group | | | | permissions on the file. On Unix systems, | | | | this would be the "world" permissions. | +------+---------------+--------------------------------------------+
| 6 | 他のprivs| ユーザ、グループ、またはプロセスでは、使用されません。| | | | ファイル文脈で使用されるだけである文脈。 | | | | ファイル許容はユーザにだれを選任したか。| | | | ユーザかグループを合わせないでください。| | | | ファイルにおける許容。 Unixシステムに関して| | | | これは「世界」許容でしょう。 | +------+---------------+--------------------------------------------+
tty
tty
Optional. STRING. The tty the user is using.
任意。 結びます。 ユーザが使用しているtty。
4.2.7.4. The Process Class
4.2.7.4. プロセスのクラス
The Process class is used to describe processes being executed on sources, targets, and analyzers.
Processのクラスは、ソース、目標、および分析器の上に実行されるプロセスについて説明するのに使用されます。
The Process class is composed of five aggregate classes, as shown in Figure 18.
Processのクラスは図18に示されるように5つの集約クラスで構成されます。
+--------------+
| Process |
+--------------+ +------+
| STRING ident |<>----------| name |
| | +------+
| | 0..1 +------+
| |<>----------| pid |
| | +------+
| | 0..1 +------+
| |<>----------| path |
| | +------+
| | 0..* +------+
| |<>----------| arg |
| | +------+
| | 0..* +------+
| |<>----------| env |
| | +------+
+--------------+
+--------------+ | プロセス| +--------------+ +------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| 名前| | | +------+ | | 0..1 +------+ | | <>、-、-、-、-、-、-、-、-、--、| pid| | | +------+ | | 0..1 +------+ | | <>、-、-、-、-、-、-、-、-、--、| 経路| | | +------+ | | 0..* +------+ | | <>、-、-、-、-、-、-、-、-、--、| arg| | | +------+ | | 0..* +------+ | | <>、-、-、-、-、-、-、-、-、--、| env| | | +------+ +--------------+
Figure 18: The Process Class
図18: プロセスのクラス
Debar, et al. Experimental [Page 59] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[59ページ]RFC4765IDMEF行進
The aggregate classes that make up Process are:
Processを作る集約クラスは以下の通りです。
name
名前
Exactly one. STRING. The name of the program being executed.
This is a short name; path and argument information are provided
elsewhere.
ちょうど1。 結びます。 実行されるプログラムの名前。 これは省略名です。 経路と議論情報をほかの場所に提供します。
pid
pid
Zero or one. INTEGER. The process identifier of the process.
ゼロか1。 整数。 プロセスに関するプロセス識別子。
path
経路
Zero or one. STRING. The full path of the program being
executed.
ゼロか1。 結びます。 実行されるプログラムのフルパス。
arg
arg
Zero or more. STRING. A command-line argument to the program.
Multiple arguments may be specified (they are assumed to have
occurred in the same order they are provided) with multiple uses
of arg.
ゼロか以上。 結びます。 プログラムへのコマンドライン議論。 複数の議論がargの複数の用途で指定されるかもしれません(提供される同次で起こったと思われます)。
env
env
Zero or more. STRING. An environment string associated with the
process; generally of the format "VARIABLE=value". Multiple
environment strings may be specified with multiple uses of env.
ゼロか以上。 結びます。 プロセスに関連している環境ストリング。 一般に、形式では、「変数は値と等しいです」。 複数の環境ストリングがenvの複数の用途で指定されるかもしれません。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Process (
name, pid?, path?, arg*, env*
)>
<!ATTLIST Process
ident CDATA '0'
%attlist.global;
>
<!ELEMENT Process、(名前、pid?、経路?、arg*、env*) ><!ATTLIST Process ident CDATA'0'%attlist.global。 >。
The Process class has one attribute:
Processのクラスには、1つの属性があります:
ident
ident
Optional. A unique identifier for the process; see Section 3.2.9.
任意。 プロセスのためのユニークな識別子。 セクション3.2.9を見てください。
Debar, et al. Experimental [Page 60] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[60ページ]RFC4765IDMEF行進
4.2.7.5. The Service Class
4.2.7.5. サービスのクラス
The Service class describes network services on sources and targets. It can identify services by name, port, and protocol. When Service occurs as an aggregate class of Source, it is understood that the service is one from which activity of interest is originating; and that the service is "attached" to the Node, Process, and User information also contained in Source. Likewise, when Service occurs as an aggregate class of Target, it is understood that the service is one to which activity of interest is being directed; and that the service is "attached" to the Node, Process, and User information also contained in Target. If Service occurs in both Source and Target, then information in both locations should be the same. If information is the same in both locations and implementers wish to carry it in only one location, they should specify it as an aggregate of the Target class.
Serviceのクラスはソースと目標の上でネットワーク・サービスについて説明します。 それは名前、ポート、およびプロトコルでサービスを特定できます。 ServiceがSourceの集約クラスとして起こるとき、サービスが興味がある活動が起因しているものであることが理解されています。 そして、サービスはまた情報がSourceに含んだNode、Process、およびUserに「付けられています」。 ServiceがTargetの集約クラスとして起こるとき、同様に、サービスが興味がある活動が向けられているものであることが理解されています。 そして、サービスはまた情報がTargetに含んだNode、Process、およびUserに「付けられています」。 ServiceがSourceとTargetの両方に起こるなら、両方の位置の情報は同じであるべきです。 情報が両方の位置で同じであり、implementersが1つの位置だけでそれを運びたいなら、彼らはTargetのクラスの集合としてそれを指定するべきです。
The Service class is composed of four aggregate classes, as shown in Figure 19.
Serviceのクラスは図19に示されるように4つの集約クラスで構成されます。
+-----------------------------+
| Service |
+-----------------------------+ 0..1 +----------+
| STRING ident |<>----------| name |
| INTEGER ip_version | +----------+
| INTEGER iana_protocol_number| 0..1 +----------+
| STRING iana_protocol_name |<>----------| port |
| | +----------+
| | 0..1 +----------+
| |<>----------| portlist |
| | +----------+
| | 0..1 +----------+
| |<>----------| protocol |
| | +----------+
+-----------------------------+
/_\
|
+---------+--------+
| |
+-------------+ +-------------+
| SNMPService | | WebService |
+-------------+ +-------------+
+-----------------------------+ | サービス| +-----------------------------+ 0..1 +----------+ | STRING ident| <>、-、-、-、-、-、-、-、-、--、| 名前| | INTEGER ip_バージョン| +----------+ | INTEGER iana_プロトコル_番号| 0..1 +----------+ | STRING iana_プロトコル_名| <>、-、-、-、-、-、-、-、-、--、| ポート| | | +----------+ | | 0..1 +----------+ | | <>、-、-、-、-、-、-、-、-、--、| 「恰幅のい-者」| | | +----------+ | | 0..1 +----------+ | | <>、-、-、-、-、-、-、-、-、--、| プロトコル| | | +----------+ +-----------------------------+ /_\ | +---------+--------+ | | +-------------+ +-------------+ | SNMPService| | WebService| +-------------+ +-------------+
Figure 19: The Service Class
図19: サービスのクラス
Debar, et al. Experimental [Page 61] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[61ページ]RFC4765IDMEF行進
The aggregate classes that make up Service are:
Serviceを作る集約クラスは以下の通りです。
name
名前
Zero or one. STRING. The name of the service. Whenever
possible, the name from the IANA list of well-known ports SHOULD
be used.
ゼロか1。 結びます。 サービスの名前。 可能であることで、IANAからの名前がウェルノウンポートSHOULDについて記載するときはいつも、使用されてください。
port
ポート
Zero or one. INTEGER. The port number being used.
ゼロか1。 整数。 使用されるポートナンバー。
portlist
「恰幅のい-者」
Zero or one. PORTLIST. A list of port numbers being used; see
Section 3.2.8 for formatting rules. If a portlist is given, the
iana_protocol_number and iana_protocol_name MUST apply to all the
elements of the list.
ゼロか1。 PORTLIST使用されるポートナンバーのリスト。 形式規則に関してセクション3.2.8を見てください。 「恰幅のい-者」を与えるなら、iana_プロトコル_番号とiana_プロトコル_名はリストのすべての要素に適用されなければなりません。
protocol
プロトコル
Zero or one. STRING. Additional information about the protocol
being used. The intent of the protocol field is to carry
additional information related to the protocol being used when the
<Service> attributes iana_protocol_number or/and
iana_protocol_name are filed.
ゼロか1。 結びます。 使用されるプロトコルに関する追加情報。 プロトコル分野の意図は<Service>属性iana_プロトコル_番号か/とiana_プロトコル_名がファイルされるとき、使用されることでプロトコルに関連する追加情報を運ぶことです。
A Service MUST be specified as either (a) a name or a port or (b) a portlist. The protocol is optional in all cases, but no other combinations are permitted.
(a) 名前かポートか(b) 「恰幅のい-者」のどちらかとしてServiceを指定しなければなりません。 プロトコルはすべての場合で任意ですが、他の組み合わせは全く受入れられません。
Service is represented in the IDMEF DTD as follows:
サービスは以下のIDMEF DTDに表されます:
<!ELEMENT Service (
(((name, port?) | (port, name?)) | portlist), protocol?,
SNMPService?, WebService?
)>
<!ATTLIST Service
ident CDATA '0'
ip_version CDATA #IMPLIED
iana_protocol_number CDATA #IMPLIED
iana_protocol_name CDATA #IMPLIED
%attlist.global;
>
ELEMENT Service(名前、ポート?)| (名前)? | ポート、「恰幅のい-者」)が議定書の中で述べる<!--、SNMPService?、WebService)?><!ATTLIST Service ident CDATA'0'ip_バージョンCDATA#IMPLIED iana_プロトコル_番号CDATA#IMPLIED iana_は_名前CDATA#IMPLIED%attlist.globalについて議定書の中で述べます。 >。
Debar, et al. Experimental [Page 62] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[62ページ]RFC4765IDMEF行進
The Service class has four attributes:
Serviceのクラスには、4つの属性があります:
ident
ident
Optional. A unique identifier for the service; see Section 3.2.9.
任意。 サービスのためのユニークな識別子。 セクション3.2.9を見てください。
ip_version
ip_バージョン
Optional. INTEGER. The IP version number.
任意。 整数。 IPバージョン番号。
iana_protocol_number
iana_プロトコル_番号
Optional. INTEGER. The IANA protocol number.
任意。 整数。 IANAは数について議定書の中で述べます。
iana_protocol_name
iana_プロトコル_名
Optional. STRING. The IANA protocol name.
任意。 結びます。 IANAは名前について議定書の中で述べます。
4.2.7.5.1. The WebService Class
4.2.7.5.1. WebServiceのクラス
The WebService class carries additional information related to web traffic.
WebServiceのクラスはウェブ・トラフィックに関連する追加情報を運びます。
The WebService class is composed of four aggregate classes, as shown in Figure 20.
WebServiceのクラスは図20に示されるように4つの集約クラスで構成されます。
+-------------+
| Service |
+-------------+
/_\
|
+-------------+
| WebService |
+-------------+ +-------------+
| |<>----------| url |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| cgi |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| http-method |
| | +-------------+
| | 0..* +-------------+
| |<>----------| arg |
| | +-------------+
+-------------+
+-------------+ | サービス| +-------------+ /_\ | +-------------+ | WebService| +-------------+ +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| url| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| 管路気中送電| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| http-メソッド| | | +-------------+ | | 0..* +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| arg| | | +-------------+ +-------------+
Figure 20: The WebService Class
図20: WebServiceのクラス
Debar, et al. Experimental [Page 63] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[63ページ]RFC4765IDMEF行進
The aggregate classes that make up WebService are:
WebServiceを作る集約クラスは以下の通りです。
url
url
Exactly one. STRING. The URL in the request.
ちょうど1。 結びます。 要求におけるURL。
cgi
管路気中送電
Zero or one. STRING. The CGI script in the request, without
arguments.
ゼロか1。 結びます。 議論のない要求におけるCGIスクリプト。
http-method
http-メソッド
Zero or one. STRING. The HTTP method (PUT, GET) used in the
request.
ゼロか1。 結びます。 要求で使用されるHTTPメソッド(PUT、GET)。
arg
arg
Zero or more. STRING. The arguments to the CGI script.
ゼロか以上。 結びます。 CGIスクリプトへの議論。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT WebService (
url, cgi?, http-method?, arg*
)>
<!ATTLIST WebService
%attlist.global;
>
<!ELEMENT WebService、(url、管路気中送電--httpメソッドであるか、arg*) ><!ATTLIST WebService%attlist.global。 >。
4.2.7.5.2. The SNMPService Class
4.2.7.5.2. SNMPServiceのクラス
The SNMPService class carries additional information related to SNMP traffic. The aggregate classes composing SNMPService must be interpreted as described in RFC 3411 [15] and RFC 3584 [16].
SNMPServiceのクラスはSNMPトラフィックに関連する追加情報を運びます。 RFC3411[15]とRFC3584[16]で説明されるようにSNMPServiceを構成する集約クラスを解釈しなければなりません。
The SNMPService class is composed of eight aggregate classes, as shown in Figure 21.
SNMPServiceのクラスは図21に示されるように8つの集約クラスで構成されます。
Debar, et al. Experimental [Page 64] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[64ページ]RFC4765IDMEF行進
+-------------+
| Service |
+-------------+
/_\
|
+-------------+
| SNMPService |
+-------------+ 0..1 +----------------------+
| |<>----------| oid |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------|messageProcessingModel|
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| securityModel |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| securityName |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| securityLevel |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| contextName |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| contextEngineID |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| command |
| | +----------------------+
+-------------+
+-------------+ | サービス| +-------------+ /_\ | +-------------+ | SNMPService| +-------------+ 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、| oid| | | +----------------------+ | | 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、|messageProcessingModel| | | +----------------------+ | | 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、| securityModel| | | +----------------------+ | | 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、| securityName| | | +----------------------+ | | 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、| securityLevel| | | +----------------------+ | | 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、| contextName| | | +----------------------+ | | 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、| contextEngineID| | | +----------------------+ | | 0..1 +----------------------+ | | <>、-、-、-、-、-、-、-、-、--、| コマンド| | | +----------------------+ +-------------+
Figure 21: The SNMPService Class
図21: SNMPServiceのクラス
The aggregate classes that make up SNMPService are:
SNMPServiceを作る集約クラスは以下の通りです。
oid
oid
Zero or one. STRING. The object identifier in the request.
ゼロか1。 結びます。 要求におけるオブジェクト識別子。
messageProcessingModel
messageProcessingModel
Zero or one. INTEGER. The SNMP version, typically 0 for SNMPv1,
1 for SNMPv2c, 2 for SNMPv2u and SNMPv2*, and 3 for SNMPv3; see
RFC 3411 [15] Section 5 for appropriate values.
ゼロか1。 整数。 SNMPバージョン、SNMPv1のための通常0、SNMPv2cのための1、SNMPv2uとSNMPv2*のための2、およびSNMPv3のための3。 適切な値に関してRFC3411[15]部5を見てください。
Debar, et al. Experimental [Page 65] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[65ページ]RFC4765IDMEF行進
securityModel
securityModel
Zero or one. INTEGER. The identification of the security model
in use, typically 0 for any, 1 for SNMPv1, 2 for SNMPv2c, and 3
for USM; see RFC 3411 [15] Section 5 for appropriate values.
ゼロか1。 整数。 使用中の機密保護モデルの識別、いずれのための通常0、SNMPv1のための1、SNMPv2cのための2、およびUSMのための3。 適切な値に関してRFC3411[15]部5を見てください。
securityName
securityName
Zero or one. STRING. The object's security name; see RFC 3411
[15] Section 3.2.2.
ゼロか1。 結びます。 オブジェクトのセキュリティ名。 RFC3411[15]部3.2の.2を見てください。
securityLevel
securityLevel
Zero or one. INTEGER. The security level of the SNMP request;
see RFC 3411 [15] Section 3.4.3.
ゼロか1。 整数。 SNMP要求のセキュリティー・レベル。 RFC3411[15]部3.4の.3を見てください。
contextName
contextName
Zero or one. STRING. The object's context name; see RFC 3411
[15] Section 3.3.3.
ゼロか1。 結びます。 オブジェクトの文脈名。 RFC3411[15]部3.3の.3を見てください。
contextEngineID
contextEngineID
Zero or one. STRING. The object's context engine identifier; see
RFC 3411 [15] Section 3.3.2.
ゼロか1。 結びます。 オブジェクトの文脈エンジン識別子。 RFC3411[15]部3.3の.2を見てください。
command
コマンド
Zero or one. STRING. The command sent to the SNMP server (GET,
SET, etc.).
ゼロか1。 結びます。 コマンドはSNMPサーバ(GET、SETなど)に発信しました。
If other fields of an SNMP message are available and should be incorporated in the IDMEF alert, they must be located in the additionaldata structure with the meaning being an object definition defined in RFC 3411 [15] Section 5 and the value located within the additionaldata payload.
他なら、SNMPメッセージの分野が利用可能であり、IDMEF警戒で組み込むべきである、それらはRFC3411[15]部5で定義されたオブジェクト定義である意味と値がadditionaldataペイロードの中に位置しているadditionaldata構造に位置しなければなりません。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT SNMPService (
oid?, messageProcessingModel?, securityModel?, securityName?,
securityLevel?, contextName?, contextEngineID?, command?
)>
<!ATTLIST SNMPService
%attlist.global;
>
<!ELEMENT SNMPService(oid(messageProcessingModel(securityModel?、securityName?、securityLevel?、contextName?、contextEngineID?)?は命令します))><!ATTLIST SNMPService%attlist.global。 >。
Debar, et al. Experimental [Page 66] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[66ページ]RFC4765IDMEF行進
4.2.7.6. The File Class
4.2.7.6. ファイルのクラス
The File class provides specific information about a file or other file-like object that has been created, deleted, or modified on the target. The description can provide either the file settings prior to the event or the file settings at the time of the event, as specified using the "category" attribute.
Fileのクラスは目標で作成されるか、削除されるか、または変更されたファイルか他のファイルのようなオブジェクトに関する特殊情報を提供します。 記述はイベント時点でイベントかファイル設定の前でファイル設定を提供できます、「カテゴリ」属性を使用することで指定されるように。
The File class is composed of eleven aggregate classes, as shown in
Figure 22.
+--------------+
| File |
+--------------+ +-------------+
| |<>----------| name |
| | +-------------+
| | +-------------+
| |<>----------| path |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| create-time |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| modify-time |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| access-time |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| data-size |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| disk-size |
| | +-------------+
| | 0..* +-------------+
| |<>----------| FileAccess |
| | +-------------+
| | 0..* +-------------+
| |<>----------| Linkage |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| Inode |
| | +-------------+
| | 0..* +-------------+
| |<>----------| Checksum |
| | +-------------+
+--------------+
Fileのクラスは図22に示されるように11の集約クラスで構成されます。 +--------------+ | ファイル| +--------------+ +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| 名前| | | +-------------+ | | +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| 経路| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| 時間を作成します。| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| 時間を変更します。| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| アクセスタイム| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| データサイズ| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| ディスクサイズ| | | +-------------+ | | 0..* +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| FileAccess| | | +-------------+ | | 0..* +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| リンケージ| | | +-------------+ | | 0..1 +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| iノード| | | +-------------+ | | 0..* +-------------+ | | <>、-、-、-、-、-、-、-、-、--、| チェックサム| | | +-------------+ +--------------+
Figure 22: The File Class
図22: ファイルのクラス
Debar, et al. Experimental [Page 67] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[67ページ]RFC4765IDMEF行進
The aggregate classes that make up File are:
Fileを作る集約クラスは以下の通りです。
name
名前
Exactly one. STRING. The name of the file to which the alert
applies, not including the path to the file.
ちょうど1。 結びます。 警戒がファイルに経路を含めるのではなく、適用されるファイルの名前。
path
経路
Exactly one. STRING. The full path to the file, including the
name. The path name should be represented in as "universal" a
manner as possible, to facilitate processing of the alert.
ちょうど1。 結びます。 名前を含むファイルへのフルパス。 パス名は、警戒の処理を容易にするためにできるだけ「普遍的な」方法で表されるべきです。
For Windows systems, the path should be specified using the
Universal Naming Convention (UNC) for remote files, and using a
drive letter for local files (e.g., "C:\boot.ini"). For Unix
systems, paths on network file systems should use the name of the
mounted resource instead of the local mount point (e.g.,
"fileserver:/usr/local/bin/foo"). The mount point can be provided
using the <Linkage> element.
Windowsシステムとして、経路は、リモートファイルに、汎用名前付け規則(UNC)を使用して、ローカルファイル(例えば、「C: \boot.ini」)にドライブ名を使用することで指定されるべきです。 Unixシステムのために、ネットワークファイルシステムの上の経路はローカルのマウントポイント(例えば、「fileserver: /usr/local/bin/foo」)の代わりに取り付けられたリソースの名前を使用するべきです。 <Linkage>要素を使用することでマウントポイントを提供できます。
create-time
時間を作成します。
Zero or one. DATETIME. Time the file was created. Note that
this is *not* the Unix "st_ctime" file attribute (which is not
file creation time). The Unix "st_ctime" attribute is contained
in the "Inode" class.
ゼロか1。 DATETIME。 ファイルが作成された時。 これが*ではなく、*であることに注意してください、Unix、「_は」 ファイル属性(ファイル作成時間でない)を第ctimeします。 Unix、「_ctimeに、」 属性は「iノード」のクラスに第含まれています。
modify-time
時間を変更します。
Zero or one. DATETIME. Time the file was last modified.
ゼロか1。 DATETIME。 ファイルが最後に変更された時。
access-time
アクセスタイム
Zero or one. DATETIME. Time the file was last accessed.
ゼロか1。 DATETIME。 ファイルが最後にアクセスされた時。
data-size
データサイズ
Zero or one. INTEGER. The size of the data, in bytes. Typically
what is meant when referring to file size. On Unix UFS file
systems, this value corresponds to stat.st_size. On Windows NTFS,
this value corresponds to Valid Data Length (VDL).
ゼロか1。 整数。 バイトで表現されるデータのサイズ。 通常ファイルサイズについて言及すると意味されること。 Unix UFSファイルシステムの上では、この値はstat.st_サイズに対応しています。 Windows NTFSでは、この値はValid Data Length(VDL)に対応しています。
Debar, et al. Experimental [Page 68] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[68ページ]RFC4765IDMEF行進
disk-size
ディスクサイズ
Zero or one. INTEGER. The physical space on disk consumed by the
file, in bytes. On Unix UFS file systems, this value corresponds
to 512 * stat.st_blocks. On Windows NTFS, this value corresponds
to End of File (EOF).
ゼロか1。 整数。 ファイルによってバイトで消費されたディスクの上の物理的な空間。 Unix UFSファイルシステムの上では、この値は512*stat.st_ブロックに対応しています。 Windows NTFSでは、この値はFile(EOF)のEndに対応しています。
FileAccess
FileAccess
Zero or more. Access permissions on the file.
ゼロか以上。 ファイルの上で許容にアクセスしてください。
Linkage
リンケージ
Zero or more. File system objects to which this file is linked
(other references for the file).
ゼロか以上。 このファイルが繋がっているシステム対象物(ファイルの他の参照)をファイルしてください。
Inode
iノード
Zero or one. Inode information for this file (relevant to Unix).
ゼロか1。 このファイル(Unixに関連している)のためのiノード情報。
Checksum
チェックサム
Zero or more. Checksum information for this file.
ゼロか以上。 このファイルのためのチェックサム情報。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.filecat "
( current | original )
">
<!ENTITY%attvals.filecat、「(電流| オリジナル)">"
<!ELEMENT File (
name, path, create-time?, modify-time?, access-time?,
data-size?, disk-size?, FileAccess*, Linkage*, Inode?,
Checksum*
)>
<!ATTLIST File
ident CDATA '0'
category %attvals.filecat; #REQUIRED
fstype CDATA #IMPLIED
file-type CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT File、(名前、経路、時間を作成していて時間を変更しているアクセスタイム?、データサイズ?、ディスクサイズ?、FileAccess*、Linkage*、Inode?、Checksum*) ><!ATTLIST File ident CDATA'0'カテゴリ%attvals.filecat。 #REQUIRED fstype CDATA#IMPLIEDファイルの種類CDATA#IMPLIED%attlist.global。 >。
The File class has four attributes (one required and three optional):
Fileのクラスには、4つの属性があります(1つが必要であり、3は任意です):
ident
ident
Optional. A unique identifier for this file; see Section 3.2.9.
任意。 このファイルのためのユニークな識別子。 セクション3.2.9を見てください。
Debar, et al. Experimental [Page 69] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[69ページ]RFC4765IDMEF行進
category
カテゴリ
Required. The context for the information being provided. The
permitted values are shown below. There is no default value.
(See also Section 10.)
必要。 提供される情報のための文脈。 受入れられた値は以下に示されます。 デフォルト値が全くありません。 (また、セクション10を見てください。)
+------+----------+-------------------------------------------------+ | Rank | Keyword | Description | +------+----------+-------------------------------------------------+ | 0 | current | The file information is from after the reported | | | | change | | | | | | 1 | original | The file information is from before the | | | | reported change | +------+----------+-------------------------------------------------+
+------+----------+-------------------------------------------------+ | ランク| キーワード| 記述| +------+----------+-------------------------------------------------+ | 0 | 電流| 情報が報告の後に来ているファイル| | | | 変化| | | | | | 1 | オリジナル| ファイル情報は以前から来ています。| | | | 報告された変化| +------+----------+-------------------------------------------------+
fstype
fstype
Optional. The type of file system the file resides on. This
attribute governs how path names and other attributes are
interpreted.
任意。 ファイルが住んでいるファイル形式システム。 この属性はパス名と他の属性がどう解釈されるかを治めます。
+------+---------+-------------------------------------+
| Rank | Keyword | Description |
+------+---------+-------------------------------------+
| 0 | ufs | Berkeley Unix Fast File System |
| 1 | efs | Linux "efs" file system |
| 2 | nfs | Network File System |
| 3 | afs | Andrew File System |
| 4 | ntfs | Windows NT File System |
| 5 | fat16 | 16-bit Windows FAT File System |
| 6 | fat32 | 32-bit Windows FAT File System |
| 7 | pcfs | "PC" (MS-DOS) file system on CD-ROM |
| 8 | joliet | Joliet CD-ROM file system |
| 9 | iso9660 | ISO 9660 CD-ROM file system |
+------+---------+-------------------------------------+
+------+---------+-------------------------------------+ | ランク| キーワード| 記述| +------+---------+-------------------------------------+ | 0 | ufs| バークレーのunixの速いファイルシステム| | 1 | efs| リナックス"efs"ファイルシステム| | 2 | nfs| ネットワークファイルシステム| | 3 | afs| アンドリューファイルシステム| | 4 | ntfs| Windows NTファイルシステム| | 5 | fat16| 16ビットのWindows厚いファイルシステム| | 6 | fat32| 32ビットのWindows厚いファイルシステム| | 7 | pcfs| CD-ROMの上の「PC」(MS-DOS)ファイルシステム| | 8 | joliet| ジョーリエットCD-ROMファイルシステム| | 9 | iso9660| ISO9660CD-ROMファイルシステム| +------+---------+-------------------------------------+
file-type
ファイルの種類
Optional. The type of file, as a mime-type.
任意。 パントマイムタイプとしてのファイル形式。
Debar, et al. Experimental [Page 70] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[70ページ]RFC4765IDMEF行進
4.2.7.6.1. The FileAccess Class
4.2.7.6.1. FileAccessのクラス
The FileAccess class represents the access permissions on a file. The representation is intended to be useful across operating systems.
FileAccessのクラスはファイルの上にアクセス許容を表します。 表現がオペレーティングシステムの向こう側に役に立つことを意図します。
The FileAccess class is composed of two aggregate classes, as shown in Figure 23.
FileAccessのクラスは図23に示されるように2つの集約クラスで構成されます。
+--------------+
| FileAccess |
+--------------+ +------------+
| |<>----------| UserId |
| | +------------+
| | 1..* +------------+
| |<>----------| Permission |
| | +------------+
+--------------+
+--------------+ | FileAccess| +--------------+ +------------+ | | <>、-、-、-、-、-、-、-、-、--、| ユーザID| | | +------------+ | | 1..* +------------+ | | <>、-、-、-、-、-、-、-、-、--、| 許可| | | +------------+ +--------------+
Figure 23: The FileAccess Class
図23: FileAccessのクラス
The aggregate classes that make up FileAccess are:
FileAccessを作る集約クラスは以下の通りです。
UserId
ユーザID
Exactly one. The user (or group) to which these permissions
apply. The value of the "type" attribute must be "user-privs",
"group-privs", or "other-privs" as appropriate. Other values for
"type" MUST NOT be used in this context.
ちょうど1。 これらの許容が適用されるユーザ(分類してください)。 「タイプ」属性の値は、適宜「ユーザ-privs」、「グループ-privs」、または「他のprivs」でなければなりません。 このような関係においては「タイプ」のための他の値を使用してはいけません。
Debar, et al. Experimental [Page 71] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[71ページ]RFC4765IDMEF行進
Permission
許可
One or more. ENUM. Level of access allowed. The permitted
values are shown below. There is no default value. (See also
Section 10.)
1以上。 ENUM。 許容されたアクセスのレベル。 受入れられた値は以下に示されます。 デフォルト値が全くありません。 (また、セクション10を見てください。)
+------+-------------------+----------------------------------------+ | Rank | Keyword | Description | +------+-------------------+----------------------------------------+ | 0 | noAccess | No access at all is allowed for this | | | | user | | | | | | 1 | read | This user has read access to the file | | | | | | 2 | write | This user has write access to the file | | | | | | 3 | execute | This user has the ability to execute | | | | the file | | | | | | 4 | search | This user has the ability to search | | | | this file (applies to "execute" | | | | permission on directories in Unix) | | | | | | 5 | delete | This user has the ability to delete | | | | this file | | | | | | 6 | executeAs | This user has the ability to execute | | | | this file as another user | | | | | | 7 | changePermissions | This user has the ability to change | | | | the access permissions on this file | | | | | | 8 | takeOwnership | This user has the ability to take | | | | ownership of this file | +------+-------------------+----------------------------------------+
+------+-------------------+----------------------------------------+ | ランク| キーワード| 記述| +------+-------------------+----------------------------------------+ | 0 | noAccess| 全くいいえアクセスはこれのために許されています。| | | | ユーザ| | | | | | 1 | 読んでください。| このユーザはファイルへのアクセスを読みました。| | | | | | 2 | 書いてください。| このユーザはファイルへのアクセスを書かせます。| | | | | | 3 | 実行します。| このユーザには、実行する能力があります。| | | | ファイル| | | | | | 4 | 検索| このユーザには、探す能力があります。| | | | このファイル(Unixのディレクトリで| | | | 許可を「実行すること」に申し込みます)| | | | | | 5 | 削除します。| このユーザには、削除する能力があります。| | | | このファイル| | | | | | 6 | executeAs| このユーザには、実行する能力があります。| | | | 別のユーザとしてのこのファイル| | | | | | 7 | changePermissions| このユーザには、変化する能力があります。| | | | このファイルにおけるアクセス許容| | | | | | 8 | takeOwnership| このユーザには、取る能力があります。| | | | このファイルの所有権| +------+-------------------+----------------------------------------+
The "changePermissions" and "takeOwnership" strings represent those concepts in Windows. On Unix, the owner of the file always has "changePermissions" access, even if no other access is allowed for that user. "Full Control" in Windows is represented by enumerating the permissions it contains. The "executeAs" string represents the set-user-id and set-group-id features in Unix.
「changePermissions」と"takeOwnership"ストリングはWindowsにおけるそれらの概念を表します。 Unixでは、ファイルの所有者はいつも「changePermissions」アクセスを持っています、他のアクセスが全くそのユーザのために許されないでも。 Windowsにおける「完全なControl」は、それが含む許容を列挙することによって、表されます。 「executeAs」ストリングはUnixにセットユーザIDとセットグループイド機能を表します。
Debar, et al. Experimental [Page 72] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[72ページ]RFC4765IDMEF行進
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Permission EMPTY >
<!ATTLIST Permission
perms %attvals.fileperm; #REQUIRED
%attlist.global;
>
<!ELEMENT Permission EMPTY><!ATTLIST Permissionは%attvals.filepermにパーマをかけます。 #%attlist.globalが必要でした。 >。
<!ENTITY % attvals.fileperm "( noAccess | read | write | execute |
search | delete | executeAs | changePermissions |
takeOwnership)" >
<!ENTITY%「(noAccess| 読んでください| 書いてください| 探してください| |実行してください、そして、| executeAs|changePermissions|takeOwnershipを削除してください)」というattvals.fileperm>。
4.2.7.6.2. The Linkage Class
4.2.7.6.2. リンケージのクラス
The Linkage class represents file system connections between the file described in the <File> element and other objects in the file system. For example, if the <File> element is a symbolic link or shortcut, then the <Linkage> element should contain the name of the object the link points to. Further information can be provided about the object in the <Linkage> element with another <File> element, if appropriate.
Linkageのクラスは<File>要素で説明されたファイルとファイルシステムの他のオブジェクトとのファイルシステム接続の代理をします。 例えば、<File>要素がシンボリックリンクか近道であるなら、<Linkage>要素はリンクが示すオブジェクトの名前を含むはずです。 詳細は、別の<File>要素でオブジェクトに関して<Linkage>要素に供給していて、適切である場合があります。
The Linkage class is composed of three aggregate classes, as shown in Figure 24.
Linkageのクラスは図24に示されるように3つの集約クラスで構成されます。
+--------------+
| Linkage |
+--------------+ +------+
| |<>----------| name |
| | +------+
| | +------+
| |<>----------| path |
| | +------+
| | +------+
| |<>----------| File |
| | +------+
+--------------+
+--------------+ | リンケージ| +--------------+ +------+ | | <>、-、-、-、-、-、-、-、-、--、| 名前| | | +------+ | | +------+ | | <>、-、-、-、-、-、-、-、-、--、| 経路| | | +------+ | | +------+ | | <>、-、-、-、-、-、-、-、-、--、| ファイル| | | +------+ +--------------+
Figure 24: The Linkage Class
図24: リンケージのクラス
The aggregate classes that make up Linkage are:
Linkageを作る集約クラスは以下の通りです。
name
名前
Exactly one. STRING. The name of the file system object, not
including the path.
ちょうど1。 結びます。 経路を含まないファイルシステム対象物の名前。
Debar, et al. Experimental [Page 73] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[73ページ]RFC4765IDMEF行進
path
経路
Exactly one. STRING. The full path to the file system object,
including the name. The path name should be represented in as
"universal" a manner as possible, to facilitate processing of the
alert.
ちょうど1。 結びます。 名前を含むファイルシステム対象物へのフルパス。 パス名は、警戒の処理を容易にするためにできるだけ「普遍的な」方法で表されるべきです。
File
ファイル
Exactly one. A <File> element may be used in place of the <name>
and <path> elements if additional information about the file is to
be included.
ちょうど1。 <File>要素はファイルに関する追加情報が含まれることであるなら<名前>と<経路>要素に代わって使用されるかもしれません。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.linkcat "
( hard-link | mount-point | reparse-point | shortcut | stream |
symbolic-link )
">
<!ENTITY%attvals.linkcat、「(ハードリンク| 取付け位置| reparse-ポイント| 近道|ストリーム|シンボリックリンク)">"
<!ELEMENT Linkage (
(name, path) | File
)>
<!ATTLIST Linkage
category %attvals.linkcat; #REQUIRED
%attlist.global;
>
<!ELEMENT Linkage(名前、経路)| ファイル) ><!ATTLIST Linkageカテゴリ%attvals.linkcat。 #%attlist.globalが必要でした。 >。
Debar, et al. Experimental [Page 74] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[74ページ]RFC4765IDMEF行進
The Linkage class has one attribute:
Linkageのクラスには、1つの属性があります:
category
カテゴリ
The type of object that the link describes. The permitted values
are shown below. There is no default value. (See also
Section 10.)
リンクが説明するオブジェクトのタイプ。 受入れられた値は以下に示されます。 デフォルト値が全くありません。 (また、セクション10を見てください。)
+------+---------------+--------------------------------------------+ | Rank | Keyword | Description | +------+---------------+--------------------------------------------+ | 0 | hard-link | The <name> element represents another name | | | | for this file. This information may be | | | | more easily obtainable on NTFS file | | | | systems than others. | | | | | | 1 | mount-point | An alias for the directory specified by | | | | the parent's <name> and <path> elements. | | | | | | 2 | reparse-point | Applies only to Windows; excludes symbolic | | | | links and mount points, which are specific | | | | types of reparse points. | | | | | | 3 | shortcut | The file represented by a Windows | | | | "shortcut". A shortcut is distinguished | | | | from a symbolic link because of the | | | | difference in their contents, which may be | | | | of importance to the manager. | | | | | | 4 | stream | An Alternate Data Stream (ADS) in Windows; | | | | a fork on MacOS. Separate file system | | | | entity that is considered an extension of | | | | the main <File>. | | 5 | symbolic-link | The <name> element represents the file to | | | | which the link points. | +------+---------------+--------------------------------------------+
+------+---------------+--------------------------------------------+ | ランク| キーワード| 記述| +------+---------------+--------------------------------------------+ | 0 | ハードリンク| <名前>要素は別の名前を表します。| | | | これに関しては、ファイルしてください。 この情報はそうです。| | | | NTFSファイルで容易に入手可能です。| | | | システム、他のものより。 | | | | | | 1 | 取付け位置| 指定されたディレクトリのための別名| | | | 親の<名の>と<経路>要素。 | | | | | | 2 | reparse-ポイント| Windowsだけに適用します。 除外、シンボリック| | | | リンクとマウントポイント。(そのポイントは特定です)。| | | | reparseのタイプは指します。 | | | | | | 3 | 近道| Windowsによって表されたファイル| | | | 「近道。」 近道は顕著です。| | | | シンボリックリンク| | | | 違い、それらのコンテンツには、どれがあるかもしれないか。| | | | マネージャへの重要性について。 | | | | | | 4 | ストリーム| Windowsにおける代替のデータ・ストリーム(広告)。 | | | | MacOSの上のフォーク。 別々のファイルシステム| | | | 拡大であると考えられる実体| | | | 主な<File>。 | | 5 | シンボリックリンク| >要素がファイルを表す<名| | | | リンクは指します。 | +------+---------------+--------------------------------------------+
Debar, et al. Experimental [Page 75] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[75ページ]RFC4765IDMEF行進
4.2.7.6.3. The Inode Class
4.2.7.6.3. iノードのクラス
The Inode class is used to represent the additional information contained in a Unix file system i-node.
Inodeのクラスは、Unixファイルシステムi-ノードに含まれた追加情報を表すのに使用されます。
The Inode class is composed of six aggregate classes, as shown in Figure 25.
Inodeのクラスは図25に示されるように6つの集約クラスで構成されます。
+--------------+
| Inode |
+--------------+ +----------------+
| |<>----------| change-time |
| | +----------------+
| | +----------------+
| |<>----------| number |
| | +----------------+
| | +----------------+
| |<>----------| major-device |
| | +----------------+
| | +----------------+
| |<>----------| minor-device |
| | +----------------+
| | +----------------+
| |<>----------| c-major-device |
| | +----------------+
| | +----------------+
| |<>----------| c-minor-device |
| | +----------------+
+--------------+
+--------------+ | iノード| +--------------+ +----------------+ | | <>、-、-、-、-、-、-、-、-、--、| 変化時間| | | +----------------+ | | +----------------+ | | <>、-、-、-、-、-、-、-、-、--、| 数| | | +----------------+ | | +----------------+ | | <>、-、-、-、-、-、-、-、-、--、| 主要なデバイス| | | +----------------+ | | +----------------+ | | <>、-、-、-、-、-、-、-、-、--、| 小さい方のデバイス| | | +----------------+ | | +----------------+ | | <>、-、-、-、-、-、-、-、-、--、| c主要なデバイス| | | +----------------+ | | +----------------+ | | <>、-、-、-、-、-、-、-、-、--、| c小さい方のデバイス| | | +----------------+ +--------------+
Figure 25: The Inode Class
図25: iノードのクラス
The aggregate classes that make up Inode are:
Inodeを作る集約クラスは以下の通りです。
change-time
変化時間
Zero or one. DATETIME. The time of the last inode change, given
by the st_ctime element of "struct stat".
ゼロか1。 DATETIME。 与えられた最後のiノード変化の時間、_「structスタット」のctime第要素。
number
数
Zero or one. INTEGER. The inode number.
ゼロか1。 整数。 iノード番号。
major-device
主要なデバイス
Zero or one. INTEGER. The major device number of the device the
file resides on.
ゼロか1。 整数。 ファイルが住んでいるデバイスの主要な装置番号。
Debar, et al. Experimental [Page 76] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[76ページ]RFC4765IDMEF行進
minor-device
小さい方のデバイス
Zero or one. INTEGER. The minor device number of the device the
file resides on.
ゼロか1。 整数。 ファイルが住んでいるデバイスの小さい方の装置番号。
c-major-device
c主要なデバイス
Zero or one. INTEGER. The major device of the file itself, if it
is a character special device.
ゼロか1。 整数。 ファイル自体の主要なデバイスそれがキャラクタの特別なデバイスであるなら。
c-minor-device
c小さい方のデバイス
Zero or one. INTEGER. The minor device of the file itself, if it
is a character special device.
ゼロか1。 整数。 ファイル自体の小さい方のデバイスそれがキャラクタの特別なデバイスであるなら。
Note that <number>, <major-device>, and <minor-device> must be given together, and the <c-major-device> and <c-minor-device> must be given together.
<番号>、<の主要なデバイスの>、および<の小さい方のデバイスの>を一緒に与えなければならなくて、<c主要にデバイスの>と<c小さい方のデバイス>を一緒に与えなければならないことに注意してください。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ELEMENT Inode (
change-time?, (number, major-device, minor-device)?,
(c-major-device, c-minor-device)?
)>
<!ATTLIST Inode
%attlist.global;
>
<!ELEMENT Inode、(変化で調節していて(数と、主要なデバイスと、小さい方のデバイス)である、(c主要なデバイス、c小さい方のデバイス)?><!ATTLIST iノード%attlist.global。 >。
Debar, et al. Experimental [Page 77] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[77ページ]RFC4765IDMEF行進
4.2.7.6.4. The Checksum Class
4.2.7.6.4. チェックサムのクラス
The Checksum class represents checksum information associated with the file. This checksum information can be provided by file integrity checkers, among others.
Checksumのクラスはファイルに関連しているチェックサム情報を表します。 特にファイル保全市松模様はこのチェックサム情報を提供できます。
The checksum class is composed of two aggregate classes, as shown in Figure 26.
チェックサムのクラスは図26に示されるように2つの集約クラスで構成されます。
+--------------+
| Checksum |
+--------------+ +-------+
| algorithm |<>----------| value |
| | +-------+
| | 0..1+-------+
| |<>----------| key |
| | +-------+
+--------------+
+--------------+ | チェックサム| +--------------+ +-------+ | アルゴリズム| <>、-、-、-、-、-、-、-、-、--、| 値| | | +-------+ | | 0..1+-------+ | | <>、-、-、-、-、-、-、-、-、--、| キー| | | +-------+ +--------------+
Figure 26: The Checksum Class
図26: チェックサムのクラス
The aggregate classes that make up Checksum are:
Checksumを作る集約クラスは以下の通りです。
value
値
Exactly one. STRING. The value of the checksum.
ちょうど1。 結びます。 チェックサムの値。
key
キー
Zero or one. STRING. The key to the checksum, if appropriate.
ゼロか1。 結びます。 チェックサムに主要であるのと、適切。
This is represented in the IDMEF DTD as follows:
これは以下のIDMEF DTDに表されます:
<!ENTITY % attvals.checksumalgos "
( MD4 | MD5 | SHA1 | SHA2-256 | SHA2-384 | SHA2-512 | CRC-32 |
Haval | Tiger | Gost )
">
<!ENTITY%attvals.checksumalgos、「(MD4|MD5|SHA1|SHA2-256|SHA2-384|SHA2-512|CRC-32|Haval|タイガー| Gost)">"
<!ELEMENT Checksum (
value, key?
)>
<!ATTLIST Checksum
algorithm %attvals.checksumalgos; #REQUIRED
%attlist.global;
>
<!ELEMENT Checksum(値、キー?)><!ATTLIST Checksumアルゴリズム%attvals.checksumalgos。 #%attlist.globalが必要でした。 >。
Debar, et al. Experimental [Page 78] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[78ページ]RFC4765IDMEF行進
The Checksum class has one attribute:
Checksumのクラスには、1つの属性があります:
algorithm
アルゴリズム
The cryptographic algorithm used for the computation of the
checksum. The permitted values are shown below. There is no
default value. (See also Section 10.)
チェックサムの計算に使用される暗号アルゴリズム。 受入れられた値は以下に示されます。 デフォルト値が全くありません。 (また、セクション10を見てください。)
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | MD4 | The MD4 algorithm. |
| | | |
| 1 | MD5 | The MD5 algorithm. |
| | | |
| 2 | SHA1 | The SHA1 algorithm. |
| | | |
| 3 | SHA2-256 | The SHA2 algorithm with 256 bits length. |
| | | |
| 4 | SHA2-384 | The SHA2 algorithm with 384 bits length. |
| | | |
| 5 | SHA2-512 | The SHA2 algorithm with 512 bits length. |
| | | |
| 6 | CRC-32 | The CRC algorithm with 32 bits length. |
| | | |
| 7 | Haval | The Haval algorithm. |
| | | |
| 8 | Tiger | The Tiger algorithm. |
| | | |
| 9 | Gost | The Gost algorithm. |
+------+----------+------------------------------------------+
+------+----------+------------------------------------------+ | ランク| キーワード| 記述| +------+----------+------------------------------------------+ | 0 | MD4| MD4アルゴリズム。 | | | | | | 1 | MD5| MD5アルゴリズム。 | | | | | | 2 | SHA1| SHA1アルゴリズム。 | | | | | | 3 | SHA2-256| 256ビットの長さがあるSHA2アルゴリズム。 | | | | | | 4 | SHA2-384| 384ビットの長さがあるSHA2アルゴリズム。 | | | | | | 5 | SHA2-512| 512ビットの長さがあるSHA2アルゴリズム。 | | | | | | 6 | CRC-32| 32ビットの長さがあるCRCアルゴリズム。 | | | | | | 7 | Haval| Havalアルゴリズム。 | | | | | | 8 | タイガー| タイガーアルゴリズム。 | | | | | | 9 | Gost| Gostアルゴリズム。 | +------+----------+------------------------------------------+
5. Extending the IDMEF
5. IDMEFを広げています。
As intrusion detection systems evolve, the IDMEF data model and DTD will have to evolve along with them. To allow new features to be added as they are developed, both the data model and the DTD can be extended as described in this section. As these extensions mature, they can then be incorporated into future versions of the specification.
侵入検知システムが発展するのに従って、IDMEFデータモデルとDTDはそれらと共に発展しなければならないでしょう。 それらが開発されているので加えられるべき新機能を許容するために、このセクションで説明されるようにデータモデルとDTDの両方を広げることができます。 そして、これらの拡大が熟すとき、仕様の将来のバージョンにそれらを組み入れることができます。
5.1. Extending the Data Model
5.1. データモデルを広げています。
There are two mechanisms for extending the IDMEF data model, inheritance and aggregation:
IDMEFデータモデル、継承、および集合を広げるための2つのメカニズムがあります:
o Inheritance denotes a superclass/subclass type of relationship
where the subclass inherits all the attributes, operations, and
o そして継承がサブクラスがすべての属性を引き継ぐ関係、操作の「スーパー-クラス」/サブクラスタイプを指示する。
Debar, et al. Experimental [Page 79] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[79ページ]RFC4765IDMEF行進
relationships of the superclass. This type of relationship is
also called a "is-a" or "kind-of" relationship. Subclasses may
have additional attributes or operations that apply only to the
subclass and not to the superclass.
「スーパー-クラス」の関係。 また、このタイプの関係がaと呼ばれる、「-1、」 「ちょっと」関係。 サブクラスには、「スーパー-クラス」ではなく、サブクラスだけに適用される追加属性か操作があるかもしれません。
o Aggregation is a form of association in which the whole is related
to its parts. This type of relationship is also referred to as a
"part-of" relationship. In this case, the aggregate class
contains all of its own attributes and as many of the attributes
associated with its parts as required and specified by occurrence
indicators.
o 集合は協会全体が部品に関連するフォームです。 また、このタイプの関係がaと呼ばれる、「部分、-、」 関係。 この場合、属性の多くがそれ自身の属性、必要に応じて部品と交際して、発生インディケータで指定したように集約クラスはすべてを含みます。
Of the two mechanisms, inheritance is preferred, because it preserves the existing data model structure and also preserves the operations (methods) executed on the classes of the structure.
継承は好まれます、既存のデータモデル構造を保存して、また、構造のクラスで実行された操作(メソッド)を保存するので2つのメカニズムでは。
Note that the rules for extending the IDMEF DTD (see below) set limits on the places where extensions to the data model may be made.
IDMEF DTD(以下を見る)を広げるための規則がデータモデルへの拡大がされるかもしれない場所で制限を加えることに注意してください。
5.2. Extending the IDMEF DTD
5.2. IDMEF DTDを広げています。
There are two ways to extend the IDMEF DTD:
IDMEF DTDを広げる2つの方法があります:
1. The AdditionalData class (see Section 4.2.4.6) allows
implementors to include arbitrary "atomic" data items (integers,
strings, etc.) in an Alert or Heartbeat message. This approach
SHOULD be used whenever possible. See Section 7.4 and
Section 7.5.
1. AdditionalDataは属します。(.6が)AlertかHeartbeatメッセージに任意の「原子」データ項目(整数、ストリングなど)を作成者を含ませるセクション4.2.4を見てください。 これはSHOULDにアプローチします。可能であるときはいつも、使用されます。 セクション7.4とセクション7.5を見てください。
2. The AdditionalData class allows implementors to extend the IDMEF
DTD with additional DTD "modules" that describe arbitrarily
complex data types and relationships. The remainder of this
section describes this extension method.
2. AdditionalDataのクラスで、作成者は任意に複素数データタイプと関係について説明する追加DTD「モジュール」でIDMEF DTDを広げることができます。 このセクションの残りはこの拡大メソッドを説明します。
To extend the IDMEF DTD with a new DTD "module", the following steps MUST be followed:
新しいDTD「モジュール」でIDMEF DTDを広げるために、以下の方法に従わなければなりません:
1. The document declaration MUST define a DTD location that defines
the namespace and contains the location of the extension DTD, and
then reference that namespace.
1. ドキュメント宣言は、名前空間を定義するDTD位置を定義しなければならなくて、拡大DTDの位置を含んでいます、そして、次に、参照はその名前空間を含んでいます。
2. Multiple extensions may be included by defining multiple
namespaces and DTD locations, and referencing them.
2. 複数の拡大が、複数の名前空間とDTD位置を定義して、それらに参照をつけることによって、含まれるかもしれません。
3. Extension DTDs MUST declare all of their elements and attributes
in a separate XML namespace. Extension DTDs MUST NOT declare any
elements or attributes in the "idmef" or default namespaces.
3. 拡大DTDは別々のXML名前空間におけるそれらの要素と属性のすべてを宣言しなければなりません。 拡大DTDは"idmef"かデフォルト名前空間におけるどんな要素や属性も申告してはいけません。
Debar, et al. Experimental [Page 80] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[80ページ]RFC4765IDMEF行進
4. Extensions MUST only be included in IDMEF Alert and Heartbeat
messages under an <AdditionalData> element whose "type" attribute
contains the value "xml". For example:
4. IDMEF AlertとHeartbeatメッセージに「タイプ」属性が値の"xml"を含む<AdditionalData>要素の下で拡大を含むだけでよいです。 例えば:
In this example, the "vendorco" namespace is defined and then referenced, causing the DTD for the extension to be read by the XML parser.
"vendorco"名前空間は、この例では、定義されて、次に、参照をつけられます、XMLパーサによって読まれる拡大のためにDTDを引き起こして。
<idmef:IDMEF-Message version="1.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:idmef="http://iana.org/idmef"
xmlns:vendorco="http://vendor.com/idmef"
xsi:schemaLocation="http://vendor.com/idmef http://v.com/vidmef.xsd">
<idmef: IDMEF-メッセージバージョンが等しい、「1インチのxmlns: xsiは" http://www.w3.org/2001/XMLSchema-instance "xmlnsと等しいです: idmefは" http://iana.org/idmef "xmlnsと等しいです: vendorcoが" http://vendor.com/idmef "xsi: schemaLocation=と等しい、「 http://vendor.com/idmef http://v.com/vidmef.xsd ">"
<idmef:Alert messageid="...">
...
<idmef:AdditionalData type="xml" meaning="VendorExtension">
<idmef:xml>
<vendorco:TestVendor a="attribute of example"
xmlns:vendorco="http://vendor.com/idmef"
xsi:schemaLocation="http://vendor.com/idmef http://v.com/vidmef.xsd">
<vendorco:content>content element of example</vendorco:content>
</vendorco:TestVendor>
</idmef:xml>
</idmef:AdditionalData>
</idmef:Alert>
</idmef:IDMEF-Message>
「<idmef: 警告messageidは」 …と等しいです」>… <idmef: AdditionalDataは="xml"意味=「例のVendorExtension「><idmef: xml><vendorco: TestVendor a=」属性」xmlnsをタイプします: vendorcoが" http://vendor.com/idmef "xsi: schemaLocation=と等しい、「 http://vendor.com/idmef http://v.com/vidmef.xsd 、「><vendorco:」; 例の</vendorcoの満足している>満足している要素: 内容></vendorco: TestVendor></idmef: xml></idmef: AdditionalData></idmef: ></idmef: IDMEFメッセージ>を警告してください。
See Section 7.8 for another example of extending the IDMEF DTD.
IDMEF DTDを広げる別の例に関してセクション7.8を見てください。
6. Special Considerations
6. 特別な問題
This section discusses some of the special considerations that must be taken into account by implementors of the IDMEF.
このセクションはIDMEFの作成者が考慮に入れなければならない特別な問題のいくつかについて論じます。
6.1. XML Validity and Well-Formedness
6.1. XMLの正当性と井戸-Formedness
It is expected that IDMEF-compliant applications will not normally include the IDMEF DTD itself in their communications. Instead, the DTD will be referenced in the document type definition in the IDMEF message. Such IDMEF documents will be well-formed and valid as defined in [3].
通常、IDMEF対応することのアプリケーションがそれらのコミュニケーションにIDMEF DTD自身を含まないと予想されます。 代わりに、DTDはIDMEFメッセージへのドキュメント型定義で参照をつけられるでしょう。 そのようなIDMEFドキュメントは、[3]で定義されるように整形式であって有効になるでしょう。
Other IDMEF documents will be specified that do not include the document prolog (e.g., entries in an IDMEF-format database). Such IDMEF documents will be well-formed but not valid.
ドキュメントプロローグ(例えば、IDMEF-形式データベースにおけるエントリー)を含んでいない他のIDMEFドキュメントが指定されるでしょう。 そのようなIDMEFドキュメントは、整形式ですが、有効にならないでしょう。
Debar, et al. Experimental [Page 81] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[81ページ]RFC4765IDMEF行進
Generally, well-formedness implies that a document has a single element that contains everything else (e.g., "<Book>") and that all the other elements nest nicely within each other without any overlapping (e.g., a "chapter" does not start in the middle of another "chapter").
一般に、井戸-形成が、ドキュメントには他の何もかも(例えば、「<本の>」)を含むただ一つの要素があるのを含意して、それがもう片方のすべての要素巣を含意する、うまさ、少しも重なること(例えば、「章」は別の「章」の中央で始まらない)のない互いの中で。
Validity further implies that not only is the document well-formed, but it also follows specific rules (contained in the Document Type Definition) about which elements are "legal" in the document, how those elements nest within other elements, and so on (e.g., a "chapter" does not begin in the middle of a "title"). A document cannot be valid unless it references a DTD.
正当性は、また、ドキュメントが整形式だけであるのではなく、要素がドキュメントで「法的である」特定の規則(Document Type Definitionでは、含まれている)に従うのをさらに含意します、それらの要素がどう他の要素、以内などに巣ごもるか(例えば、「章」は「タイトル」の中央で始まりません)。 DTDに参照をつけない場合、ドキュメントは有効であるはずがありません。
XML processors are required to be able to parse any well-formed document, valid or not. The purpose of validation is to make the processing of that document (what's done with the data after it's parsed) easier. Without validation, a document may contain elements in nonsense order, elements "invented" by the author that the processing application doesn't understand, and so forth.
XMLプロセッサが、どんな整形式のドキュメントも分析できて、有効になるのに必要です。 合法化の目的はそのドキュメント(分析した後にデータを処理したこと)の処理をより簡単にすることです。 合法化がなければ、ドキュメントはナンセンス注文、処理アプリケーションが理解していない作者によって「発明された」要素などに要素を含むかもしれません。
IDMEF documents MUST be well-formed. IDMEF documents SHOULD be valid whenever both possible and practical.
IDMEFドキュメントは整形式であるに違いありません。 IDMEFはSHOULDを記録します。可能であって、かつ実用的であるときはいつも、有効であってください。
6.2. Unrecognized XML Tags
6.2. 認識されていないXMLタグ
On occasion, an IDMEF-compliant application may receive a well- formed, or even well-formed and valid, IDMEF message containing tags that it does not understand. The tags may be either:
時々、IDMEF対応することのアプリケーションはそれが理解していないタグを含む井戸の形成されたか、整形式さえの、そして、有効なIDMEFメッセージを受け取るかもしれません。 タグはどちらかであるかもしれません:
o Recognized as "legitimate" (a valid document), but the application
does not know the semantic meaning of the element's content; or
o 「正統(有効なドキュメント)」として認識されましたが、アプリケーションは要素の内容の意味意味を知りません。 または
o Not recognized at all.
o 全く認識されていません。
IDMEF-compliant applications MUST continue to process IDMEF messages that contain unknown tags, provided that such messages meet the well- formedness requirement of Section 6.1. It is up to the individual application to decide how to process (or ignore) any content from the unknown elements(s).
IDMEF対応することのアプリケーションは、未知のタグを含むIDMEFメッセージを処理し続けなければなりません、そのようなメッセージがセクション6.1に関する井戸形成必要条件を満たせば。 処理する方法を決めるのが個々のアプリケーションまで達している、(無視、)、未知の要素からのどんな内容。
6.3. Analyzer-Manager Time Synchronization
6.3. 分析器マネージャ時間同期化
Synchronization of time-of-day clocks between analyzers and managers is outside the scope of this document. However, the following comments and suggestions are offered:
このドキュメントの範囲の外に分析器とマネージャの間の時刻時計の同期があります。 しかしながら、以下のコメントと提案を提供します:
Debar, et al. Experimental [Page 82] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[82ページ]RFC4765IDMEF行進
1. Whenever possible, all analyzers and managers should have their
time-of-day clocks synchronized to an external source such as NTP
[7] or SNTP [8] Global Positioning System (GPS), Geosynchronous
Operational Environmental Satellite (GOES), NIST radio station
WWV clocks, or some other reliable time standard.
1. 可能であるときはいつも、すべての分析器とマネージャはNTP[7]かSNTP[8]全地球測位システム(GPS)などの外部電源に連動する彼らの時刻時計、Geosynchronous静止実用環境衛星(ゴエス)、NIST放送局WWV時計、またはある他の信頼できる時間を標準にするべきです。
2. When external time synchronization is not possible, the IDMEF
provides the <AnalyzerTime> element, which may be used to perform
rudimentary time synchronization (see below).
2. 外部の時間同期化が可能でないときに、IDMEFは<AnalyzerTime>要素を提供します(以下を見てください)。(それは、初歩的な時間同期化を実行するのに使用されるかもしれません)。
3. IDMEF-compliant applications SHOULD permit the user to enable/
disable the <AnalyzerTime> method of time synchronization as a
configuration option.
3. IDMEF対応することのアプリケーションSHOULDは、ユーザが、設定オプションとして<AnalyzerTimeが時間同期化の>メソッドであると可能にするか、または無効にするのを可能にします。
A number of caveats apply to the use of <AnalyzerTime> for time synchronization:
多くの警告が<AnalyzerTime>の時間同期化の使用に適用されます:
1. <AnalyzerTime> works best in a "flat" environment where analyzers
report up to a single level of managers. When a tree topology of
high-level managers, intermediate relays, and analyzers is used,
the problem becomes more complex.
1. <AnalyzerTime>は「平坦な」環境で分析器がただ一つのレベルのマネージャまで報告するところにうまくいきます。 ハイレベルのマネージャ、中間的リレー、および分析器の木のトポロジーが使用されているとき、問題は、より複雑になります。
2. When intermediate message relays (managers or otherwise) are
involved, two scenarios are possible:
2. 中間的メッセージリレー(マネージャの、または、そうでない)がかかわるとき、2つのシナリオが可能です:
* The intermediaries may forward entire IDMEF messages, or may
perform aggregation or correlation, but MUST NOT inject delay.
In this case, time synchronization is end-to-end between the
analyzer and the highest-level manager.
* 仲介者は、全体のIDMEFメッセージを転送してはいけないかもしれませんし、集合か相関関係を実行するかもしれませんが、また遅れを注入してはいけません。 この場合、時間同期化は、分析器と最高水準マネージャの間の終わりから終わりです。
* The intermediaries may inject delay, due to storage or
additional processing. In this case, time synchronization
MUST be performed at each hop. This means each intermediary
must decompose the IDMEF message, adjust all time values, and
then reconstruct the message before sending it on.
* 仲介者はストレージか追加処理のため遅れを注入するかもしれません。 この場合、各ホップで時間同期化を実行しなければなりません。 これは、各仲介者がIDMEFメッセージを分解して、すべての時間的価値を調整して、次に、それを送る前にオンなメッセージを再建しなければならないことを意味します。
3. When the environment is mixed, with some analyzers and managers
using external time synchronization and some not, all managers
and intermediaries must perform <AnalyzerTime> synchronization.
This is because determining whether or not compensation is
actually needed between two parties rapidly becomes very complex,
and requires knowledge of other parts of the topology.
3. 環境がいついくつかの分析器に複雑であるか、そして、外部の時間同期化といくつかを使用しているマネージャ、すべてのマネージャと仲介者は<AnalyzerTime>同期を実行しなければなりません。 これは補償が実際に2回のパーティーの間で急速に必要であるかどうか決定するのが、非常に複雑になって、トポロジーの他の部品に関する知識を必要とするからです。
4. If an alert can take alternate paths, or be stored in multiple
locations, the recorded times may be different depending on the
path taken.
4. 警戒を代替パスを取るか、または複数の所在地に保存できるなら、取られた経路によって、記録された時間はいろいろであるかもしれません。
Debar, et al. Experimental [Page 83] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[83ページ]RFC4765IDMEF行進
The above being said, <AnalyzerTime> synchronization is probably still better than nothing in many environments. To implement this type of synchronization, the following procedure is suggested:
上の存在が言われていて、<AnalyzerTime>同期はたぶん多くの環境におけるないよりなおましです。 このタイプの同期を実装するために、以下の手順は示されます:
1. When an analyzer or manager sends an IDMEF message, it should
place the current value of its time-of-day clock in an
<AnalyzerTime> element. This should occur as late as possible in
the message transmission process, ideally right before the
message is "put on the wire".
1. 分析器かマネージャがIDMEFメッセージを送るとき、それは<AnalyzerTime>要素の時刻時計の現行価値を置くべきです。 これはできるだけ遅くメッセージトランスミッションプロセスに起こるべきです、メッセージが理想的に」になる「ワイヤを置いてくださいまさしく前に。
2. When a manager receives an IDMEF message, it should compute the
difference between its own time-of-day clock and the time in the
<AnalyzerTime> element of the message. This difference should
then be used to adjust the times in the <CreateTime> and
<DetectTime> elements (NTP timestamps should also be adjusted).
2. マネージャがIDMEFメッセージを受け取るとき、それはメッセージの<AnalyzerTime>要素でそれ自身の時刻時計と時間の違いを計算するべきです。 そして、この違いは、<CreateTime>と<DetectTime>要素の回を調整するのに使用されるべきです(また、NTPタイムスタンプは調整されるべきです)。
3. If the manager is an intermediary and sends the IDMEF message on
to a higher-level manager, and hop-by-hop synchronization is in
effect, it should regenerate the <AnalyzerTime> value to contain
the value of its own time-of-day clock.
3. マネージャが仲介者であり、IDMEFメッセージをよりハイレベルのマネージャに送って、ホップごとの同期が有効であるなら、それは、それ自身の時刻時計の値を含むように<AnalyzerTime>価値を作り直すべきです。
6.4. NTP Timestamp Wrap-Around
6.4. NTPタイムスタンプ巻きつけて着るドレス
From [8]:
[8]から:
Note that, since some time in 1968 (second 2,147,483,648) the most
significant bit (bit 0 of the integer part) has been set and that
the 64-bit field will overflow some time in 2036 (second
4,294,967,296). Should NTP or SNTP be in use in 2036, some
external means will be necessary to qualify time relative to 1900
and time relative to 2036 (and other multiples of 136 years).
There will exist a 200-picosecond interval, henceforth ignored,
every 136 years when the 64-bit field will be 0, which by
convention is interpreted as an invalid or unavailable timestamp.
1968年(2番目の21億4748万3648)に、最も重要なビット(整数部のビット0)が設定されて、64ビットの分野が2036年(2番目の42億9496万7296)にいつかあふれるいつかの時間以来それに注意してください。 NTPかSNTPが2036年に使用中であるなら、いくつかの外部の手段が、2036(そして、136年の他の倍数)に比例して1900に比例した時間と時間に資格を与えるために必要になるでしょう。 64ビットの分野が0になるときの今後は136年毎に無視された無効の、または、入手できないタイムスタンプとしてコンベンションによって解釈される200ピコセコンドの間隔は存在するでしょう。
IDMEF-compliant applications MUST NOT send a zero-valued NTP timestamp unless they mean to indicate that it is invalid or unavailable. If an IDMEF-compliant application must send an IDMEF message at the time of rollover, the application should wait for 200 picoseconds until the timestamp will have a non-zero value.
それらが、それが無効であるか、または入手できないのを示すことを意味しないなら、IDMEF対応することのアプリケーションは無評価されたNTPタイムスタンプを送ってはいけません。 IDMEF対応することのアプリケーションがロールオーバー時点でIDMEFメッセージを送らなければならないなら、タイムスタンプには非ゼロ値があるまで、アプリケーションは200のピコセコンドを待つべきです。
Also from [8]:
[8]からも:
As the NTP timestamp format has been in use for the last 17 years,
it remains a possibility that it will be in use 40 years from now
when the seconds field overflows. As it is probably inappropriate
to archive NTP timestamps before bit 0 was set in 1968, a
NTPタイムスタンプ形式がここ17年間使用中であるときに、現在から40年間使用中になる可能性のままで、秒分野がいつあふれるかは残っています。 ビット0が1968、aに設定される前にNTPタイムスタンプを格納するのがたぶん不適当であるので
Debar, et al. Experimental [Page 84] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[84ページ]RFC4765IDMEF行進
convenient way to extend the useful life of NTP timestamps is the
following convention:
NTPタイムスタンプの役に立つ寿命を伸ばす便利な方法は以下のコンベンションです:
If bit 0 is set, the UTC time is in the range 1968-2036 and UTC
time is reckoned from 0h 0m 0s UTC on 1 January 1900.
ビット0が設定されるなら、UTC時間が範囲1968-2036にあります、そして、UTC時間は1900年1月1日に0mの0h0UTCから数えられます。
If bit 0 is not set, the time is in the range 2036-2104 and UTC
time is reckoned from 6h 28m 16s UTC on 7 February 2036.
ビット0が設定されないなら、時間が範囲2036-2104にあります、そして、UTC時間は2036年2月7日に28mの6h16年代のUTCから数えられます。
Note that when calculating the correspondence, 2000 is not a leap
year. Note also that leap seconds are not counted in the
reckoning.
通信について計算するとき、2000がうるう年でないことに注意してください。 また、飛躍秒が計算で数えられないことに注意してください。
IDMEF-compliant applications in use after 2036-02-07T06:28:16Z MUST adhere to the above convention.
2036-02-07 T06:28:16Zの後に使用中のIDMEF対応することのアプリケーションは上のコンベンションを固く守らなければなりません。
6.5. Digital Signatures
6.5. デジタル署名
Standard XML digital signature processing rules and syntax are specified in [13]. XML Signatures provide integrity, message authentication, and/or signer authentication services for data of any type, whether located within the XML that includes the signature or elsewhere.
標準のXMLデジタル署名処理規則と構文は[13]で指定されます。 XML Signaturesはどんなタイプに関するデータのための保全、通報認証、そして/または、署名者認証サービスも提供します、署名を含んでいるXML以内かほかの場所に位置しているか否かに関係なく。
The IDMEF requirements document [2] assigns responsibility for message integrity and authentication to the communications protocol, not the message format. However, in situations where IDMEF messages are exchanged over other, less secure protocols, or in cases where the digital signatures must be archived for later use, the inclusion of digital signatures within an IDMEF message itself may be desirable.
The IDMEF requirements document [2] assigns responsibility for message integrity and authentication to the communications protocol, not the message format. However, in situations where IDMEF messages are exchanged over other, less secure protocols, or in cases where the digital signatures must be archived for later use, the inclusion of digital signatures within an IDMEF message itself may be desirable.
Specifications for the use of digital signatures within IDMEF messages are outside the scope of this document. However, if such functionality is needed, use of the XML Signature standard is RECOMMENDED.
Specifications for the use of digital signatures within IDMEF messages are outside the scope of this document. However, if such functionality is needed, use of the XML Signature standard is RECOMMENDED.
7. Examples
7. Examples
The examples shown in this section demonstrate how the IDMEF is used to encode alert data. These examples are for illustrative purposes only, and do not necessarily represent the only (or even the "best") way to encode these particular alerts. These examples should not be taken as guidelines on how alerts should be classified.
The examples shown in this section demonstrate how the IDMEF is used to encode alert data. These examples are for illustrative purposes only, and do not necessarily represent the only (or even the "best") way to encode these particular alerts. These examples should not be taken as guidelines on how alerts should be classified.
Debar, et al. Experimental [Page 85] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 85] RFC 4765 The IDMEF March 2007
7.1. Denial-of-Service Attacks
7.1. Denial-of-Service Attacks
The following examples show how some common denial-of-service attacks could be represented in the IDMEF.
The following examples show how some common denial-of-service attacks could be represented in the IDMEF.
7.1.1. The "teardrop" Attack
7.1.1. The "teardrop" Attack
Network-based detection of the "teardrop" attack. This shows the basic format of an alert.
Network-based detection of the "teardrop" attack. This shows the basic format of an alert.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef"
version="1.0">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="hq-dmz-analyzer01">
<idmef:Node category="dns">
<idmef:location>Headquarters DMZ Network</idmef:location>
<idmef:name>analyzer01.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc723b45.0xef449129">
2000-03-09T10:01:25.93464-05:00
</idmef:CreateTime>
<idmef:Source ident="a1b2c3d4">
<idmef:Node ident="a1b2c3d4-001" category="dns">
<idmef:name>badguy.example.net</idmef:name>
<idmef:Address ident="a1b2c3d4-002"
category="ipv4-net-mask">
<idmef:address>192.0.2.50</idmef:address>
<idmef:netmask>255.255.255.255</idmef:netmask>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target ident="d1c2b3a4">
<idmef:Node ident="d1c2b3a4-001" category="dns">
<idmef:Address category="ipv4-addr-hex">
<idmef:address>0xde796f70</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Target>
<idmef:Classification text="Teardrop detected">
<idmef:Reference origin="bugtraqid">
<idmef:name>124</idmef:name>
<idmef:url>http://www.securityfocus.com/bid/124</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer01"> <idmef:Node category="dns"> <idmef:location>Headquarters DMZ Network</idmef:location> <idmef:name>analyzer01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc723b45.0xef449129"> 2000-03-09T10:01:25.93464-05:00 </idmef:CreateTime> <idmef:Source ident="a1b2c3d4"> <idmef:Node ident="a1b2c3d4-001" category="dns"> <idmef:name>badguy.example.net</idmef:name> <idmef:Address ident="a1b2c3d4-002" category="ipv4-net-mask"> <idmef:address>192.0.2.50</idmef:address> <idmef:netmask>255.255.255.255</idmef:netmask> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="d1c2b3a4"> <idmef:Node ident="d1c2b3a4-001" category="dns"> <idmef:Address category="ipv4-addr-hex"> <idmef:address>0xde796f70</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Classification text="Teardrop detected"> <idmef:Reference origin="bugtraqid"> <idmef:name>124</idmef:name> <idmef:url>http://www.securityfocus.com/bid/124</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert>
Debar, et al. Experimental [Page 86] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 86] RFC 4765 The IDMEF March 2007
</idmef:IDMEF-Message>
</idmef:IDMEF-Message>
7.1.2. The "ping of death" Attack
7.1.2. The "ping of death" Attack
Network-based detection of the "ping of death" attack. Note the identification of multiple targets, and the identification of the source as a spoofed address.
Network-based detection of the "ping of death" attack. Note the identification of multiple targets, and the identification of the source as a spoofed address.
NOTE: The URL has been cut to fit the IETF formating requirements.
NOTE: The URL has been cut to fit the IETF formating requirements.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-sensor01">
<idmef:Node category="dns">
<idmef:name>sensor.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129">
2000-03-09T10:01:25.93464Z
</idmef:CreateTime>
<idmef:Source ident="a1a2" spoofed="yes">
<idmef:Node ident="a1a2-1">
<idmef:Address ident="a1a2-2" category="ipv4-addr">
<idmef:address>192.0.2.200</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target ident="b3b4">
<idmef:Node>
<idmef:Address ident="b3b4-1" category="ipv4-addr">
<idmef:address>192.0.2.50</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Target>
<idmef:Target ident="c5c6">
<idmef:Node ident="c5c6-1" category="nisplus">
<idmef:name>lollipop</idmef:name>
</idmef:Node>
</idmef:Target>
<idmef:Target ident="d7d8">
<idmef:Node ident="d7d8-1">
<idmef:location>Cabinet B10</idmef:location>
<idmef:name>Cisco.router.b10</idmef:name>
</idmef:Node>
</idmef:Target>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-sensor01"> <idmef:Node category="dns"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129"> 2000-03-09T10:01:25.93464Z </idmef:CreateTime> <idmef:Source ident="a1a2" spoofed="yes"> <idmef:Node ident="a1a2-1"> <idmef:Address ident="a1a2-2" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="b3b4"> <idmef:Node> <idmef:Address ident="b3b4-1" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Target ident="c5c6"> <idmef:Node ident="c5c6-1" category="nisplus"> <idmef:name>lollipop</idmef:name> </idmef:Node> </idmef:Target> <idmef:Target ident="d7d8"> <idmef:Node ident="d7d8-1"> <idmef:location>Cabinet B10</idmef:location> <idmef:name>Cisco.router.b10</idmef:name> </idmef:Node> </idmef:Target>
Debar, et al. Experimental [Page 87] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 87] RFC 4765 The IDMEF March 2007
<idmef:Classification text="Ping-of-death detected">
<idmef:Reference origin="cve">
<idmef:name>CVE-1999-128</idmef:name>
<idmef:url>http://www.cve.mitre.org/cgi-bin/
cvename.cgi?name=CVE-1999-128</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:Classification text="Ping-of-death detected"> <idmef:Reference origin="cve"> <idmef:name>CVE-1999-128</idmef:name> <idmef:url>http://www.cve.mitre.org/cgi-bin/ cvename.cgi?name=CVE-1999-128</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
7.2. Port Scanning Attacks
7.2. Port Scanning Attacks
The following examples show how some common port scanning attacks could be represented in the IDMEF.
The following examples show how some common port scanning attacks could be represented in the IDMEF.
7.2.1. Connection to a Disallowed Service
7.2.1. Connection to a Disallowed Service
Host-based detection of a policy violation (attempt to obtain information via "finger"). Note the identification of the target service, as well as the originating user (obtained, e.g., through RFC 1413 [11]).
Host-based detection of a policy violation (attempt to obtain information via "finger"). Note the identification of the target service, as well as the originating user (obtained, e.g., through RFC 1413 [11]).
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-sensor01">
<idmef:Node category="dns">
<idmef:name>sensor.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc72541d.0x00000000">
2000-03-09T18:47:25+02:00
</idmef:CreateTime>
<idmef:Source ident="a123">
<idmef:Node ident="a123-01">
<idmef:Address ident="a123-02" category="ipv4-addr">
<idmef:address>192.0.2.200</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:User ident="q987-03" category="os-device">
<idmef:UserId ident="q987-04" type="target-user">
<idmef:name>badguy</idmef:name>
</idmef:UserId>
</idmef:User>
<idmef:Service ident="a123-03">
<idmef:port>31532</idmef:port>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-sensor01"> <idmef:Node category="dns"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72541d.0x00000000"> 2000-03-09T18:47:25+02:00 </idmef:CreateTime> <idmef:Source ident="a123"> <idmef:Node ident="a123-01"> <idmef:Address ident="a123-02" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> <idmef:User ident="q987-03" category="os-device"> <idmef:UserId ident="q987-04" type="target-user"> <idmef:name>badguy</idmef:name> </idmef:UserId> </idmef:User> <idmef:Service ident="a123-03"> <idmef:port>31532</idmef:port>
Debar, et al. Experimental [Page 88] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 88] RFC 4765 The IDMEF March 2007
</idmef:Service>
</idmef:Source>
<idmef:Target ident="z456">
<idmef:Node ident="z456-01" category="nis">
<idmef:name>myhost</idmef:name>
<idmef:Address ident="z456-02" category="ipv4-addr">
<idmef:address>192.0.2.50</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:Service ident="z456-03">
<idmef:name>finger</idmef:name>
<idmef:port>79</idmef:port>
</idmef:Service>
</idmef:Target>
<idmef:Classification text="Portscan">
<idmef:Reference origin="vendor-specific">
<idmef:name>finger</idmef:name>
<idmef:url>http://www.vendor.com/finger</idmef:url>
</idmef:Reference>
<idmef:Reference origin="vendor-specific"
meaning="general documentation">
<idmef:name>Distributed attack</idmef:name>
<idmef:url>http://www.vendor.com/distributed</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
</idmef:Service> </idmef:Source> <idmef:Target ident="z456"> <idmef:Node ident="z456-01" category="nis"> <idmef:name>myhost</idmef:name> <idmef:Address ident="z456-02" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="z456-03"> <idmef:name>finger</idmef:name> <idmef:port>79</idmef:port> </idmef:Service> </idmef:Target> <idmef:Classification text="Portscan"> <idmef:Reference origin="vendor-specific"> <idmef:name>finger</idmef:name> <idmef:url>http://www.vendor.com/finger</idmef:url> </idmef:Reference> <idmef:Reference origin="vendor-specific" meaning="general documentation"> <idmef:name>Distributed attack</idmef:name> <idmef:url>http://www.vendor.com/distributed</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
7.2.2. Simple Port Scanning
7.2.2. Simple Port Scanning
Network-based detection of a port scan. This shows detection by a single analyzer; see Section 7.5 for the same attack as detected by a correlation engine. Note the use of <portlist> to show the ports that were scanned.
Network-based detection of a port scan. This shows detection by a single analyzer; see Section 7.5 for the same attack as detected by a correlation engine. Note the use of <portlist> to show the ports that were scanned.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="hq-dmz-analyzer62">
<idmef:Node category="dns">
<idmef:location>Headquarters Web Server</idmef:location>
<idmef:name>analyzer62.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc72b2b4.0x00000000">
2000-03-09T15:31:00-08:00
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer62"> <idmef:Node category="dns"> <idmef:location>Headquarters Web Server</idmef:location> <idmef:name>analyzer62.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72b2b4.0x00000000"> 2000-03-09T15:31:00-08:00
Debar, et al. Experimental [Page 89] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 89] RFC 4765 The IDMEF March 2007
</idmef:CreateTime>
<idmef:Source ident="abc01">
<idmef:Node ident="abc01-01">
<idmef:Address ident="abc01-02" category="ipv4-addr">
<idmef:address>192.0.2.200</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target ident="def01">
<idmef:Node ident="def01-01" category="dns">
<idmef:name>www.example.com</idmef:name>
<idmef:Address ident="def01-02" category="ipv4-addr">
<idmef:address>192.0.2.50</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:Service ident="def01-03">
<idmef:portlist>5-25,37,42,43,53,69-119,123-514
</idmef:portlist>
</idmef:Service>
</idmef:Target>
<idmef:Classification text="simple portscan">
<idmef:Reference origin="vendor-specific">
<idmef:name>portscan</idmef:name>
<idmef:url>http://www.vendor.com/portscan</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
</idmef:CreateTime> <idmef:Source ident="abc01"> <idmef:Node ident="abc01-01"> <idmef:Address ident="abc01-02" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="def01"> <idmef:Node ident="def01-01" category="dns"> <idmef:name>www.example.com</idmef:name> <idmef:Address ident="def01-02" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="def01-03"> <idmef:portlist>5-25,37,42,43,53,69-119,123-514 </idmef:portlist> </idmef:Service> </idmef:Target> <idmef:Classification text="simple portscan"> <idmef:Reference origin="vendor-specific"> <idmef:name>portscan</idmef:name> <idmef:url>http://www.vendor.com/portscan</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
7.3. Local Attacks
7.3. Local Attacks
The following examples show how some common local host attacks could be represented in the IDMEF.
The following examples show how some common local host attacks could be represented in the IDMEF.
7.3.1. The "loadmodule" Attack
7.3.1. The "loadmodule" Attack
Host-based detection of the "loadmodule" exploit. This attack involves tricking the "loadmodule" program into running another program; since "loadmodule" is set-user-id "root", the executed program runs with super-user privileges. Note the use of <User> and <Process> to identify the user attempting the exploit and how he's doing it.
Host-based detection of the "loadmodule" exploit. This attack involves tricking the "loadmodule" program into running another program; since "loadmodule" is set-user-id "root", the executed program runs with super-user privileges. Note the use of <User> and <Process> to identify the user attempting the exploit and how he's doing it.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789">
Debar, et al. Experimental [Page 90] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 90] RFC 4765 The IDMEF March 2007
<idmef:Analyzer analyzerid="bc-fs-sensor13">
<idmef:Node category="dns">
<idmef:name>fileserver.example.com</idmef:name>
</idmef:Node>
<idmef:Process>
<idmef:name>monitor</idmef:name>
<idmef:pid>8956</idmef:pid>
<idmef:arg>monitor</idmef:arg>
<idmef:arg>-d</idmef:arg>
<idmef:arg>-m</idmef:arg>
<idmef:arg>idmanager.example.com</idmef:arg>
<idmef:arg>-l</idmef:arg>
<idmef:arg>/var/logs/idlog</idmef:arg>
</idmef:Process>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc7221c0.0x4ccccccc">
2000-03-09T08:12:32.3-05:00
</idmef:CreateTime>
<idmef:Source ident="a1a2">
<idmef:User ident="a1a2-01" category="os-device">
<idmef:UserId ident="a1a2-02"
type="original-user">
<idmef:name>joe</idmef:name>
<idmef:number>13243</idmef:number>
</idmef:UserId>
</idmef:User>
<idmef:Process ident="a1a2-03">
<idmef:name>loadmodule</idmef:name>
<idmef:path>/usr/openwin/bin</idmef:path>
</idmef:Process>
</idmef:Source>
<idmef:Target ident="z3z4">
<idmef:Node ident="z3z4-01" category="dns">
<idmef:name>fileserver.example.com</idmef:name>
</idmef:Node>
</idmef:Target>
<idmef:Classification text="Loadmodule attack"
ident="loadmodule">
<idmef:Reference origin="bugtraqid">
<idmef:name>33</idmef:name>
<idmef:url>http://www.securityfocus.com</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:Analyzer analyzerid="bc-fs-sensor13"> <idmef:Node category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> <idmef:Process> <idmef:name>monitor</idmef:name> <idmef:pid>8956</idmef:pid> <idmef:arg>monitor</idmef:arg> <idmef:arg>-d</idmef:arg> <idmef:arg>-m</idmef:arg> <idmef:arg>idmanager.example.com</idmef:arg> <idmef:arg>-l</idmef:arg> <idmef:arg>/var/logs/idlog</idmef:arg> </idmef:Process> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc7221c0.0x4ccccccc"> 2000-03-09T08:12:32.3-05:00 </idmef:CreateTime> <idmef:Source ident="a1a2"> <idmef:User ident="a1a2-01" category="os-device"> <idmef:UserId ident="a1a2-02" type="original-user"> <idmef:name>joe</idmef:name> <idmef:number>13243</idmef:number> </idmef:UserId> </idmef:User> <idmef:Process ident="a1a2-03"> <idmef:name>loadmodule</idmef:name> <idmef:path>/usr/openwin/bin</idmef:path> </idmef:Process> </idmef:Source> <idmef:Target ident="z3z4"> <idmef:Node ident="z3z4-01" category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> </idmef:Target> <idmef:Classification text="Loadmodule attack" ident="loadmodule"> <idmef:Reference origin="bugtraqid"> <idmef:name>33</idmef:name> <idmef:url>http://www.securityfocus.com</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
Debar, et al. Experimental [Page 91] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 91] RFC 4765 The IDMEF March 2007
The Intrusion Detection System (IDS) could also indicate that the target user is the "root" user, and show the attempted command; the alert might then look like:
The Intrusion Detection System (IDS) could also indicate that the target user is the "root" user, and show the attempted command; the alert might then look like:
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-fs-sensor13">
<idmef:Node category="dns">
<idmef:name>fileserver.example.com</idmef:name>
</idmef:Node>
<idmef:Process>
<idmef:name>monitor</idmef:name>
<idmef:pid>8956</idmef:pid>
<idmef:arg>monitor</idmef:arg>
<idmef:arg>-d</idmef:arg>
<idmef:arg>-m</idmef:arg>
<idmef:arg>idmanager.example.com</idmef:arg>
<idmef:arg>-l</idmef:arg>
<idmef:arg>/var/logs/idlog</idmef:arg>
</idmef:Process>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc7221c0.0x4ccccccc">
2000-03-09T08:12:32.3-05:00
</idmef:CreateTime>
<idmef:Source ident="a1a2">
<idmef:User ident="a1a2-01" category="os-device">
<idmef:UserId ident="a1a2-02" type="original-user">
<idmef:name>joe</idmef:name>
<idmef:number>13243</idmef:number>
</idmef:UserId>
</idmef:User>
<idmef:Process ident="a1a2-03">
<idmef:name>loadmodule</idmef:name>
<idmef:path>/usr/openwin/bin</idmef:path>
</idmef:Process>
</idmef:Source>
<idmef:Target ident="z3z4">
<idmef:Node ident="z3z4-01" category="dns">
<idmef:name>fileserver.example.com</idmef:name>
</idmef:Node>
<idmef:User ident="z3z4-02" category="os-device">
<idmef:UserId ident="z3z4-03" type="target-user">
<idmef:name>root</idmef:name>
<idmef:number>0</idmef:number>
</idmef:UserId>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-fs-sensor13"> <idmef:Node category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> <idmef:Process> <idmef:name>monitor</idmef:name> <idmef:pid>8956</idmef:pid> <idmef:arg>monitor</idmef:arg> <idmef:arg>-d</idmef:arg> <idmef:arg>-m</idmef:arg> <idmef:arg>idmanager.example.com</idmef:arg> <idmef:arg>-l</idmef:arg> <idmef:arg>/var/logs/idlog</idmef:arg> </idmef:Process> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc7221c0.0x4ccccccc"> 2000-03-09T08:12:32.3-05:00 </idmef:CreateTime> <idmef:Source ident="a1a2"> <idmef:User ident="a1a2-01" category="os-device"> <idmef:UserId ident="a1a2-02" type="original-user"> <idmef:name>joe</idmef:name> <idmef:number>13243</idmef:number> </idmef:UserId> </idmef:User> <idmef:Process ident="a1a2-03"> <idmef:name>loadmodule</idmef:name> <idmef:path>/usr/openwin/bin</idmef:path> </idmef:Process> </idmef:Source> <idmef:Target ident="z3z4"> <idmef:Node ident="z3z4-01" category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> <idmef:User ident="z3z4-02" category="os-device"> <idmef:UserId ident="z3z4-03" type="target-user"> <idmef:name>root</idmef:name> <idmef:number>0</idmef:number> </idmef:UserId>
Debar, et al. Experimental [Page 92] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 92] RFC 4765 The IDMEF March 2007
</idmef:User>
<idmef:Process ident="z3z4-04">
<idmef:name>sh</idmef:name>
<idmef:pid>25134</idmef:pid>
<idmef:path>/bin/sh</idmef:path>
</idmef:Process>
</idmef:Target>
<idmef:Classification text="Loadmodule attack"
ident="loadmodule">
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
</idmef:User> <idmef:Process ident="z3z4-04"> <idmef:name>sh</idmef:name> <idmef:pid>25134</idmef:pid> <idmef:path>/bin/sh</idmef:path> </idmef:Process> </idmef:Target> <idmef:Classification text="Loadmodule attack" ident="loadmodule"> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
Note that the identification of the classification is used.
Note that the identification of the classification is used.
7.3.2. The "phf" Attack
7.3.2. The "phf" Attack
Network-based detection of the "phf" attack. Note the use of the <WebService> element to provide more details about this particular attack.
Network-based detection of the "phf" attack. Note the use of the <WebService> element to provide more details about this particular attack.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-sensor01">
<idmef:Node category="dns">
<idmef:name>sensor.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc71e980.0x00000000">
2000-03-09T08:12:32-01:00
</idmef:CreateTime>
<idmef:Source ident="abc123">
<idmef:Node ident="abc123-001">
<idmef:Address ident="abc123-002"
category="ipv4-addr">
<idmef:address>192.0.2.200</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:Service ident="abc123-003">
<idmef:port>21534</idmef:port>
</idmef:Service>
</idmef:Source>
<idmef:Target ident="xyz789">
<idmef:Node ident="xyz789-001" category="dns">
<idmef:name>www.example.com</idmef:name>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-sensor01"> <idmef:Node category="dns"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc71e980.0x00000000"> 2000-03-09T08:12:32-01:00 </idmef:CreateTime> <idmef:Source ident="abc123"> <idmef:Node ident="abc123-001"> <idmef:Address ident="abc123-002" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="abc123-003"> <idmef:port>21534</idmef:port> </idmef:Service> </idmef:Source> <idmef:Target ident="xyz789"> <idmef:Node ident="xyz789-001" category="dns"> <idmef:name>www.example.com</idmef:name>
Debar, et al. Experimental [Page 93] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 93] RFC 4765 The IDMEF March 2007
<idmef:Address ident="xyz789-002"
category="ipv4-addr">
<idmef:address>192.0.2.100</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:Service>
<idmef:port>8080</idmef:port>
<idmef:WebService>
<idmef:url>
http://www.example.com/cgi-bin/phf?/etc/group
</idmef:url>
<idmef:cgi>/cgi-bin/phf</idmef:cgi>
<idmef:http-method>GET</idmef:http-method>
</idmef:WebService>
</idmef:Service>
</idmef:Target>
<idmef:Classification text="phf attack">
<idmef:Reference origin="bugtraqid">
<idmef:name>629</idmef:name>
<idmef:url>
http://www.securityfocus.com/bid/629
</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:Address ident="xyz789-002" category="ipv4-addr"> <idmef:address>192.0.2.100</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service> <idmef:port>8080</idmef:port> <idmef:WebService> <idmef:url> http://www.example.com/cgi-bin/phf?/etc/group </idmef:url> <idmef:cgi>/cgi-bin/phf</idmef:cgi> <idmef:http-method>GET</idmef:http-method> </idmef:WebService> </idmef:Service> </idmef:Target> <idmef:Classification text="phf attack"> <idmef:Reference origin="bugtraqid"> <idmef:name>629</idmef:name> <idmef:url> http://www.securityfocus.com/bid/629 </idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
7.3.3. File Modification
7.3.3. File Modification
Host-based detection of a race condition attack. Note the use of the <File> to provide information about the files that are used to perform the attack.
Host-based detection of a race condition attack. Note the use of the <File> to provide information about the files that are used to perform the attack.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert>
<idmef:Analyzer analyzerid="bids-192.0.2.1"
ostype="Linux"
osversion="2.2.16-3">
<idmef:Node category="hosts">
<idmef:name>etude</idmef:name>
<idmef:Address category="ipv4-addr">
<idmef:address>192.0.2.1</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Analyzer>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert> <idmef:Analyzer analyzerid="bids-192.0.2.1" ostype="Linux" osversion="2.2.16-3"> <idmef:Node category="hosts"> <idmef:name>etude</idmef:name> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> </idmef:Analyzer>
Debar, et al. Experimental [Page 94] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 94] RFC 4765 The IDMEF March 2007
<idmef:CreateTime ntpstamp="0xbc71e980.0x00000000">
2000-03-09T08:12:32-01:00
</idmef:CreateTime>
<idmef:Source spoofed="no">
<idmef:Node>
<idmef:location>console</idmef:location>
<idmef:Address category="ipv4-addr">
<idmef:address>192.0.2.1</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target decoy="no">
<idmef:Node>
<idmef:location>local</idmef:location>
<idmef:Address category="ipv4-addr">
<idmef:address>192.0.2.1</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:User category="os-device">
<idmef:UserId type="original-user">
<idmef:number>456</idmef:number>
</idmef:UserId>
<idmef:UserId type="current-user">
<idmef:name>fred</idmef:name>
<idmef:number>456</idmef:number>
</idmef:UserId>
<idmef:UserId type="user-privs">
<idmef:number>456</idmef:number>
</idmef:UserId>
</idmef:User>
<idmef:File category="current" fstype="tmpfs">
<idmef:name>xxx000238483</idmef:name>
<idmef:path>/tmp/xxx000238483</idmef:path>
<idmef:FileAccess>
<idmef:UserId type="user-privs">
<idmef:name>alice</idmef:name>
<idmef:number>777</idmef:number>
</idmef:UserId>
<idmef:permission perms="read" />
<idmef:permission perms="write" />
<idmef:permission perms="delete" />
<idmef:permission perms="changePermissions" />
</idmef:FileAccess>
<idmef:FileAccess>
<idmef:UserId type="group-privs">
<idmef:name>user</idmef:name>
<idmef:number>42</idmef:number>
</idmef:UserId>
<idmef:CreateTime ntpstamp="0xbc71e980.0x00000000"> 2000-03-09T08:12:32-01:00 </idmef:CreateTime> <idmef:Source spoofed="no"> <idmef:Node> <idmef:location>console</idmef:location> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target decoy="no"> <idmef:Node> <idmef:location>local</idmef:location> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> <idmef:User category="os-device"> <idmef:UserId type="original-user"> <idmef:number>456</idmef:number> </idmef:UserId> <idmef:UserId type="current-user"> <idmef:name>fred</idmef:name> <idmef:number>456</idmef:number> </idmef:UserId> <idmef:UserId type="user-privs"> <idmef:number>456</idmef:number> </idmef:UserId> </idmef:User> <idmef:File category="current" fstype="tmpfs"> <idmef:name>xxx000238483</idmef:name> <idmef:path>/tmp/xxx000238483</idmef:path> <idmef:FileAccess> <idmef:UserId type="user-privs"> <idmef:name>alice</idmef:name> <idmef:number>777</idmef:number> </idmef:UserId> <idmef:permission perms="read" /> <idmef:permission perms="write" /> <idmef:permission perms="delete" /> <idmef:permission perms="changePermissions" /> </idmef:FileAccess> <idmef:FileAccess> <idmef:UserId type="group-privs"> <idmef:name>user</idmef:name> <idmef:number>42</idmef:number> </idmef:UserId>
Debar, et al. Experimental [Page 95] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 95] RFC 4765 The IDMEF March 2007
<idmef:permission perms="read" />
<idmef:permission perms="write" />
<idmef:permission perms="delete" />
</idmef:FileAccess>
<idmef:FileAccess>
<idmef:UserId type="other-privs">
<idmef:name>world</idmef:name>
</idmef:UserId>
<idmef:permission perms="noAccess" />
</idmef:FileAccess>
<idmef:Linkage category="symbolic-link">
<idmef:name>passwd</idmef:name>
<idmef:path>/etc/passwd</idmef:path>
</idmef:Linkage>
</idmef:File>
</idmef:Target>
<idmef:Classification text="DOM race condition">
<idmef:Reference origin="vendor-specific">
<idmef:name>DOM race condition</idmef:name>
<idmef:url>file://attack-info/race.html
</idmef:url>
</idmef:Reference>
</idmef:Classification>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:permission perms="read" /> <idmef:permission perms="write" /> <idmef:permission perms="delete" /> </idmef:FileAccess> <idmef:FileAccess> <idmef:UserId type="other-privs"> <idmef:name>world</idmef:name> </idmef:UserId> <idmef:permission perms="noAccess" /> </idmef:FileAccess> <idmef:Linkage category="symbolic-link"> <idmef:name>passwd</idmef:name> <idmef:path>/etc/passwd</idmef:path> </idmef:Linkage> </idmef:File> </idmef:Target> <idmef:Classification text="DOM race condition"> <idmef:Reference origin="vendor-specific"> <idmef:name>DOM race condition</idmef:name> <idmef:url>file://attack-info/race.html </idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
7.4. System Policy Violation
7.4. System Policy Violation
In this example, logins are restricted to daytime hours. The alert reports a violation of this policy that occurs when a user logs in a little after 10:00 pm. Note the use of <AdditionalData> to provide information about the policy being violated.
In this example, logins are restricted to daytime hours. The alert reports a violation of this policy that occurs when a user logs in a little after 10:00 pm. Note the use of <AdditionalData> to provide information about the policy being violated.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-ds-01">
<idmef:Node category="dns">
<idmef:name>dialserver.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc72e7ef.0x00000000">
2000-03-09T22:18:07-05:00
</idmef:CreateTime>
<idmef:Source ident="s01">
<idmef:Node ident="s01-1">
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-ds-01"> <idmef:Node category="dns"> <idmef:name>dialserver.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72e7ef.0x00000000"> 2000-03-09T22:18:07-05:00 </idmef:CreateTime> <idmef:Source ident="s01"> <idmef:Node ident="s01-1">
Debar, et al. Experimental [Page 96] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 96] RFC 4765 The IDMEF March 2007
<idmef:Address category="ipv4-addr">
<idmef:address>127.0.0.1</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:Service ident="s01-2">
<idmef:port>4325</idmef:port>
</idmef:Service>
</idmef:Source>
<idmef:Target ident="t01">
<idmef:Node ident="t01-1" category="dns">
<idmef:name>mainframe.example.com</idmef:name>
</idmef:Node>
<idmef:User ident="t01-2" category="os-device">
<idmef:UserId ident="t01-3" type="current-user">
<idmef:name>louis</idmef:name>
<idmef:number>501</idmef:number>
</idmef:UserId>
</idmef:User>
<idmef:Service ident="t01-4">
<idmef:name>login</idmef:name>
<idmef:port>23</idmef:port>
</idmef:Service>
</idmef:Target>
<idmef:Classification text="Login policy violation">
<idmef:Reference origin="user-specific">
<idmef:name>out-of-hours activity</idmef:name>
<idmef:url>http://my.company.com/policies
</idmef:url>
</idmef:Reference>
</idmef:Classification>
<idmef:AdditionalData type="date-time"
meaning="start-time">
<idmef:date-time>2000-03-09T07:00:00-05:00</idmef:date-time>
</idmef:AdditionalData>
<idmef:AdditionalData type="date-time"
meaning="stop-time">
<idmef:date-time>2000-03-09T19:30:00-05:00</idmef:date-time>
</idmef:AdditionalData>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:Address category="ipv4-addr"> <idmef:address>127.0.0.1</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="s01-2"> <idmef:port>4325</idmef:port> </idmef:Service> </idmef:Source> <idmef:Target ident="t01"> <idmef:Node ident="t01-1" category="dns"> <idmef:name>mainframe.example.com</idmef:name> </idmef:Node> <idmef:User ident="t01-2" category="os-device"> <idmef:UserId ident="t01-3" type="current-user"> <idmef:name>louis</idmef:name> <idmef:number>501</idmef:number> </idmef:UserId> </idmef:User> <idmef:Service ident="t01-4"> <idmef:name>login</idmef:name> <idmef:port>23</idmef:port> </idmef:Service> </idmef:Target> <idmef:Classification text="Login policy violation"> <idmef:Reference origin="user-specific"> <idmef:name>out-of-hours activity</idmef:name> <idmef:url>http://my.company.com/policies </idmef:url> </idmef:Reference> </idmef:Classification> <idmef:AdditionalData type="date-time" meaning="start-time"> <idmef:date-time>2000-03-09T07:00:00-05:00</idmef:date-time> </idmef:AdditionalData> <idmef:AdditionalData type="date-time" meaning="stop-time"> <idmef:date-time>2000-03-09T19:30:00-05:00</idmef:date-time> </idmef:AdditionalData> </idmef:Alert> </idmef:IDMEF-Message>
Debar, et al. Experimental [Page 97] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 97] RFC 4765 The IDMEF March 2007
7.5. Correlated Alerts
7.5. Correlated Alerts
The following example shows how the port scan alert from Section 7.2.2 could be represented if it had been detected and sent from a correlation engine, instead of a single analyzer.
The following example shows how the port scan alert from Section 7.2.2 could be represented if it had been detected and sent from a correlation engine, instead of a single analyzer.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-corr-01">
<idmef:Node category="dns">
<idmef:name>correlator01.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc72423b.0x00000000">
2000-03-09T15:31:07Z
</idmef:CreateTime>
<idmef:Source ident="a1">
<idmef:Node ident="a1-1">
<idmef:Address ident="a1-2" category="ipv4-addr">
<idmef:address>192.0.2.200</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target ident="a2">
<idmef:Node ident="a2-1" category="dns">
<idmef:name>www.example.com</idmef:name>
<idmef:Address ident="a2-2" category="ipv4-addr">
<idmef:address>192.0.2.50</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:Service ident="a2-3">
<idmef:portlist>5-25,37,42,43,53,69-119,123-514
</idmef:portlist>
</idmef:Service>
</idmef:Target>
<idmef:Classification text="Portscan">
<idmef:Reference origin="vendor-specific">
<idmef:name>portscan</idmef:name>
<idmef:url>http://www.vendor.com/portscan</idmef:url>
</idmef:Reference>
</idmef:Classification>
<idmef:CorrelationAlert>
<idmef:name>multiple ports in short time</idmef:name>
<idmef:alertident>123456781</idmef:alertident>
<idmef:alertident>123456782</idmef:alertident>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-corr-01"> <idmef:Node category="dns"> <idmef:name>correlator01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72423b.0x00000000"> 2000-03-09T15:31:07Z </idmef:CreateTime> <idmef:Source ident="a1"> <idmef:Node ident="a1-1"> <idmef:Address ident="a1-2" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="a2"> <idmef:Node ident="a2-1" category="dns"> <idmef:name>www.example.com</idmef:name> <idmef:Address ident="a2-2" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="a2-3"> <idmef:portlist>5-25,37,42,43,53,69-119,123-514 </idmef:portlist> </idmef:Service> </idmef:Target> <idmef:Classification text="Portscan"> <idmef:Reference origin="vendor-specific"> <idmef:name>portscan</idmef:name> <idmef:url>http://www.vendor.com/portscan</idmef:url> </idmef:Reference> </idmef:Classification> <idmef:CorrelationAlert> <idmef:name>multiple ports in short time</idmef:name> <idmef:alertident>123456781</idmef:alertident> <idmef:alertident>123456782</idmef:alertident>
Debar, et al. Experimental [Page 98] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 98] RFC 4765 The IDMEF March 2007
<idmef:alertident>123456783</idmef:alertident>
<idmef:alertident>123456784</idmef:alertident>
<idmef:alertident>123456785</idmef:alertident>
<idmef:alertident>123456786</idmef:alertident>
<idmef:alertident analyzerid="a1b2c3d4">987654321
</idmef:alertident>
<idmef:alertident analyzerid="a1b2c3d4">987654322
</idmef:alertident>
</idmef:CorrelationAlert>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:alertident>123456783</idmef:alertident> <idmef:alertident>123456784</idmef:alertident> <idmef:alertident>123456785</idmef:alertident> <idmef:alertident>123456786</idmef:alertident> <idmef:alertident analyzerid="a1b2c3d4">987654321 </idmef:alertident> <idmef:alertident analyzerid="a1b2c3d4">987654322 </idmef:alertident> </idmef:CorrelationAlert> </idmef:Alert> </idmef:IDMEF-Message>
7.6. Analyzer Assessments
7.6. Analyzer Assessments
Host-based detection of a successful unauthorized acquisition of root access through the eject buffer overflow. Note the use of <Assessment> to provide information about the analyzer's evaluation of and reaction to the attack.
Host-based detection of a successful unauthorized acquisition of root access through the eject buffer overflow. Note the use of <Assessment> to provide information about the analyzer's evaluation of and reaction to the attack.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Alert>
<idmef:Analyzer analyzerid="bids-192.0.2.1">
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc71e980.0x00000000">
2000-03-09T08:12:32-01:00
</idmef:CreateTime>
<idmef:Source spoofed="no">
<idmef:Node>
<idmef:location>console</idmef:location>
<idmef:Address category="ipv4-addr">
<idmef:address>192.0.2.1</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target decoy="no">
<idmef:Node>
<idmef:location>local</idmef:location>
<idmef:Address category="ipv4-addr">
<idmef:address>192.0.2.1</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:User category="os-device">
<idmef:UserId type="original-user">
<idmef:number>456</idmef:number>
</idmef:UserId>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert> <idmef:Analyzer analyzerid="bids-192.0.2.1"> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc71e980.0x00000000"> 2000-03-09T08:12:32-01:00 </idmef:CreateTime> <idmef:Source spoofed="no"> <idmef:Node> <idmef:location>console</idmef:location> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target decoy="no"> <idmef:Node> <idmef:location>local</idmef:location> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> <idmef:User category="os-device"> <idmef:UserId type="original-user"> <idmef:number>456</idmef:number> </idmef:UserId>
Debar, et al. Experimental [Page 99] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 99] RFC 4765 The IDMEF March 2007
<idmef:UserId type="current-user">
<idmef:name>root</idmef:name>
<idmef:number>0</idmef:number>
</idmef:UserId>
<idmef:UserId type="user-privs">
<idmef:number>0</idmef:number>
</idmef:UserId>
</idmef:User>
<idmef:Process>
<idmef:name>eject</idmef:name>
<idmef:pid>32451</idmef:pid>
<idmef:path>/usr/bin/eject</idmef:path>
<idmef:arg>\x90\x80\x3f\xff...\x08/bin/sh</idmef:arg>
</idmef:Process>
</idmef:Target>
<idmef:Classification
text="Unauthorized administrative access">
<idmef:Reference origin="vendor-specific">
<idmef:name>Unauthorized user to superuser</idmef:name>
<idmef:url>file://attack-info/u2s.html</idmef:url>
</idmef:Reference>
</idmef:Classification>
<idmef:Assessment>
<idmef:Impact severity="high" completion="succeeded"
type="admin"/>
<idmef:Action category="notification-sent">
page
</idmef:Action>
<idmef:Action category="block-installed">
disabled user (fred)
</idmef:Action>
<idmef:Action category="taken-offline">
logout user (fred)
</idmef:Action>
<idmef:Confidence rating="high"/>
</idmef:Assessment>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:UserId type="current-user"> <idmef:name>root</idmef:name> <idmef:number>0</idmef:number> </idmef:UserId> <idmef:UserId type="user-privs"> <idmef:number>0</idmef:number> </idmef:UserId> </idmef:User> <idmef:Process> <idmef:name>eject</idmef:name> <idmef:pid>32451</idmef:pid> <idmef:path>/usr/bin/eject</idmef:path> <idmef:arg>\x90\x80\x3f\xff...\x08/bin/sh</idmef:arg> </idmef:Process> </idmef:Target> <idmef:Classification text="Unauthorized administrative access"> <idmef:Reference origin="vendor-specific"> <idmef:name>Unauthorized user to superuser</idmef:name> <idmef:url>file://attack-info/u2s.html</idmef:url> </idmef:Reference> </idmef:Classification> <idmef:Assessment> <idmef:Impact severity="high" completion="succeeded" type="admin"/> <idmef:Action category="notification-sent"> page </idmef:Action> <idmef:Action category="block-installed"> disabled user (fred) </idmef:Action> <idmef:Action category="taken-offline"> logout user (fred) </idmef:Action> <idmef:Confidence rating="high"/> </idmef:Assessment> </idmef:Alert> </idmef:IDMEF-Message>
7.7. Heartbeat
7.7. Heartbeat
This example shows a Heartbeat message that provides "I'm alive and working" information to the manager. Note the use of <AdditionalData> elements, with "meaning" attributes, to provide some additional information.
This example shows a Heartbeat message that provides "I'm alive and working" information to the manager. Note the use of <AdditionalData> elements, with "meaning" attributes, to provide some additional information.
Debar, et al. Experimental [Page 100] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 100] RFC 4765 The IDMEF March 2007
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:idmef="http://iana.org/idmef">
<idmef:Heartbeat messageid="abc123456789">
<idmef:Analyzer analyzerid="hq-dmz-analyzer01">
<idmef:Node category="dns">
<idmef:location>Headquarters DMZ Network</idmef:location>
<idmef:name>analyzer01.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc722ebe.0x00000000">
2000-03-09T14:07:58Z
</idmef:CreateTime>
<idmef:AdditionalData type="real" meaning="%memused">
<idmef:real>62.5</idmef:real>
</idmef:AdditionalData>
<idmef:AdditionalData type="real" meaning="%diskused">
<idmef:real>87.1</idmef:real>
</idmef:AdditionalData>
</idmef:Heartbeat>
</idmef:IDMEF-Message>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Heartbeat messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer01"> <idmef:Node category="dns"> <idmef:location>Headquarters DMZ Network</idmef:location> <idmef:name>analyzer01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc722ebe.0x00000000"> 2000-03-09T14:07:58Z </idmef:CreateTime> <idmef:AdditionalData type="real" meaning="%memused"> <idmef:real>62.5</idmef:real> </idmef:AdditionalData> <idmef:AdditionalData type="real" meaning="%diskused"> <idmef:real>87.1</idmef:real> </idmef:AdditionalData> </idmef:Heartbeat> </idmef:IDMEF-Message>
7.8. XML Extension
7.8. XML Extension
The following example shows how to extend the IDMEF DTD. In the example, the VendorCo company has decided it wants to add geographic information to the Node class. To do this, VendorCo creates a Document Type Definition or DTD that defines how their class will be formatted:
The following example shows how to extend the IDMEF DTD. In the example, the VendorCo company has decided it wants to add geographic information to the Node class. To do this, VendorCo creates a Document Type Definition or DTD that defines how their class will be formatted:
<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:vendorco="http://vendor.com/idmef"
targetNamespace="http://vendor.com/idmef"
elementFormDefault="qualified" >
<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:vendorco="http://vendor.com/idmef" targetNamespace="http://vendor.com/idmef" elementFormDefault="qualified" >
<xsd:annotation>
<xsd:documentation>
Intrusion Detection Message Exchange Format (IDMEF) Extension
for geographic information
</xsd:documentation>
</xsd:annotation>
<xsd:annotation> <xsd:documentation> Intrusion Detection Message Exchange Format (IDMEF) Extension for geographic information </xsd:documentation> </xsd:annotation>
<xsd:complexType name="NodeGeoType">
<xsd:sequence>
<xsd:element name="latitude"
type="xsd:string" />
<xsd:element name="longitude"
<xsd:complexType name="NodeGeoType"> <xsd:sequence> <xsd:element name="latitude" type="xsd:string" /> <xsd:element name="longitude"
Debar, et al. Experimental [Page 101] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 101] RFC 4765 The IDMEF March 2007
type="xsd:string" />
type="xsd:string" />
<xsd:element name="elevation"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:attribute name="node-ident"
type="xsd:integer"
use="required"/>
</xsd:complexType>
<xsd:element name="elevation" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="node-ident" type="xsd:integer" use="required"/> </xsd:complexType>
<xsd:element name="NodeGeography" type="vendorco:NodeGeoType" />
<xsd:element name="NodeGeography" type="vendorco:NodeGeoType" />
</xsd:schema>
</xsd:schema>
The VendorCo:NodeGeography class will contain the geographic data in three aggregate classes, VendorCo:latitude, VendorCo:longitude, and VendorCo:elevation. To associate the information in this class with a particular node, the "VendorCo:node-ident" attribute is provided; it must contain the same value as the "ident" attribute on the relevant Node element.
The VendorCo:NodeGeography class will contain the geographic data in three aggregate classes, VendorCo:latitude, VendorCo:longitude, and VendorCo:elevation. To associate the information in this class with a particular node, the "VendorCo:node-ident" attribute is provided; it must contain the same value as the "ident" attribute on the relevant Node element.
To make use of this DTD now, VendorCo follows the rules in Section 5.2 and defines a parameter entity called "x-vendorco" within the Document Type Definition, and then references this entity. In the alert, the VendorCo elements are included under the AdditionalData element, with a "type" attribute of "xml", as shown below.
To make use of this DTD now, VendorCo follows the rules in Section 5.2 and defines a parameter entity called "x-vendorco" within the Document Type Definition, and then references this entity. In the alert, the VendorCo elements are included under the AdditionalData element, with a "type" attribute of "xml", as shown below.
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:idmef="http://iana.org/idmef"
xmlns:vendorco="http://v.com/idmef"
xsi:schemaLocation="http://v.com/idmef http://v.com/geo.xsd">
<idmef:IDMEF-Message version="1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:idmef="http://iana.org/idmef" xmlns:vendorco="http://v.com/idmef" xsi:schemaLocation="http://v.com/idmef http://v.com/geo.xsd">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="hq-dmz-analyzer01">
<idmef:Node category="dns">
<idmef:location>Headquarters DMZ Network</idmef:location>
<idmef:name>analyzer01.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc723b45.0xef449129">
2000-03-09T10:01:25.93464-05:00
</idmef:CreateTime>
<idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer01"> <idmef:Node category="dns"> <idmef:location>Headquarters DMZ Network</idmef:location> <idmef:name>analyzer01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc723b45.0xef449129"> 2000-03-09T10:01:25.93464-05:00 </idmef:CreateTime>
Debar, et al. Experimental [Page 102] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 102] RFC 4765 The IDMEF March 2007
<idmef:Source ident="a1b2c3d4">
<idmef:Node ident="a1b2c3d4-001" category="dns">
<idmef:name>badguy.example.net</idmef:name>
<idmef:Address ident="a1b2c3d4-002" category="ipv4-net-mask">
<idmef:address>192.0.2.50</idmef:address>
<idmef:netmask>255.255.255.255</idmef:netmask>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target ident="d1c2b3a4">
<idmef:Node ident="d1c2b3a4-001" category="dns">
<idmef:Address category="ipv4-addr-hex">
<idmef:address>0xde796f70</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Target>
<idmef:Classification text="Teardrop">
<idmef:Reference origin="bugtraqid">
<idmef:name>124</idmef:name>
<idmef:url>http://www.securityfocus.com/bid/124</idmef:url>
</idmef:Reference>
</idmef:Classification>
<idmef:AdditionalData type="xml" meaning="node geo info">
<idmef:xml>
<vendorco:NodeGeography
xmlns:vendorco="http://vendor.com/idmef"
xsi:schemaLocation="http://v.com/idmef http://v.com/geo.xsd"
vendorco:node-ident="a1b2c3d4-001">
<vendorco:latitude>38.89</vendorco:latitude>
<vendorco:longitude>-77.02</vendorco:longitude>
</vendorco:NodeGeography>
</idmef:xml>
</idmef:AdditionalData>
</idmef:Alert>
</idmef:IDMEF-Message>
<idmef:Source ident="a1b2c3d4"> <idmef:Node ident="a1b2c3d4-001" category="dns"> <idmef:name>badguy.example.net</idmef:name> <idmef:Address ident="a1b2c3d4-002" category="ipv4-net-mask"> <idmef:address>192.0.2.50</idmef:address> <idmef:netmask>255.255.255.255</idmef:netmask> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="d1c2b3a4"> <idmef:Node ident="d1c2b3a4-001" category="dns"> <idmef:Address category="ipv4-addr-hex"> <idmef:address>0xde796f70</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Classification text="Teardrop"> <idmef:Reference origin="bugtraqid"> <idmef:name>124</idmef:name> <idmef:url>http://www.securityfocus.com/bid/124</idmef:url> </idmef:Reference> </idmef:Classification> <idmef:AdditionalData type="xml" meaning="node geo info"> <idmef:xml> <vendorco:NodeGeography xmlns:vendorco="http://vendor.com/idmef" xsi:schemaLocation="http://v.com/idmef http://v.com/geo.xsd" vendorco:node-ident="a1b2c3d4-001"> <vendorco:latitude>38.89</vendorco:latitude> <vendorco:longitude>-77.02</vendorco:longitude> </vendorco:NodeGeography> </idmef:xml> </idmef:AdditionalData> </idmef:Alert> </idmef:IDMEF-Message>
Debar, et al. Experimental [Page 103] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 103] RFC 4765 The IDMEF March 2007
8. The IDMEF Document Type Definition (Normative)
8. The IDMEF Document Type Definition (Normative)
<?xml version="1.0" encoding="UTF-8"?>
<?xml version="1.0" encoding="UTF-8"?>
<!-- ***************************************************************
*******************************************************************
*** Intrusion Detection Message Exchange Format (IDMEF) XML DTD ***
*** Version 1.0, 07 March 2006 ***
*** ***
*** The use and extension of the IDMEF XML DTD are described in ***
*** RFC 4765, "The Intrusion Detection Message Exchange ***
*** Format", H. Debar, D. Curry, B. Feinstein. ***
*******************************************************************
*************************************************************** -->
<!-- *************************************************************** ******************************************************************* *** Intrusion Detection Message Exchange Format (IDMEF) XML DTD *** *** Version 1.0, 07 March 2006 *** *** *** *** The use and extension of the IDMEF XML DTD are described in *** *** RFC 4765, "The Intrusion Detection Message Exchange *** *** Format", H. Debar, D. Curry, B. Feinstein. *** ******************************************************************* *************************************************************** -->
<!-- ===============================================================
===================================================================
=== SECTION 1. Attribute list declarations.
===================================================================
=============================================================== -->
<!-- =============================================================== =================================================================== === SECTION 1. Attribute list declarations. =================================================================== =============================================================== -->
<!--
| Attributes of the IDMEF element. In general, the fixed values of
| these attributes will change each time a new version of the DTD
| is released.
-->
<!-- | Attributes of the IDMEF element. In general, the fixed values of | these attributes will change each time a new version of the DTD | is released. -->
<!ENTITY % attlist.idmef "
version CDATA #FIXED '1.0'
">
<!ENTITY % attlist.idmef " version CDATA #FIXED '1.0' ">
<!--
| Attributes of all elements. These are the "XML" attributes that
| every element should have. Space handling, language, and name
| space.
-->
<!ENTITY % attlist.global "
xmlns:idmef CDATA #FIXED
'http://iana.org/idmef'
xmlns CDATA #FIXED
'http://iana.org/idmef'
xml:space (default | preserve) 'default'
xml:lang NMTOKEN #IMPLIED
">
<!-- | Attributes of all elements. These are the "XML" attributes that | every element should have. Space handling, language, and name | space. --> <!ENTITY % attlist.global " xmlns:idmef CDATA #FIXED 'http://iana.org/idmef' xmlns CDATA #FIXED 'http://iana.org/idmef' xml:space (default | preserve) 'default' xml:lang NMTOKEN #IMPLIED ">
Debar, et al. Experimental [Page 104] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 104] RFC 4765 The IDMEF March 2007
<!-- ===============================================================
===================================================================
=== SECTION 2. Attribute value declarations. Enumerated values for
=== many of the element-specific attribute lists.
===================================================================
=============================================================== -->
<!-- =============================================================== =================================================================== === SECTION 2. Attribute value declarations. Enumerated values for === many of the element-specific attribute lists. =================================================================== =============================================================== -->
<!--
| Values for the Action.category attribute.
-->
<!ENTITY % attvals.actioncat "
( block-installed | notification-sent | taken-offline | other )
">
<!-- | Values for the Action.category attribute. --> <!ENTITY % attvals.actioncat " ( block-installed | notification-sent | taken-offline | other ) ">
<!--
| Values for the Address.category attribute.
-->
<!ENTITY % attvals.addrcat "
( unknown | atm | e-mail | lotus-notes | mac | sna | vm |
ipv4-addr | ipv4-addr-hex | ipv4-net | ipv4-net-mask |
ipv6-addr | ipv6-addr-hex | ipv6-net | ipv6-net-mask )
">
<!-- | Values for the Address.category attribute. --> <!ENTITY % attvals.addrcat " ( unknown | atm | e-mail | lotus-notes | mac | sna | vm | ipv4-addr | ipv4-addr-hex | ipv4-net | ipv4-net-mask | ipv6-addr | ipv6-addr-hex | ipv6-net | ipv6-net-mask ) ">
<!--
| Values for the AdditionalData.type attribute.
-->
<!ENTITY % attvals.adtype "
( boolean | byte | character | date-time | integer | ntpstamp |
portlist | real | string | byte-string | xmltext )
">
<!-- | Values for the AdditionalData.type attribute. --> <!ENTITY % attvals.adtype " ( boolean | byte | character | date-time | integer | ntpstamp | portlist | real | string | byte-string | xmltext ) ">
<!--
| Values for the Impact.completion attribute.
-->
<!ENTITY % attvals.completion "
( failed | succeeded )
">
<!--
| Values for the File.category attribute.
-->
<!ENTITY % attvals.filecat "
( current | original )
">
<!--| Impact.completion属性のための値。 --><!ENTITY%attvals.completion、「(失敗される|、成功、)、「><!--」| File.category属性のための値。 --><!ENTITY%attvals.filecat、「(電流| オリジナル)">"
<!ENTITY % attvals.fileperm "( noAccess | read | write | execute |
search | delete | executeAs | changePermissions |
takeOwnership)" >
<!ENTITY%「(noAccess| 読んでください| 書いてください| 探してください| |実行してください、そして、| executeAs|changePermissions|takeOwnershipを削除してください)」というattvals.fileperm>。
Debar, et al. Experimental [Page 105] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[105ページ]RFC4765IDMEF行進
<!--
| Values for the UserId.type attribute.
-->
<!ENTITY % attvals.idtype "
( current-user | original-user | target-user | user-privs |
current-group | group-privs | other-privs )
">
<!--| UserId.type属性のための値。 --><!ENTITY%attvals.idtype、「(現在のユーザ| オリジナルのユーザ| 利用対象者| ユーザ-privs| 現在のグループ| グループ-privs| 他のprivs)">"
<!--
| Values for the Impact.type attribute.
-->
<!ENTITY % attvals.impacttype "
( admin | dos | file | recon | user | other )
">
<!--| Impact.type属性のための値。 --><!ENTITY%attvals.impacttype、「(アドミン| dos| | 探察| ユーザをファイルしてください| 他)であるという">"
<!--
| Values for the Linkage.category attribute.
-->
<!ENTITY % attvals.linkcat "
( hard-link | mount-point | reparse-point | shortcut | stream |
symbolic-link )
">
<!--| Linkage.category属性のための値。 --><!ENTITY%attvals.linkcat、「(ハードリンク| 取付け位置| reparse-ポイント| 近道|流れ|シンボリックリンク)">"
<!--
| Values for the Checksum.algorithm attribute
-->
<!ENTITY % attvals.checksumalgos "
( MD4 | MD5 | SHA1 | SHA2-256 | SHA2-384 | SHA2-512 | CRC-32 |
Haval | Tiger | Gost )
">
<!--| Checksum.algorithm属性のための値--><!ENTITY%attvals.checksumalgos、「(MD4|MD5|SHA1|SHA2-256|SHA2-384|SHA2-512|CRC-32|Haval|タイガー| Gost)">"
<!--
| Values for the Node.category attribute.
-->
<!ENTITY % attvals.nodecat "
( unknown | ads | afs | coda | dfs | dns | hosts | kerberos |
nds | nis | nisplus | nt | wfw )
">
<!--| Node.category属性のための値。 --><!ENTITY%attvals.nodecat、「(未知|広告|afs|コーダ|dfs|dns|ホスト|kerberos|nds|nis|nisplus|nt|wfw)">"
<!--
| Values for the Reference.origin attribute.
-->
<!ENTITY % attvals.origin "
( unknown | vendor-specific | user-specific | bugtraqid | cve |
osvdb )
">
<!--| Reference.origin属性のための値。 --><!ENTITY%attvals.origin、「(未知| 業者詳細| ユーザ詳細| bugtraqid|cve|osvdb)">"
<!--
<!--
Debar, et al. Experimental [Page 106] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[106ページ]RFC4765IDMEF行進
| Values for the Confidence.rating attribute.
-->
<!ENTITY % attvals.rating "
( low | medium | high | numeric )
">
| Confidence.rating属性のための値。 --><!ENTITY%attvals.rating、「(安値|媒体|高値| 数値)">"
<!--
| Values for the Impact.severity attribute.
-->
<!ENTITY % attvals.severity "
( info | low | medium | high )
">
<!--| Impact.severity属性のための値。 --><!ENTITY%attvals.severity、「(インフォメーション| 安値|媒体|高値)">"
<!--
| Values for the User.category attribute.
-->
<!ENTITY % attvals.usercat "
( unknown | application | os-device )
">
<!--| User.category属性のための値。 --><!ENTITY%attvals.usercat、「(未知| アプリケーション| OS装置)">"
<!--
| Values for yes/no attributes such as Source.spoofed and
| Target.decoy.
-->
<!ENTITY % attvals.yesno "
( unknown | yes | no )
">
<!--| そしてSource.spoofedなどのはい/いいえ属性のための値。| Target.decoy。 --><!ENTITY%attvals.yesno、「(未知|はい、|いいえ)">"
<!-- ===============================================================
===================================================================
=== SECTION 3. Top-level element declarations. The IDMEF-Message
=== element and the types of messages it can include.
===================================================================
=============================================================== -->
<!--=============================================================== =================================================================== === セクション3。 要素宣言を先端で平らにしてください。 IDMEF-メッセージ=== それが含むことができるメッセージの要素とタイプ。 =================================================================== =============================================================== -->。
<!ELEMENT IDMEF-Message (
(Alert | Heartbeat)*
)>
<!ATTLIST IDMEF-Message
%attlist.global;
%attlist.idmef;
>
<!要素IDMEF-メッセージ(警戒| 鼓動)*) ><!ATTLIST IDMEF-メッセージ%attlist.global。 %attlist.idmef。 >。
<!ELEMENT Alert (
Analyzer, CreateTime, DetectTime?, AnalyzerTime?,
Source*, Target*, Classification, Assessment?, (ToolAlert |
OverflowAlert | CorrelationAlert)?, AdditionalData*
)>
<!要素警戒(AdditionalData*、分析器、CreateTime、DetectTime?、AnalyzerTime?、ソース*は*、分類、査定?、(ToolAlert|OverflowAlert|CorrelationAlert?)を狙います)>。
Debar, et al. Experimental [Page 107] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[107ページ]RFC4765IDMEF行進
<!ATTLIST Alert
messageid CDATA '0'
%attlist.global;
>
<!ATTLIST Alert messageid CDATA'0'%attlist.global。 >。
<!ELEMENT Heartbeat (
Analyzer, CreateTime, HeartbeatInterval?, AnalyzerTime?,
AdditionalData*
)>
<!ATTLIST Heartbeat
messageid CDATA '0'
%attlist.global;
>
<!ELEMENT Heartbeat(分析器、CreateTime、HeartbeatInterval?、AnalyzerTime?、AdditionalData*)><!ATTLIST Heartbeat messageid CDATA'0'%attlist.global。 >。
<!-- ===============================================================
===================================================================
=== SECTION 4. Subclasses of the Alert element that provide more
=== data for specific types of alerts.
===================================================================
=============================================================== -->
<!--=============================================================== =================================================================== === セクション4。 さらに提供されるAlert要素のサブクラス=== 特定のタイプの警戒のためのデータ。 =================================================================== =============================================================== -->。
<!ELEMENT CorrelationAlert (
name, alertident+
)>
<!ATTLIST CorrelationAlert
%attlist.global;
>
<!ELEMENT CorrelationAlert(名前、alertident+)><!ATTLIST CorrelationAlert%attlist.global。 >。
<!ELEMENT OverflowAlert (
program, size?, buffer?
)>
<!ATTLIST OverflowAlert
%attlist.global;
>
<!ELEMENT OverflowAlert(プログラム、サイズ--よりもみ皮製ですか?)><!ATTLIST OverflowAlert%attlist.global。 >。
<!ELEMENT ToolAlert (
name, command?, alertident+
)>
<!ATTLIST ToolAlert
%attlist.global;
>
<!ELEMENT ToolAlert、(名前、命令して、+) ><!ATTLIST ToolAlert%attlist.globalをalertidentします。 >。
<!-- ===============================================================
===================================================================
=== SECTION 5. The AdditionalData element. This element allows an
=== alert to include additional information that cannot
=== be encoded elsewhere in the data model.
===================================================================
<!--=============================================================== =================================================================== === セクション5。 AdditionalData要素。 この要素は許容します。=== そうすることができない追加情報を含むように、注意深いです。=== データモデルのほかの場所でコード化されてください。 ===================================================================
Debar, et al. Experimental [Page 108] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[108ページ]RFC4765IDMEF行進
=============================================================== -->
=============================================================== -->。
<!ELEMENT AdditionalData (
(boolean | byte | character | date-time |
integer | ntpstamp | portlist | real |
string | byte-string | xmltext )
)>
<!要素AdditionalData((論理演算子|バイト|キャラクタ| 日付-時間| 整数|ntpstamp|「恰幅のい-者」|本物|ストリング| バイトストリング| xmltext))>。
<!ATTLIST AdditionalData
type %attvals.adtype; 'string'
meaning CDATA #IMPLIED
%attlist.global;
>
<!ATTLIST AdditionalDataは%attvals.adtypeをタイプします。 'ストリング'意味CDATA#IMPLIED%attlist.global。 >。
<!-- ===============================================================
===================================================================
=== SECTION 6. Elements related to identifying entities - analyzers
=== (the senders of these messages), sources (of
=== attacks), and targets (of attacks).
===================================================================
=============================================================== -->
<!--=============================================================== =================================================================== === セクション6。 実体を特定すると関連する要素--分析器=== (これらのメッセージの送付者), ソース(==攻撃の)、および目標(攻撃の)。 =================================================================== =============================================================== -->。
<!ELEMENT Analyzer (
Node?, Process?, Analyzer?
)>
<!ATTLIST Analyzer
analyzerid CDATA '0'
name CDATA #IMPLIED
manufacturer CDATA #IMPLIED
model CDATA #IMPLIED
version CDATA #IMPLIED
class CDATA #IMPLIED
ostype CDATA #IMPLIED
osversion CDATA #IMPLIED
%attlist.global;
>
<!要素分析器(ノード(処理する)、分析器?)><!ATTLIST Analyzer analyzerid CDATA'0'はCDATA#IMPLIEDメーカーCDATA#IMPLIEDモデルCDATA#IMPLIEDバージョンCDATA#IMPLIEDクラスCDATA#IMPLIED ostype CDATA#IMPLIED osversion CDATA#IMPLIED%をattlist.globalと命名します。 >。
<!ELEMENT Classification (
Reference*
)>
<!ATTLIST Classification
ident CDATA '0'
text CDATA #REQUIRED
>
<!ELEMENT Classification(参照*)><!ATTLIST Classification ident CDATA'0'テキストCDATA#REQUIRED>。
<!ELEMENT Source (
Node?, User?, Process?, Service?
<!要素ソース、(ノード?、ユーザ(処理する)、サービス?
Debar, et al. Experimental [Page 109] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[109ページ]RFC4765IDMEF行進
)>
<!ATTLIST Source
ident CDATA '0'
spoofed %attvals.yesno; 'unknown'
interface CDATA #IMPLIED
%attlist.global;
>
)><!ATTLIST Source ident CDATA'0'は%attvals.yesnoをだましました。 '未知'のインタフェースCDATA#IMPLIED%attlist.global。 >。
<!ELEMENT Target (
Node?, User?, Process?, Service?, File*
)>
<!ATTLIST Target
ident CDATA '0'
decoy %attvals.yesno; 'unknown'
interface CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT Target(ノード?、User?、Process Service?、File*?)><!ATTLIST Target ident CDATA'0'は%attvals.yesnoをおびき寄せます。 '未知'のインタフェースCDATA#IMPLIED%attlist.global。 >。
<!ELEMENT Assessment (
Impact?, Action*, Confidence?
)>
<!ATTLIST Assessment
%attlist.global;
>
<!要素査定(衝撃?、動作*、信用?)><!ATTLIST査定%attlist.global。 >。
<!-- ===============================================================
===================================================================
=== SECTION 7. Support elements used for providing detailed info
=== about entities - addresses, names, etc.
===================================================================
=============================================================== -->
<!--=============================================================== =================================================================== === セクション7。 詳細なインフォメーションを提供するのに使用されるサポート要素=== 実体--アドレス、およそ名前、など =================================================================== =============================================================== -->。
<!ELEMENT Reference (
name, url
)>
<!ATTLIST Reference
origin %attvals.origin; 'unknown'
meaning CDATA #IMPLIED
>
<!ELEMENT Reference(名前、url)><!ATTLIST Reference起源%attvals.origin。 '未知'の意味CDATA#IMPLIED>。
<!ELEMENT Node (
location?, (name | Address), Address*
)>
<!ATTLIST Node
ident CDATA '0'
category %attvals.nodecat; 'unknown'
%attlist.global;
>
<!ELEMENT Node、(位置?、(名前| アドレス)、Address*) ><!ATTLIST Node ident CDATA'0'カテゴリ%attvals.nodecat。 '未知'の%attlist.global。 >。
Debar, et al. Experimental [Page 110] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[110ページ]RFC4765IDMEF行進
<!ELEMENT Address (
address, netmask?
)>
<!ATTLIST Address
ident CDATA '0'
category %attvals.addrcat; 'unknown'
vlan-name CDATA #IMPLIED
vlan-num CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT Address(アドレス、ネットマスク?)><!ATTLIST Address ident CDATA'0'カテゴリ%attvals.addrcat。 '未知'のvlan-名前CDATA#IMPLIED vlan-num CDATA#IMPLIED%attlist.global。 >。
<!ELEMENT File (
name, path, create-time?, modify-time?, access-time?,
data-size?, disk-size?, FileAccess*, Linkage*, Inode?,
Checksum*
)>
<!ATTLIST File
ident CDATA '0'
category %attvals.filecat; #REQUIRED
fstype CDATA #IMPLIED
file-type CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT File、(名前、経路、時間を作成していて時間を変更しているアクセスタイム?、データサイズ?、ディスクサイズ?、FileAccess*、Linkage*、Inode?、Checksum*) ><!ATTLIST File ident CDATA'0'カテゴリ%attvals.filecat。 #REQUIRED fstype CDATA#IMPLIEDファイルの種類CDATA#IMPLIED%attlist.global。 >。
<!ELEMENT Permission EMPTY >
<!ATTLIST Permission
perms %attvals.fileperm; #REQUIRED
%attlist.global;
>
<!ELEMENT Permission EMPTY><!ATTLIST Permissionは%attvals.filepermにパーマをかけます。 #%attlist.globalが必要でした。 >。
<!ELEMENT FileAccess (
UserId, Permission+
)>
<!ATTLIST FileAccess
%attlist.global;
>
<!要素FileAccess(ユーザID、許可+)><!ATTLIST FileAccess%attlist.global。 >。
<!ELEMENT Inode (
change-time?, (number, major-device, minor-device)?,
(c-major-device, c-minor-device)?
)>
<!ATTLIST Inode
%attlist.global;
>
<!ELEMENT Inode、(変化で調節していて(数と、主要な装置と、小さい方の装置)である、(c主要な装置、c小さい方の装置)?><!ATTLIST iノード%attlist.global。 >。
<!ELEMENT Linkage (
(name, path) | File
)>
<!要素リンケージ((名前、経路)| ファイルしてください)>。
Debar, et al. Experimental [Page 111] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[111ページ]RFC4765IDMEF行進
<!ATTLIST Linkage
category %attvals.linkcat; #REQUIRED
%attlist.global;
>
<!ATTLIST Linkageカテゴリ%attvals.linkcat。 #%attlist.globalが必要でした。 >。
<!ELEMENT Checksum (
value, key?
)>
<!ATTLIST Checksum
algorithm %attvals.checksumalgos; #REQUIRED
%attlist.global;
>
<!ELEMENT Checksum(値、キー?)><!ATTLIST Checksumアルゴリズム%attvals.checksumalgos。 #%attlist.globalが必要でした。 >。
<!ELEMENT Process (
name, pid?, path?, arg*, env*
)>
<!ATTLIST Process
ident CDATA '0'
%attlist.global;
>
<!ELEMENT Process、(名前、pid?、経路?、arg*、env*) ><!ATTLIST Process ident CDATA'0'%attlist.global。 >。
<!ELEMENT Service (
(((name, port?) | (port, name?)) | portlist), protocol?,
SNMPService?, WebService?
)>
<!ATTLIST Service
ident CDATA '0'
ip_version CDATA #IMPLIED
iana_protocol_number CDATA #IMPLIED
iana_protocol_name CDATA #IMPLIED
%attlist.global;
>
ELEMENT Service(名前、ポート?)| (名前)? | ポート、「恰幅のい-者」)が議定書の中で述べる<!--、SNMPService?、WebService)?><!ATTLIST Service ident CDATA'0'ip_バージョンCDATA#IMPLIED iana_プロトコル_番号CDATA#IMPLIED iana_は_名前CDATA#IMPLIED%attlist.globalについて議定書の中で述べます。 >。
<!ELEMENT SNMPService (
oid?, messageProcessingModel?, securityModel?, securityName?,
securityLevel?, contextName?, contextEngineID?, command?
)>
<!ATTLIST SNMPService
%attlist.global;
>
<!ELEMENT SNMPService(oid(messageProcessingModel(securityModel?、securityName?、securityLevel?、contextName?、contextEngineID?)?は命令します))><!ATTLIST SNMPService%attlist.global。 >。
<!ELEMENT User (
UserId+
)>
<!ATTLIST User
ident CDATA '0'
category %attvals.usercat; 'unknown'
%attlist.global;
<!ELEMENT User(UserId+)><!ATTLIST User ident CDATA'0'カテゴリ%attvals.usercat。 '未知'の%attlist.global。
Debar, et al. Experimental [Page 112] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[112ページ]RFC4765IDMEF行進
>
>。
<!ELEMENT UserId (
(name, number?) | (number, name?)
)>
<!ATTLIST UserId
ident CDATA '0'
type %attvals.idtype; 'original-user'
tty CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT UserId((名前、数?)| (数、名前?))><!ATTLIST UserId ident CDATA'0'は%attvals.idtypeをタイプします。 'オリジナルのユーザ'tty CDATA#IMPLIED%attlist.global。 >。
<!ELEMENT WebService (
url, cgi?, http-method?, arg*
)>
<!ATTLIST WebService
%attlist.global;
>
<!ELEMENT WebService、(url、管路気中送電--http方法であるか、arg*) ><!ATTLIST WebService%attlist.global。 >。
<!-- ===============================================================
===================================================================
=== SECTION 8. Simple elements with sub-elements or attributes of a
=== special nature.
===================================================================
=============================================================== -->
<!--=============================================================== =================================================================== === セクション8。 aの下位要素か属性がある単純要素=== 特別な自然。 =================================================================== =============================================================== -->。
<!ELEMENT Action (#PCDATA) >
<!ATTLIST Action
category %attvals.actioncat; 'other'
%attlist.global;
>
<!ELEMENT Action(#PCDATA)><!ATTLIST Actionカテゴリ%attvals.actioncat。 '他'の%attlist.global。 >。
<!ELEMENT CreateTime (#PCDATA) >
<!ATTLIST CreateTime
ntpstamp CDATA #REQUIRED
%attlist.global;
>
<!ELEMENT CreateTime(#PCDATA)><!ATTLIST CreateTime ntpstamp CDATA#REQUIRED%attlist.global。 >。
<!ELEMENT DetectTime (#PCDATA) >
<!ATTLIST DetectTime
ntpstamp CDATA #REQUIRED
%attlist.global;
<!ELEMENT DetectTime(#PCDATA)><!ATTLIST DetectTime ntpstamp CDATA#REQUIRED%attlist.global。
>
>。
<!ELEMENT AnalyzerTime (#PCDATA) >
<!ATTLIST AnalyzerTime
ntpstamp CDATA #REQUIRED
<!ELEMENT AnalyzerTime(#PCDATA)><!ATTLIST AnalyzerTime ntpstamp CDATA#REQUIRED
Debar, et al. Experimental [Page 113] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[113ページ]RFC4765IDMEF行進
%attlist.global;
>
%attlist.global。 >。
<!ELEMENT Confidence (#PCDATA) >
<!ATTLIST Confidence
rating %attvals.rating; 'numeric'
%attlist.global;
>
<!ELEMENT Confidence(#PCDATA)><!ATTLIST Confidence格付けの%attvals.rating。 '数値'の%attlist.global。 >。
<!ELEMENT Impact (#PCDATA) >
<!ATTLIST Impact
severity %attvals.severity; #IMPLIED
completion %attvals.completion; #IMPLIED
type %attvals.impacttype; 'other'
%attlist.global;
>
<!ELEMENT Impact(#PCDATA)><!ATTLIST Impact厳しさ%attvals.severity。 #IMPLIED完成%attvals.completion。 #IMPLIEDは%attvals.impacttypeをタイプします。 '他'の%attlist.global。 >。
<!ELEMENT alertident (#PCDATA) >
<!ATTLIST alertident
analyzerid CDATA #IMPLIED
%attlist.global;
>
<!ELEMENT alertident(#PCDATA)><!ATTLIST alertident analyzerid CDATA#IMPLIED%attlist.global。 >。
<!-- ===============================================================
===================================================================
=== SECTION 9. Simple elements with no sub-elements and no special
=== attributes.
===================================================================
=============================================================== -->
<!--=============================================================== =================================================================== === セクション9。 下位要素にもかかわらず、特別番組がないことのない単純要素=== 属性。 =================================================================== =============================================================== -->。
<!ELEMENT boolean (#PCDATA) > <!ATTLIST boolean %attlist.global; >
<!ELEMENT論理演算子(#PCDATA)><!ATTLIST論理演算子%attlist.global。 >。
<!ELEMENT byte (#PCDATA) > <!ATTLIST byte %attlist.global; >
<!要素バイト(#PCDATA)><!ATTLISTバイト%attlist.global。 >。
<!ELEMENT character (#PCDATA) > <!ATTLIST character %attlist.global; >
<!ELEMENTキャラクタ(#PCDATA)><!ATTLISTキャラクタ%attlist.global。 >。
<!ELEMENT date-time (#PCDATA) > <!ATTLIST date-time %attlist.global; >
<!ELEMENT日付-時間(#PCDATA)><!ATTLIST日付-時間%attlist.global。 >。
<!ELEMENT integer (#PCDATA) > <!ATTLIST integer %attlist.global; >
<!ELEMENT整数(#PCDATA)><!ATTLIST整数%attlist.global。 >。
<!ELEMENT ntpstamp (#PCDATA) > <!ATTLIST ntpstamp %attlist.global; >
<!ELEMENT ntpstamp(#PCDATA)><!ATTLIST ntpstamp%attlist.global。 >。
Debar, et al. Experimental [Page 114] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[114ページ]RFC4765IDMEF行進
<!ELEMENT real (#PCDATA) > <!ATTLIST real %attlist.global; >
<!のELEMENTの本当(#PCDATA)の><!ATTLIST本当の%attlist.global。 >。
<!ELEMENT string (#PCDATA) > <!ATTLIST string %attlist.global; >
<!ELEMENTストリング(#PCDATA)><!ATTLISTは%attlist.globalを結びます。 >。
<!ELEMENT byte-string (#PCDATA) > <!ATTLIST byte-string %attlist.global; >
<!ELEMENTバイトストリング(#PCDATA)><!ATTLISTバイトストリング%attlist.global。 >。
<!ELEMENT xmltext ANY > <!ATTLIST xmltext %attlist.global; >
<!ELEMENT xmltext、どんな><!ATTLIST xmltext%attlist.globalも。 >。
<!ELEMENT access-time (#PCDATA) > <!ATTLIST access-time %attlist.global; >
<!ELEMENTアクセスタイム(#PCDATA)><!ATTLISTアクセスタイム%attlist.global。 >。
<!ELEMENT address (#PCDATA) > <!ATTLIST address %attlist.global; >
<!ELEMENTアドレス(#PCDATA)><!ATTLISTは%attlist.globalを記述します。 >。
<!ELEMENT arg (#PCDATA) > <!ATTLIST arg %attlist.global; >
<!ELEMENT arg(#PCDATA)><!ATTLIST arg%attlist.global。 >。
<!ELEMENT buffer (#PCDATA) > <!ATTLIST buffer %attlist.global; >
<!ELEMENTバッファ(#PCDATA)><!ATTLISTは%attlist.globalをバッファリングします。 >。
<!ELEMENT c-major-device (#PCDATA) > <!ATTLIST c-major-device %attlist.global; >
<!のELEMENT cの主要な装置(#PCDATA)><!ATTLIST cの主要な装置%attlist.global。 >。
<!ELEMENT c-minor-device (#PCDATA) > <!ATTLIST c-minor-device %attlist.global; >
<!のELEMENT cの小さい方の装置(#PCDATA)><!ATTLIST cの小さい方の装置%attlist.global。 >。
<!ELEMENT cgi (#PCDATA) > <!ATTLIST cgi %attlist.global; >
<!ELEMENT管路気中送電(#PCDATA)><!ATTLIST管路気中送電%attlist.global。 >。
<!ELEMENT change-time (#PCDATA) > <!ATTLIST change-time %attlist.global; >
<!ELEMENT変化時間(#PCDATA)><!ATTLIST変化時間%attlist.global。 >。
<!ELEMENT command (#PCDATA) > <!ATTLIST command %attlist.global; >
<!ELEMENTコマンド(#PCDATA)><!ATTLISTは%attlist.globalを命令します。 >。
<!ELEMENT create-time (#PCDATA) > <!ATTLIST create-time %attlist.global; >
時間を作成している(#PCDATA)<!><!ATTLIST時間を作成しているELEMENT%attlist.global。 >。
<!ELEMENT data-size (#PCDATA) > <!ATTLIST data-size %attlist.global; >
<!ELEMENTデータサイズ(#PCDATA)><!ATTLISTデータサイズ%attlist.global。 >。
<!ELEMENT disk-size (#PCDATA) > <!ATTLIST disk-size %attlist.global; >
<!ELEMENTディスクサイズ(#PCDATA)><!ATTLISTディスクサイズ%attlist.global。 >。
Debar, et al. Experimental [Page 115] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[115ページ]RFC4765IDMEF行進
<!ELEMENT env (#PCDATA) > <!ATTLIST env %attlist.global; >
<!ELEMENT env(#PCDATA)><!ATTLIST env%attlist.global。 >。
<!ELEMENT http-method (#PCDATA) > <!ATTLIST http-method %attlist.global; >
<!ELEMENT http-方法(#PCDATA)><!ATTLIST http-方法%attlist.global。 >。
<!ELEMENT location (#PCDATA) > <!ATTLIST location %attlist.global; >
<!ELEMENT位置(#PCDATA)の><!ATTLIST位置の%attlist.global。 >。
<!ELEMENT major-device (#PCDATA) > <!ATTLIST major-device %attlist.global; >
<!のELEMENTの主要な装置(#PCDATA)><!ATTLIST主要な装置%attlist.global。 >。
<!ELEMENT minor-device (#PCDATA) > <!ATTLIST minor-device %attlist.global; >
<!のELEMENTの小さい方の装置(#PCDATA)><!ATTLIST小さい方の装置%attlist.global。 >。
<!ELEMENT modify-time (#PCDATA) > <!ATTLIST modify-time %attlist.global; >
時間を変更している(#PCDATA)<!><!ATTLIST時間を変更しているELEMENT%attlist.global。 >。
<!ELEMENT name (#PCDATA) > <!ATTLIST name %attlist.global; >
<!ELEMENT名(#PCDATA)の><!ATTLISTは%をattlist.globalと命名します。 >。
<!ELEMENT netmask (#PCDATA) > <!ATTLIST netmask %attlist.global; >
<!ELEMENTネットマスク(#PCDATA)><!ATTLISTネットマスク%attlist.global。 >。
<!ELEMENT number (#PCDATA) > <!ATTLIST number %attlist.global; >
<!ELEMENT番号(#PCDATA)><!ATTLIST数の%attlist.global。 >。
<!ELEMENT oid (#PCDATA) > <!ATTLIST oid %attlist.global; >
<!ELEMENT oid(#PCDATA)><!ATTLIST oid%attlist.global。 >。
<!ELEMENT path (#PCDATA) > <!ATTLIST path %attlist.global; >
<!ELEMENT経路(#PCDATA)><!ATTLIST経路%attlist.global。 >。
<!ELEMENT permission (#PCDATA) > <!ATTLIST permission %attlist.global; >
<!ELEMENT許可(#PCDATA)><!ATTLIST許可%attlist.global。 >。
<!ELEMENT pid (#PCDATA) > <!ATTLIST pid %attlist.global; >
<!ELEMENT pid(#PCDATA)><!ATTLIST pid%attlist.global。 >。
<!ELEMENT port (#PCDATA) > <!ATTLIST port %attlist.global; >
<!ELEMENTポート(#PCDATA)><!ATTLISTは%attlist.globalを移植します。 >。
<!ELEMENT portlist (#PCDATA) > <!ATTLIST portlist %attlist.global; >
<!ELEMENT portlist(#PCDATA)><!ATTLIST portlist%attlist.global。 >。
<!ELEMENT program (#PCDATA) > <!ATTLIST program %attlist.global; >
<!ELEMENTプログラム(#PCDATA)><!ATTLISTは%attlist.globalをプログラムします。 >。
Debar, et al. Experimental [Page 116] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[116ページ]RFC4765IDMEF行進
<!ELEMENT protocol (#PCDATA) > <!ATTLIST protocol %attlist.global; >
<!ELEMENTプロトコル(#PCDATA)><!ATTLISTは%attlist.globalについて議定書の中で述べます。 >。
<!ELEMENT size (#PCDATA) > <!ATTLIST size %attlist.global; >
<!ELEMENTサイズ(#PCDATA)><!ATTLISTサイズ%attlist.global。 >。
<!ELEMENT url (#PCDATA) > <!ATTLIST url %attlist.global; >
<!ELEMENT url(#PCDATA)><!ATTLIST url%attlist.global。 >。
<!ELEMENT HeartbeatInterval (#PCDATA) > <!ATTLIST HeartbeatInterval %attlist.global; >
<!要素HeartbeatInterval(#PCDATA)><!ATTLIST HeartbeatInterval%attlist.global。 >。
<!ELEMENT messageProcessingModel (#PCDATA) > <!ATTLIST messageProcessingModel %attlist.global;>
<!要素messageProcessingModel(#PCDATA)><!ATTLIST messageProcessingModel%attlist.global。>。
<!ELEMENT securityModel (#PCDATA) > <!ATTLIST securityModel %attlist.global; >
<!要素securityModel(#PCDATA)><!ATTLIST securityModel%attlist.global。 >。
<!ELEMENT securityName (#PCDATA) > <!ATTLIST securityName %attlist.global; >
<!要素securityName(#PCDATA)><!ATTLIST securityName%attlist.global。 >。
<!ELEMENT securityLevel (#PCDATA) > <!ATTLIST securityLevel %attlist.global; >
<!要素securityLevel(#PCDATA)><!ATTLIST securityLevel%attlist.global。 >。
<!ELEMENT contextName (#PCDATA) > <!ATTLIST contextName %attlist.global; >
<!要素contextName(#PCDATA)><!ATTLIST contextName%attlist.global。 >。
<!ELEMENT contextEngineID (#PCDATA) > <!ATTLIST contextEngineID %attlist.global; >
<!要素contextEngineID(#PCDATA)><!ATTLIST contextEngineID%attlist.global。 >。
<!ELEMENT value (#PCDATA) > <!ATTLIST value %attlist.global; >
<!ELEMENT価値(#PCDATA)の><!ATTLISTは%attlist.globalを評価します。 >。
<!ELEMENT key (#PCDATA) > <!ATTLIST key %attlist.global; >
<!主要な(#PCDATA)><!ATTLIST主要なELEMENT%attlist.global。 >。
<!-- End of IDMEF DTD -->
<!--IDMEF DTDの終わり-->。
9. Security Considerations
9. セキュリティ問題
This document describes a data representation for exchanging security-related information between intrusion detection system implementations. Although there are no security concerns directly applicable to the format of this data, the data itself may contain security-sensitive information whose confidentiality, integrity, and/or availability may need to be protected.
このドキュメントは侵入検知システム実現の間でセキュリティ関連の情報を交換するデータ表現について説明します。 直接このデータの形式に適切などんな安全上の配慮もありませんが、データ自体はだれの秘密性、保全、そして/または、有用性が、保護される必要があるかもしれないかというセキュリティ機密情報を含むかもしれません。
Debar, et al. Experimental [Page 117] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[117ページ]RFC4765IDMEF行進
This suggests that the systems used to collect, transmit, process, and store this data should be protected against unauthorized use and that the data itself should be protected against unauthorized access. The means for achieving this protection are outside the scope of this document.
これは、このデータを集めて、送って、処理して、格納するのに使用されるシステムが無断使用に対して保護されるべきであり、データ自体が不正アクセスに対して保護されるべきであると示唆します。 このドキュメントの範囲の外にこの保護を達成するための手段があります。
Section 5 of [2] describes the required and recommended security characteristics of the transmission protocol that will be used to deliver IDMEF data from analyzers to managers. These requirements include message confidentiality, message integrity, non-repudiation, and avoidance of duplicate messages. Both standard and proposed protocols exist that provide these features.
[2]のセクション5は分析器からマネージャまでデータをIDMEFに渡すのに使用されるトランスミッションプロトコルの必要でお勧めのセキュリティの特性について説明します。 これらの要件は写しメッセージのメッセージ秘密性、メッセージの保全、非拒否、および回避を含んでいます。 これらの特徴を提供する標準の、そして、提案の両方にされたプロトコルが存在しています。
Where a protocol that does not meet the requirements of Section 5 of [2] is used to exchange IDMEF messages, it may be desirable to use digital signatures to certify the integrity of these messages; this is discussed in Section 6.5 of this document.
[2]のセクション5に関する必要条件を満たさないプロトコルがIDMEFメッセージを交換するのに使用されるところでは、これらのメッセージの保全を公認するのにデジタル署名を使用するのは望ましいかもしれません。 このドキュメントのセクション6.5でこれについて議論します。
10. IANA Considerations
10. IANA問題
Section 5 describes how to use the AdditionalData class to include arbitrary "atomic" data items in an IDMEF message, as well as how AdditionalData may be used to extend the DTD itself by adding new classes and attributes.
セクション5はIDMEFメッセージに任意の「原子」のデータ項目を含むのにAdditionalDataのクラスを使用する方法を説明します、AdditionalDataが新しいクラスと属性を加えることによってDTD自体を広げるのにどう使用されるかもしれないかと同様に。
From time to time, it may be desirable to move an extension from its private or local use status (as all extensions made via the above mechanism are) to "standard" status that should be supported by all implementations.
時々、兵卒から拡大を動かすのが望ましいかもしれないか、またはローカルはすべての実現で支持されるべきである「標準」の状態に状態(すべてとして、上のメカニズムでされた拡大はそうである)を使用します。
This may be accomplished as described in this section.
これはこのセクションで説明されるように達成されるかもしれません。
10.1. Adding Values to Existing Attributes
10.1. 既存の属性に価値を高めます。
Several of the attributes specified in this document have lists of permissible values that they may contain. To allow the addition of new values to these lists, the IANA created a repository for attribute values called "Intrusion Detection Message Exchange Format (IDMEF) Attribute Values".
本書では指定されたいくつかの属性がそれらが含むかもしれない許容値のリストを持っています。 これらのリストへの新しい値の追加を許すために、IANAは「押しつけ検出交換処理形式(IDMEF)属性値」と呼ばれる属性値のための倉庫を作成しました。
Following the policies outlined in [9], this repository is "Specification Required" by RFC. Section 10.1.1 describes the initial values for this repository.
[9]に概説された方針に従って、この倉庫はRFCによる「必要である仕様」です。 セクション10.1 .1 初期の値についてこの倉庫に説明します。
Debar, et al. Experimental [Page 118] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[118ページ]RFC4765IDMEF行進
To create a new attribute, you MUST publish an RFC to document the type. In the RFC, include a copy of the registration template found in Section 10.1.2 of this document. Put the template in your IANA Considerations section, filling in the appropriate fields. You MUST describe any interoperability and security issues in your document.
新しい属性を作成するなら、あなたは、タイプを記録するためにRFCを発行しなければなりません。 RFCでは、この.2通のセクション10.1ドキュメントで見つけられた登録テンプレートのコピーを含めてください。 適切な分野に記入して、IANA Considerations部にテンプレートを置いてください。 あなたはあなたのドキュメントのどんな相互運用性と安全保障問題についても説明しなければなりません。
When adding a new attribute value to the repository, the IANA shall assign the next rank number in numerical sequence for the value.
新しい属性値を倉庫に加えるとき、IANAは数字の系列の値の次のランク番号を割り当てるものとします。
10.1.1. Attribute Registrations
10.1.1. 属性登録証明書
IDMEF Class Name: Reference
IDMEFクラス名: 参照
IDMEF Attribute Name: origin
IDMEFは名前を結果と考えます: 発生源
Registered Values:
登録された値:
+------+-----------------+------------------------------------------+
| Rank | Keyword | Description |
+------+-----------------+------------------------------------------+
| 0 | unknown | Origin of the name is not known |
| 1 | vendor-specific | A vendor-specific name (and hence, URL); |
| | | this can be used to provide |
| | | product-specific information |
| 2 | user-specific | A user-specific name (and hence, URL); |
| | | this can be used to provide |
| | | installation-specific information |
| 3 | bugtraqid | The SecurityFocus ("Bugtraq") |
| | | vulnerability database identifier |
| | | (http://www.securityfocus.com/bid) |
| 4 | cve | The Common Vulnerabilities and Exposures |
| | | (CVE) name (http://cve.mitre.org/) |
| 5 | osvdb | The Open Source Vulnerability Database |
| | | (http://www.osvdb.org) |
+------+-----------------+------------------------------------------+
+------+-----------------+------------------------------------------+ | ランク| キーワード| 記述| +------+-----------------+------------------------------------------+ | 0 | 未知| 名前の発生源は知られていません。| | 1 | ベンダー特有です。| ベンダー種名(そして、したがって、URL)。 | | | | 提供するのにこれを使用できます。| | | | 製品特殊情報| | 2 | ユーザ特有です。| ユーザ種名(そして、したがって、URL)。 | | | | 提供するのにこれを使用できます。| | | | インストール特殊情報| | 3 | bugtraqid| SecurityFocus("Bugtraq")| | | | 脆弱性データベース識別子| | | | ( http://www.securityfocus.com/bid ) | | 4 | cve| 一般的な脆弱性と暴露| | | | (CVE) 名前( http://cve.mitre.org/ )| | 5 | osvdb| オープンソース脆弱性データベース| | | | ( http://www.osvdb.org ) | +------+-----------------+------------------------------------------+
Debar, et al. Experimental [Page 119] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[119ページ]RFC4765IDMEF行進
IDMEF Class Name: Source
IDMEFクラス名: ソース
IDMEF Attribute Name: spoofed
IDMEFは名前を結果と考えます: だまします。
Registered Values:
登録された値:
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of source information unknown |
| 1 | yes | Source is believed to be a decoy |
| 2 | no | Source is believed to be "real" |
+------+---------+----------------------------------------+
+------+---------+----------------------------------------+ | ランク| キーワード| 記述| +------+---------+----------------------------------------+ | 0 | 未知| ソース情報未知の精度| | 1 | はい| ソースはおとりであると信じられています。| | 2 | いいえ| ソースが「本当である」と信じられています。| +------+---------+----------------------------------------+
IDMEF Class Name: Target
IDMEFクラス名: 目標
IDMEF Attribute Name: decoy
IDMEFは名前を結果と考えます: おとり
Registered Values:
登録された値:
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of target information unknown |
| 1 | yes | Target is believed to be a decoy |
| 2 | no | Target is believed to be "real" |
+------+---------+----------------------------------------+
+------+---------+----------------------------------------+ | ランク| キーワード| 記述| +------+---------+----------------------------------------+ | 0 | 未知| 目標情報未知の精度| | 1 | はい| 目標はおとりであると信じられています。| | 2 | いいえ| 目標が「本当である」と信じられています。| +------+---------+----------------------------------------+
Debar, et al. Experimental [Page 120] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[120ページ]RFC4765IDMEF行進
IDMEF Class Name: AdditionalData
IDMEFクラス名: AdditionalData
IDMEF Attribute Name: type
IDMEFは名前を結果と考えます: タイプ
Registered Values:
登録された値:
+------+-------------+----------------------------------------------+ | Rank | Keyword | Description | +------+-------------+----------------------------------------------+ | 0 | boolean | The element contains a boolean value, i.e., | | | | the strings "true" or "false" | | 1 | byte | The element content is a single 8-bit byte | | | | (see Section 3.2.4) | | 2 | character | The element content is a single character | | | | (see Section 3.2.3) | | 3 | date-time | The element content is a date-time string | | | | (see Section 3.2.6) | | 4 | integer | The element content is an integer (see | | | | Section 3.2.1) | | 5 | ntpstamp | The element content is an NTP timestamp (see | | | | Section 3.2.7) | | 6 | portlist | The element content is a list of ports (see | | | | Section 3.2.8) | | 7 | real | The element content is a real number (see | | | | Section 3.2.2) | | 8 | string | The element content is a string (see | | | | Section 3.2.3) | | 9 | byte-string | The element content is a byte[] (see | | | | Section 3.2.4) | | 10 | xmltext | The element content is XML-tagged data (see | | | | Section 5.2) | +------+-------------+----------------------------------------------+
+------+-------------+----------------------------------------------+ | ランク| キーワード| 記述| +------+-------------+----------------------------------------------+ | 0 | 論理演算子| すなわち、要素はブール値を含んでいます。| | | | ストリング「本当である」か「誤る」| | 1 | バイト| 要素含有量は8ビットの1バイトです。| | | | (セクション3.2.4を見ます) | | 2 | キャラクタ| 要素含有量は単独のキャラクタです。| | | | (セクション3.2.3を見ます) | | 3 | 日付-時間| 要素含有量は日付-時間ストリングです。| | | | (セクション3.2.6を見ます) | | 4 | 整数| 要素含有量は整数(| | | | セクション3.2.1を見る)です。| | 5 | ntpstamp| 要素含有量はNTPタイムスタンプ(| | | | セクション3.2.7を見る)です。| | 6 | 「恰幅のい-者」| 要素含有量はポートのリスト(| | | | セクション3.2.8を見る)です。| | 7 | 本当| 要素含有量は実数(| | | | セクション3.2.2を見る)です。| | 8 | ストリング| 要素含有量はストリング(| | | | セクション3.2.3を見る)です。| | 9 | バイトストリング| 要素含有量はバイト[]です(| | | | セクション3.2.4を見てください)。| | 10 | xmltext| 要素含有量はXMLによってタグ付けをされたデータ(| | | | セクション5.2を見る)です。| +------+-------------+----------------------------------------------+
Debar, et al. Experimental [Page 121] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[121ページ]RFC4765IDMEF行進
IDMEF Class Name: Impact
IDMEFクラス名: 影響
IDMEF Attribute Name: severity
IDMEFは名前を結果と考えます: 厳しさ
Registered Values:
登録された値:
+------+---------+-----------------------------------------+
| Rank | Keyword | Description |
+------+---------+-----------------------------------------+
| 0 | info | Alert represents informational activity |
| | | |
| 1 | low | Low severity |
| | | |
| 2 | medium | Medium severity |
| | | |
| 3 | high | High severity |
+------+---------+-----------------------------------------+
+------+---------+-----------------------------------------+ | ランク| キーワード| 記述| +------+---------+-----------------------------------------+ | 0 | インフォメーション| 警戒は情報の活動を表します。| | | | | | 1 | 安値| 低厳しさ| | | | | | 2 | 媒体| 中型の厳しさ| | | | | | 3 | 高値| 高い厳しさ| +------+---------+-----------------------------------------+
IDMEF Class Name: Impact
IDMEFクラス名: 影響
IDMEF Attribute Name: completion
IDMEFは名前を結果と考えます: 完成
Registered Values:
登録された値:
+------+-----------+--------------------------------+
| Rank | Keyword | Description |
+------+-----------+--------------------------------+
| 0 | failed | The attempt was not successful |
| 1 | succeeded | The attempt succeeded |
+------+-----------+--------------------------------+
+------+-----------+--------------------------------+ | ランク| キーワード| 記述| +------+-----------+--------------------------------+ | 0 | 失敗されます。| 試みはうまくいきませんでした。| | 1 | 成功します。| 試みは成功しました。| +------+-----------+--------------------------------+
Debar, et al. Experimental [Page 122] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[122ページ]RFC4765IDMEF行進
IDMEF Class Name: Impact
IDMEFクラス名: 影響
IDMEF Attribute Name: type
IDMEFは名前を結果と考えます: タイプ
Registered Values:
登録された値:
+------+---------+--------------------------------------------------+ | Rank | Keyword | Description | +------+---------+--------------------------------------------------+ | 0 | admin | Administrative privileges were attempted or | | | | obtained | | 1 | dos | A denial of service was attempted or completed | | 2 | file | An action on a file was attempted or completed | | 3 | recon | A reconnaissance probe was attempted or | | | | completed | | 4 | user | User privileges were attempted or obtained | | 5 | other | Anything not in one of the above categories | +------+---------+--------------------------------------------------+
+------+---------+--------------------------------------------------+ | ランク| キーワード| 記述| +------+---------+--------------------------------------------------+ | 0 | アドミン| または管理特権が試みられた。| | | | 得ます。| | 1 | dos| サービスの否定は、試みられたか、または終了しました。| | 2 | ファイル| ファイルへの操作は、試みられたか、または完了しました。| | 3 | 探察| または偵察徹底的調査が試みられた。| | | | 完成されます。| | 4 | ユーザ| ユーザ特権を試みたか、または得ました。| | 5 | 他| 上のカテゴリの1つでないのにおける何でも| +------+---------+--------------------------------------------------+
IDMEF Class Name: Action
IDMEFクラス名: 動作
IDMEF Attribute Name: category
IDMEFは名前を結果と考えます: カテゴリ
Registered Values:
登録された値:
+------+-------------------+----------------------------------------+ | Rank | Keyword | Description | +------+-------------------+----------------------------------------+ | 0 | block-installed | A block of some sort was installed to | | | | prevent an attack from reaching its | | | | destination. The block could be a | | | | port block, address block, etc., or | | | | disabling a user account. | | 1 | notification-sent | A notification message of some sort | | | | was sent out-of-band (via pager, | | | | e-mail, etc.). Does not include the | | | | transmission of this alert. | | 2 | taken-offline | A system, computer, or user was taken | | | | offline, as when the computer is shut | | | | down or a user is logged off. | | 3 | other | Anything not in one of the above | | | | categories. | +------+-------------------+----------------------------------------+
+------+-------------------+----------------------------------------+ | ランク| キーワード| 記述| +------+-------------------+----------------------------------------+ | 0 | ブロックで、インストールされています。| 1ブロックのある種にインストールされました。| | | | 攻撃に達するのを防いでください、それ| | | | 目的地。 ブロックはaであるかもしれません。| | | | またはブロック、あて先ブロックなどを移植してください。| | | | ユーザアカウントを無効にします。 | | 1 | 通知で、送ります。| ある種の通知メッセージ| | | | バンドの外(| | | | ポケットベル、メールなどで)に送りました。 含んでいません。| | | | この警戒の送信。 | | 2 | -オフラインで取ります。| システム、コンピュータ、またはユーザが乗られました。| | | | オフライン、コンピュータが閉まっている時| | | | 下であるかユーザログオフされます。 | | 3 | 他| 上記の1つでないところの何でも| | | | カテゴリ。 | +------+-------------------+----------------------------------------+
Debar, et al. Experimental [Page 123] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[123ページ]RFC4765IDMEF行進
IDMEF Class Name: Confidence
IDMEFクラス名: 信用
IDMEF Attribute Name: rating
IDMEFは名前を結果と考えます: 格付け
Registered Values:
登録された値:
+------+---------+--------------------------------------------------+ | Rank | Keyword | Description | +------+---------+--------------------------------------------------+ | 0 | low | The analyzer has little confidence in its | | | | validity | | 1 | medium | The analyzer has average confidence in its | | | | validity | | 2 | high | The analyzer has high confidence in its validity | | 3 | numeric | The analyzer has provided a posterior | | | | probability value indicating its confidence in | | | | its validity | +------+---------+--------------------------------------------------+
+------+---------+--------------------------------------------------+ | ランク| キーワード| 記述| +------+---------+--------------------------------------------------+ | 0 | 安値| 分析器には信用がほとんどない、それ| | | | 正当性| | 1 | 媒体| 分析器には平均した信用がある、それ| | | | 正当性| | 2 | 高値| 分析器には、正当性における高い信用があります。| | 3 | 数値| 分析器は後部を提供しました。| | | | 中に信用を示す確率値| | | | その正当性| +------+---------+--------------------------------------------------+
IDMEF Class Name: Node
IDMEFクラス名: ノード
IDMEF Attribute Name: category
IDMEFは名前を結果と考えます: カテゴリ
Registered Values:
登録された値:
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | unknown | Domain unknown or not relevant |
| 1 | ads | Windows 2000 Advanced Directory Services |
| 2 | afs | Andrew File System (Transarc) |
| 3 | coda | Coda Distributed File System |
| 4 | dfs | Distributed File System (IBM) |
| 5 | dns | Domain Name System |
| 6 | hosts | Local hosts file |
| 7 | kerberos | Kerberos realm |
| 8 | nds | Novell Directory Services |
| 9 | nis | Network Information Services (Sun) |
| 10 | nisplus | Network Information Services Plus (Sun) |
| 11 | nt | Windows NT domain |
| 12 | wfw | Windows for Workgroups |
+------+----------+------------------------------------------+
+------+----------+------------------------------------------+ | ランク| キーワード| 記述| +------+----------+------------------------------------------+ | 0 | 未知| ドメイン未知である、または関連していません。| | 1 | 広告| Windows2000の高度なディレクトリサービス| | 2 | afs| アンドリューファイルシステム(Transarc)| | 3 | コーダ| コーダ分散ファイルシステム| | 4 | dfs| 分散ファイルシステム(IBM)| | 5 | dns| ドメインネームシステム| | 6 | ホスト| ローカル・ホストファイル| | 7 | kerberos| ケルベロス分野| | 8 | nds| ノベルディレクトリサービス| | 9 | nis| ネットワーク情報サービス(Sun)| | 10 | nisplus| ネットワーク情報サービスと(Sun)| | 11 | nt| Windows NTドメイン| | 12 | wfw| Windows for Workgroups| +------+----------+------------------------------------------+
Debar, et al. Experimental [Page 124] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[124ページ]RFC4765IDMEF行進
IDMEF Class Name: Address
IDMEFクラス名: アドレス
IDMEF Attribute Name: category
IDMEFは名前を結果と考えます: カテゴリ
Registered Values:
登録された値:
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | unknown | Address type unknown |
| 1 | atm | Asynchronous Transfer Mode network address |
| 2 | e-mail | Electronic mail address (RFC 822) |
| 3 | lotus-notes | Lotus Notes e-mail address |
| 4 | mac | Media Access Control (MAC) address |
| 5 | sna | IBM Shared Network Architecture (SNA) |
| | | address |
| 6 | vm | IBM VM ("PROFS") e-mail address |
| 7 | ipv4-addr | IPv4 host address in dotted-decimal |
| | | notation (a.b.c.d) |
| 8 | ipv4-addr-hex | IPv4 host address in hexadecimal notation |
| 9 | ipv4-net | IPv4 network address in dotted-decimal |
| | | notation, slash, significant bits |
| | | (a.b.c.d/nn) |
| 10 | ipv4-net-mask | IPv4 network address in dotted-decimal |
| | | notation, slash, network mask in |
| | | dotted-decimal notation (a.b.c.d/w.x.y.z) |
| 11 | ipv6-addr | IPv6 host address |
| 12 | ipv6-addr-hex | IPv6 host address in hexadecimal notation |
| 13 | ipv6-net | IPv6 network address, slash, significant |
| | | bits |
| 14 | ipv6-net-mask | IPv6 network address, slash, network mask |
+------+---------------+--------------------------------------------+
+------+---------------+--------------------------------------------+ | ランク| キーワード| 記述| +------+---------------+--------------------------------------------+ | 0 | 未知| アドレスタイプ未知| | 1 | 気圧| 非同期なTransfer Modeネットワーク・アドレス| | 2 | メール| 電子メールアドレス(RFC822)| | 3 | 蓮注意| ロータスノーツEメールアドレス| | 4 | mac| メディアAccess Control(MAC)アドレス| | 5 | sna| IBM共用回線網アーキテクチャ(SNA)| | | | アドレス| | 6 | vm| IBM VM(「PROFS」)Eメールアドレス| | 7 | ipv4-addr| ドット付き10進法におけるIPv4ホスト・アドレス| | | | 記法(a.b.c.d)| | 8 | ipv4-addr-十六進法| 16進法におけるIPv4ホスト・アドレス| | 9 | ipv4-ネット| ドット付き10進法におけるIPv4ネットワーク・アドレス| | | | 記法、スラッシュ、重要なビット| | | | (a.b.c.d/nn) | | 10 | ipv4-ネットマスク| ドット付き10進法におけるIPv4ネットワーク・アドレス| | | | 記法、スラッシュ、中のネットワークマスク| | | | ドット付き10進法(a.b.c.d/w.x.y.z)| | 11 | ipv6-addr| IPv6ホスト・アドレス| | 12 | ipv6-addr-十六進法| 16進法におけるIPv6ホスト・アドレス| | 13 | ipv6-ネット| スラッシュの、そして、重要なIPv6ネットワーク・アドレス| | | | ビット| | 14 | ipv6-ネットマスク| IPv6ネットワーク・アドレス、スラッシュ、ネットワークマスク| +------+---------------+--------------------------------------------+
Debar, et al. Experimental [Page 125] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[125ページ]RFC4765IDMEF行進
IDMEF Class Name: User
IDMEFクラス名: ユーザ
IDMEF Attribute Name: category
IDMEFは名前を結果と考えます: カテゴリ
Registered Values:
登録された値:
+------+-------------+------------------------------------+
| Rank | Keyword | Description |
+------+-------------+------------------------------------+
| 0 | unknown | User type unknown |
| 1 | application | An application user |
| 2 | os-device | An operating system or device user |
+------+-------------+------------------------------------+
+------+-------------+------------------------------------+ | ランク| キーワード| 記述| +------+-------------+------------------------------------+ | 0 | 未知| ユーザタイプ未知| | 1 | アプリケーション| アプリケーションユーザ| | 2 | OSデバイス| オペレーティングシステムかデバイスユーザ| +------+-------------+------------------------------------+
IDMEF Class Name: UserId
IDMEFクラス名: ユーザID
IDMEF Attribute Name: category
IDMEFは名前を結果と考えます: カテゴリ
Registered Values:
登録された値:
+------+---------------+--------------------------------------------+ | Rank | Keyword | Description | +------+---------------+--------------------------------------------+ | 0 | current-user | The current user id being used by the user | | | | or process. On Unix systems, this would | | | | be the "real" user id, in general. | | 1 | original-user | The actual identity of the user or process | | | | being reported on. On those systems that | | | | (a) do some type of auditing and (b) | | | | support extracting a user id from the | | | | "audit id" token, that value should be | | | | used. On those systems that do not | | | | support this, and where the user has | | | | logged into the system, the "login id" | | | | should be used. | | 2 | target-user | The user id the user or process is | | | | attempting to become. This would apply, | | | | on Unix systems for example, when the user | | | | attempts to use "su", "rlogin", "telnet", | | | | etc. |
+------+---------------+--------------------------------------------+ | ランク| キーワード| 記述| +------+---------------+--------------------------------------------+ | 0 | 現在のユーザ| ユーザによって使用される現在のユーザイド| | | | または、処理してください。 Unixシステムに関して、これはそうするでしょう。| | | | 一般に、「本当」のユーザイドになってください。 | | 1 | オリジナルのユーザ| ユーザかプロセスの実際のアイデンティティ| | | | オンであると報告されること。 それらのシステム、それ| | | | (a) タイプの監査と(b)をしてください。| | | | ユーザイドを抽出にサポートします。| | | | 「監査イド」トークン、その値はそうであるべきです。| | | | 使用にされる。 そうしないそれらのシステムに関して| | | | サポート、ユーザが持っているこれ、およびどこ| | | | システム、「ログインイド」に登録されます。| | | | 使用されるべきです。 | | 2 | 利用対象者| ユーザイド、ユーザかプロセスがそうです。| | | | なるのを試みます。 これは適用されるでしょう。| | | | 例えば、Unixシステムユーザです。| | | | "su"、"rlogin"「telnet」を使用する試み| | | | など |
Debar, et al. Experimental [Page 126] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[126ページ]RFC4765IDMEF行進
| 3 | user-privs | Another user id the user or process has | | | | the ability to use, or a user id | | | | associated with a file permission. On | | | | Unix systems, this would be the | | | | "effective" user id in a user or process | | | | context, and the owner permissions in a | | | | file context. Multiple UserId elements of | | | | this type may be used to specify a list of | | | | privileges. | | 4 | current-group | The current group id (if applicable) being | | | | used by the user or process. On Unix | | | | systems, this would be the "real" group | | | | id, in general. | | 5 | group-privs | Another group id the group or process has | | | | the ability to use, or a group id | | | | associated with a file permission. On | | | | Unix systems, this would be the | | | | "effective" group id in a group or process | | | | context, and the group permissions in a | | | | file context. On BSD-derived Unix | | | | systems, multiple UserId elements of this | | | | type would be used to include all the | | | | group ids on the "group list". | | 6 | other-privs | Not used in a user, group, or process | | | | context, only used in the file context. | | | | The file permissions assigned to users who | | | | do not match either the user or group | | | | permissions on the file. On Unix systems, | | | | this would be the "world" permissions. | +------+---------------+--------------------------------------------+
| 3 | ユーザ-privs| ユーザかプロセスにはある別のユーザイド| | | | 使用する能力、またはユーザイド| | | | ファイル許可に関連しています。 オン| | | | unixシステムであり、これはそうでしょう。| | | | ユーザかプロセスの「有効な」ユーザイド| | | | 文脈、およびaでの所有者許容| | | | 文脈をファイルしてください。 複数のUserId要素| | | | このタイプはリストを指定するのにおいて使用されているかもしれません。| | | | 特権。 | | 4 | 現在のグループ| 現在のグループイド(適切であるなら)存在| | | | ユーザかプロセスで、使用されます。 unixに関して| | | | システムであり、これは「本当」のグループでしょう。| | | | 一般にイド。 | | 5 | グループ-privs| グループかプロセスにはある別のグループイド| | | | 使用する能力、またはグループイド| | | | ファイル許可に関連しています。 オン| | | | unixシステムであり、これはそうでしょう。| | | | グループかプロセスの「有効な」グループイド| | | | 文脈、およびaでのグループ許容| | | | 文脈をファイルしてください。 BSDによって派生させられたunixに関して| | | | システム、この複数のUserId要素| | | | タイプは、すべてを含むのに使用されるでしょう。| | | | 「グループリスト」でイドを分類してください。 | | 6 | 他のprivs| ユーザ、グループ、またはプロセスでは、使用されません。| | | | ファイル文脈で使用されるだけである文脈。 | | | | ファイル許容はユーザにだれを選任したか。| | | | ユーザかグループを合わせないでください。| | | | ファイルにおける許容。 Unixシステムに関して| | | | これは「世界」許容でしょう。 | +------+---------------+--------------------------------------------+
IDMEF Class Name: File
IDMEFクラス名: ファイル
IDMEF Attribute Name: category
IDMEFは名前を結果と考えます: カテゴリ
Registered Values:
登録された値:
+------+----------+-------------------------------------------------+ | Rank | Keyword | Description | +------+----------+-------------------------------------------------+ | 0 | current | The file information is from after the reported | | | | change | | 1 | original | The file information is from before the | | | | reported change | +------+----------+-------------------------------------------------+
+------+----------+-------------------------------------------------+ | ランク| キーワード| 記述| +------+----------+-------------------------------------------------+ | 0 | 電流| 情報が報告の後に来ているファイル| | | | 変化| | 1 | オリジナル| ファイル情報は以前から来ています。| | | | 報告された変化| +------+----------+-------------------------------------------------+
Debar, et al. Experimental [Page 127] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[127ページ]RFC4765IDMEF行進
IDMEF Class Name: File
IDMEFクラス名: ファイル
IDMEF Attribute Name: fstype
IDMEFは名前を結果と考えます: fstype
Registered Values:
登録された値:
+------+---------+-------------------------------------+
| Rank | Keyword | Description |
+------+---------+-------------------------------------+
| 0 | ufs | Berkeley Unix Fast File System |
| 1 | efs | Linux "efs" file system |
| 2 | nfs | Network File System |
| 3 | afs | Andrew File System |
| 4 | ntfs | Windows NT File System |
| 5 | fat16 | 16-bit Windows FAT File System |
| 6 | fat32 | 32-bit Windows FAT File System |
| 7 | pcfs | "PC" (MS-DOS) file system on CD-ROM |
| 8 | joliet | Joliet CD-ROM file system |
| 9 | iso9660 | ISO 9660 CD-ROM file system |
+------+---------+-------------------------------------+
+------+---------+-------------------------------------+ | ランク| キーワード| 記述| +------+---------+-------------------------------------+ | 0 | ufs| バークレーのunixの速いファイルシステム| | 1 | efs| リナックス"efs"ファイルシステム| | 2 | nfs| ネットワークファイルシステム| | 3 | afs| アンドリューファイルシステム| | 4 | ntfs| Windows NTファイルシステム| | 5 | fat16| 16ビットのWindows厚いファイルシステム| | 6 | fat32| 32ビットのWindows厚いファイルシステム| | 7 | pcfs| CD-ROMの上の「PC」(MS-DOS)ファイルシステム| | 8 | joliet| ジョーリエットCD-ROMファイルシステム| | 9 | iso9660| ISO9660CD-ROMファイルシステム| +------+---------+-------------------------------------+
IDMEF Class Name: FileAccess
IDMEFクラス名: FileAccess
IDMEF Attribute Name: permission
IDMEFは名前を結果と考えます: 許可
Registered Values:
登録された値:
+------+-------------------+----------------------------------------+ | Rank | Keyword | Description | +------+-------------------+----------------------------------------+ | 0 | noAccess | No access at all is allowed for this | | | | user | | 1 | read | This user has read access to the file | | 2 | write | This user has write access to the file | | 3 | execute | This user has the ability to execute | | | | the file | | 4 | search | This user has the ability to search | | | | this file (applies to "execute" | | | | permission on directories in Unix) | | 5 | delete | This user has the ability to delete | | | | this file | | 6 | executeAs | This user has the ability to execute | | | | this file as another user | | 7 | changePermissions | This user has the ability to change | | | | the access permissions on this file | | 8 | takeOwnership | This user has the ability to take | | | | ownership of this file | +------+-------------------+----------------------------------------+
+------+-------------------+----------------------------------------+ | ランク| キーワード| 記述| +------+-------------------+----------------------------------------+ | 0 | noAccess| 全くいいえアクセスはこれのために許されています。| | | | ユーザ| | 1 | 読んでください。| このユーザはファイルへのアクセスを読みました。| | 2 | 書いてください。| このユーザはファイルへのアクセスを書かせます。| | 3 | 実行します。| このユーザには、実行する能力があります。| | | | ファイル| | 4 | 検索| このユーザには、探す能力があります。| | | | このファイル(Unixのディレクトリで| | | | 許可を「実行すること」に申し込みます)| | 5 | 削除します。| このユーザには、削除する能力があります。| | | | このファイル| | 6 | executeAs| このユーザには、実行する能力があります。| | | | 別のユーザとしてのこのファイル| | 7 | changePermissions| このユーザには、変化する能力があります。| | | | このファイルにおけるアクセス許容| | 8 | takeOwnership| このユーザには、取る能力があります。| | | | このファイルの所有権| +------+-------------------+----------------------------------------+
Debar, et al. Experimental [Page 128] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[128ページ]RFC4765IDMEF行進
IDMEF Class Name: Linkage
IDMEFクラス名: リンケージ
IDMEF Attribute Name: category
IDMEFは名前を結果と考えます: カテゴリ
Registered Values:
登録された値:
+------+---------------+--------------------------------------------+ | Rank | Keyword | Description | +------+---------------+--------------------------------------------+ | 0 | hard-link | The <name> element represents another name | | | | for this file. This information may be | | | | more easily obtainable on NTFS file | | | | systems than others. | | 1 | mount-point | An alias for the directory specified by | | | | the parent's <name> and <path> elements. | | 2 | reparse-point | Applies only to Windows; excludes symbolic | | | | links and mount points, which are specific | | | | types of reparse points. | | 3 | shortcut | The file represented by a Windows | | | | "shortcut". A shortcut is distinguished | | | | from a symbolic link because of the | | | | difference in their contents, which may be | | | | of importance to the manager. | | 4 | stream | An Alternate Data Stream (ADS) in Windows; | | | | a fork on MacOS. Separate file system | | | | entity that is considered an extension of | | | | the main <File>. | | 5 | symbolic-link | The <name> element represents the file to | | | | which the link points. | +------+---------------+--------------------------------------------+
+------+---------------+--------------------------------------------+ | ランク| キーワード| 記述| +------+---------------+--------------------------------------------+ | 0 | ハードリンク| <名前>要素は別の名前を表します。| | | | これに関しては、ファイルしてください。 この情報はそうです。| | | | NTFSファイルで容易に入手可能です。| | | | システム、他のものより。 | | 1 | 取付け位置| 指定されたディレクトリのための別名| | | | 親の<名の>と<経路>要素。 | | 2 | reparse-ポイント| Windowsだけに適用します。 除外、シンボリック| | | | リンクとマウントポイント。(そのポイントは特定です)。| | | | reparseのタイプは指します。 | | 3 | 近道| Windowsによって表されたファイル| | | | 「近道。」 近道は顕著です。| | | | シンボリックリンク| | | | 違い、それらのコンテンツには、どれがあるかもしれないか。| | | | マネージャへの重要性について。 | | 4 | ストリーム| Windowsにおける代替のデータ・ストリーム(広告)。 | | | | MacOSの上のフォーク。 別々のファイルシステム| | | | 拡大であると考えられる実体| | | | 主な<File>。 | | 5 | シンボリックリンク| >要素がファイルを表す<名| | | | リンクは指します。 | +------+---------------+--------------------------------------------+
Debar, et al. Experimental [Page 129] RFC 4765 The IDMEF March 2007
締め出し、他 2007年の実験的な[129ページ]RFC4765IDMEF行進
IDMEF Class Name: Checksum
IDMEFクラス名: チェックサム
IDMEF Attribute Name: algorithm
IDMEFは名前を結果と考えます: アルゴリズム
Registered Values:
登録された値:
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | MD4 | The MD4 algorithm. |
| 1 | MD5 | The MD5 algorithm. |
| 2 | SHA1 | The SHA1 algorithm. |
| 3 | SHA2-256 | The SHA2 algorithm with 256 bits length. |
| 4 | SHA2-384 | The SHA2 algorithm with 384 bits length. |
| 5 | SHA2-512 | The SHA2 algorithm with 512 bits length. |
| 6 | CRC-32 | The CRC algorithm with 32 bits length. |
| 7 | Haval | The Haval algorithm. |
| 8 | Tiger | The Tiger algorithm. |
| 9 | Gost | The Gost algorithm. |
+------+----------+------------------------------------------+
+------+----------+------------------------------------------+ | Rank | Keyword | Description | +------+----------+------------------------------------------+ | 0 | MD4 | The MD4 algorithm. | | 1 | MD5 | The MD5 algorithm. | | 2 | SHA1 | The SHA1 algorithm. | | 3 | SHA2-256 | The SHA2 algorithm with 256 bits length. | | 4 | SHA2-384 | The SHA2 algorithm with 384 bits length. | | 5 | SHA2-512 | The SHA2 algorithm with 512 bits length. | | 6 | CRC-32 | The CRC algorithm with 32 bits length. | | 7 | Haval | The Haval algorithm. | | 8 | Tiger | The Tiger algorithm. | | 9 | Gost | The Gost algorithm. | +------+----------+------------------------------------------+
10.1.2. Registration Template
10.1.2. Registration Template
IDMEF Class Name:
IDMEF Class Name:
<provide the name of the class that contains the attribute to
which you want to add a new value, e.g., "Address">
<provide the name of the class that contains the attribute to which you want to add a new value, e.g., "Address">
IDMEF Attribute Name:
IDMEF Attribute Name:
<provide the name of the attribute to which you want to add a new
value, e.g., "category">
<provide the name of the attribute to which you want to add a new value, e.g., "category">
New Attribute Value to Be Defined:
New Attribute Value to Be Defined:
<provide the name of the new attribute value that you want to add,
e.g., "sneaker-net">
<provide the name of the new attribute value that you want to add, e.g., "sneaker-net">
Meaning of New Attribute Value:
Meaning of New Attribute Value:
<describe in detail what the attribute value means -- i.e., if an
analyzer sends this value, what is it telling the receiver of the
information?>
<describe in detail what the attribute value means -- i.e., if an analyzer sends this value, what is it telling the receiver of the information?>
Contact Person and E-Mail Address:
Contact Person and E-Mail Address:
<your name and e-mail address>
<your name and e-mail address>
Debar, et al. Experimental [Page 130] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 130] RFC 4765 The IDMEF March 2007
10.2. Adding New Attributes and Classes
10.2. Adding New Attributes and Classes
To the extent possible, the IDMEF classes and attributes specified in this document have been designed to accommodate all current and near- future needs. Although it is recognized that the addition of new classes, as well as the addition of new attributes to existing classes, will be necessary in the future, these actions should not be taken lightly.
To the extent possible, the IDMEF classes and attributes specified in this document have been designed to accommodate all current and near- future needs. Although it is recognized that the addition of new classes, as well as the addition of new attributes to existing classes, will be necessary in the future, these actions should not be taken lightly.
Any addition of new attributes or classes should only be undertaken when the current classes and attributes simply cannot be used to represent the information in a "clean" way -- and such additions should only be made to represent generally-useful types of data. Vendor-specific information, obscure information provided by only a particular type of analyzer or used only by a particular type of manager, "pet" attributes, and the like are not good reasons to make class and attribute additions.
Any addition of new attributes or classes should only be undertaken when the current classes and attributes simply cannot be used to represent the information in a "clean" way -- and such additions should only be made to represent generally-useful types of data. Vendor-specific information, obscure information provided by only a particular type of analyzer or used only by a particular type of manager, "pet" attributes, and the like are not good reasons to make class and attribute additions.
At the time this RFC was written, the first anticipated case for which new classes and attributes will need to be added is to handle host-based intrusion detection systems. However, such additions should not be made until some level of consensus has been reached about the set of data that will be provided by these systems.
At the time this RFC was written, the first anticipated case for which new classes and attributes will need to be added is to handle host-based intrusion detection systems. However, such additions should not be made until some level of consensus has been reached about the set of data that will be provided by these systems.
Following the policies outlined in [9], the addition of new classes and attributes to the IDMEF requires "IETF Consensus".
Following the policies outlined in [9], the addition of new classes and attributes to the IDMEF requires "IETF Consensus".
To add new attributes or classes, you MUST publish an RFC to document them, and get that RFC approved by the IESG. Typically, the IESG will seek input on prospective additions from appropriate persons (e.g., a relevant working group if one exists). You MUST describe any interoperability and security issues in your document.
To add new attributes or classes, you MUST publish an RFC to document them, and get that RFC approved by the IESG. Typically, the IESG will seek input on prospective additions from appropriate persons (e.g., a relevant working group if one exists). You MUST describe any interoperability and security issues in your document.
11. References
11. References
11.1. Normative References
11.1. Normative References
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement
Levels", BCP 14, RFC 2119, March 1997.
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[2] Wood, M. and M. Erlinger, "Intrusion Detection Mesage Exchange
Requirements", RFC 4766, March 2007.
[2] Wood, M. and M. Erlinger, "Intrusion Detection Mesage Exchange Requirements", RFC 4766, March 2007.
Debar, et al. Experimental [Page 131] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 131] RFC 4765 The IDMEF March 2007
[3] Sperberg-McQueen, C., Paoli, J., Maler, E., and T. Bray,
"Extensible Markup Language (XML) 1.0 (Second Edition)", World
Wide Web Consortium
FirstEdition http://www.w3.org/TR/2000/REC-xml-20001006,
October 2000.
[3] Sperberg-McQueen, C., Paoli, J., Maler, E., and T. Bray, "Extensible Markup Language (XML) 1.0 (Second Edition)", World Wide Web Consortium FirstEdition http://www.w3.org/TR/2000/REC-xml-20001006, October 2000.
[4] Bray, T., Hollander, D., and A. Layman, "Namespaces in XML",
World Wide Web Consortium
Recommendation http://www.w3.org/TR/1999/
REC-xml-names-19990114, January 1999.
[4] Bray, T., Hollander, D., and A. Layman, "Namespaces in XML", World Wide Web Consortium Recommendation http://www.w3.org/TR/1999/ REC-xml-names-19990114, January 1999.
[5] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform
Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986,
January 2005.
[5] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, January 2005.
[6] International Organization for Standardization, "Data elements
and interchange formats - Information interchange -
Representation of dates and times", ISO Standard 8601, Second
Edition, December 2000.
[6] International Organization for Standardization, "Data elements and interchange formats - Information interchange - Representation of dates and times", ISO Standard 8601, Second Edition, December 2000.
[7] Mills, D., "Network Time Protocol (Version 3) Specification,
Implementation", RFC 1305, March 1992.
[7] Mills, D., "Network Time Protocol (Version 3) Specification, Implementation", RFC 1305, March 1992.
[8] Mills, D., "Simple Network Time Protocol (SNTP) Version 4 for
IPv4, IPv6 and OSI", RFC 4330, January 2006.
[8] Mills, D., "Simple Network Time Protocol (SNTP) Version 4 for IPv4, IPv6 and OSI", RFC 4330, January 2006.
[9] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA
Considerations Section in RFCs", BCP 26, RFC 2434,
October 1998.
[9] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[10] Phillips, A. and M. Davis, "Tags for Identifying Languages",
BCP 47, RFC 4646, September 2006.
[10] Phillips, A. and M. Davis, "Tags for Identifying Languages", BCP 47, RFC 4646, September 2006.
11.2. Informative References
11.2. Informative References
[11] St. Johns, M., "Identification Protocol", RFC 1413,
February 1993.
[11] St. Johns, M., "Identification Protocol", RFC 1413, February 1993.
[12] Resnick, P., "Internet Message Format", RFC 2822, April 2001.
[12] Resnick, P., "Internet Message Format", RFC 2822, April 2001.
[13] Eastlake, D., Reagle, J., and D. Solo, "(Extensible Markup
Language) XML-Signature Syntax and Processing", RFC 3275,
March 2002.
[13] Eastlake, D., Reagle, J., and D. Solo, "(Extensible Markup Language) XML-Signature Syntax and Processing", RFC 3275, March 2002.
[14] Rumbaugh, J., Jacobson, I., and G. Booch, "The Unified Modeling
Language Reference Model", ISBN 020130998X, 1998.
[14] Rumbaugh, J., Jacobson, I., and G. Booch, "The Unified Modeling Language Reference Model", ISBN 020130998X, 1998.
Debar, et al. Experimental [Page 132] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 132] RFC 4765 The IDMEF March 2007
[15] Harrington, D., Presuhn, R., and B. Wijnen, "An Architecture
for Describing Simple Network Management Protocol (SNMP)
Management Frameworks", STD 62, RFC 3411, December 2002.
[15] Harrington, D., Presuhn, R., and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.
[16] Frye, R., Levi, D., Routhier, S., and B. Wijnen, "Coexistence
between Version 1, Version 2, and Version 3 of the
Internet-standard Network Management Framework", BCP 74,
RFC 3584, August 2003.
[16] Frye, R., Levi, D., Routhier, S., and B. Wijnen, "Coexistence between Version 1, Version 2, and Version 3 of the Internet-standard Network Management Framework", BCP 74, RFC 3584, August 2003.
Debar, et al. Experimental [Page 133] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 133] RFC 4765 The IDMEF March 2007
Appendix A. Acknowledgements
Appendix A. Acknowledgements
The following individuals contributed substantially to this document and should be recognized for their efforts. This document would not exist without their help:
The following individuals contributed substantially to this document and should be recognized for their efforts. This document would not exist without their help:
Dominique Alessandri, IBM Corporation Spencer Allain, Teknowledge Corporation James L. Burden, California Independent Systems Operator Marc Dacier, IBM Corporation Oliver Dain, MIT Lincoln Laboratory Nicolas Delon, Prelude Hybrid IDS project David J. Donahoo, AFIWC Michael Erlinger, Harvey Mudd College Reinhard Handwerker, Internet Security Systems, Inc. Ming-Yuh Huang, The Boeing Company Glenn Mansfield, Cyber Solutions, Inc. Joe McAlerney, Silicon Defense Cynthia McLain, MIT Lincoln Laboratory Paul Osterwald, Intrusion.com Jean-Philippe Pouzol James Riordan, IBM Corporation Paul Sangree, Cisco Systems Stephane Schitter, IBM Corporation Michael J. Slifcak, Trusted Network Technologies, Inc. Steven R. Snapp, CyberSafe Corporation Stuart Staniford-Chen, Silicon Defense Michael Steiner, University of Saarland Maureen Stillman, Nokia IP Telephony Vimal Vaidya, AXENT Yoann Vandoorselaere, Prelude Hybrid IDS project Andy Walther, Harvey Mudd College Andreas Wespi, IBM Corporation John C. C. White, MITRE Eric D. Williams, Information Brokers, Inc. S. Felix Wu, University of California Davis
Dominique Alessandri, IBM Corporation Spencer Allain, Teknowledge Corporation James L. Burden, California Independent Systems Operator Marc Dacier, IBM Corporation Oliver Dain, MIT Lincoln Laboratory Nicolas Delon, Prelude Hybrid IDS project David J. Donahoo, AFIWC Michael Erlinger, Harvey Mudd College Reinhard Handwerker, Internet Security Systems, Inc. Ming-Yuh Huang, The Boeing Company Glenn Mansfield, Cyber Solutions, Inc. Joe McAlerney, Silicon Defense Cynthia McLain, MIT Lincoln Laboratory Paul Osterwald, Intrusion.com Jean-Philippe Pouzol James Riordan, IBM Corporation Paul Sangree, Cisco Systems Stephane Schitter, IBM Corporation Michael J. Slifcak, Trusted Network Technologies, Inc. Steven R. Snapp, CyberSafe Corporation Stuart Staniford-Chen, Silicon Defense Michael Steiner, University of Saarland Maureen Stillman, Nokia IP Telephony Vimal Vaidya, AXENT Yoann Vandoorselaere, Prelude Hybrid IDS project Andy Walther, Harvey Mudd College Andreas Wespi, IBM Corporation John C. C. White, MITRE Eric D. Williams, Information Brokers, Inc. S. Felix Wu, University of California Davis
Debar, et al. Experimental [Page 134] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 134] RFC 4765 The IDMEF March 2007
Appendix B. The IDMEF Schema Definition (Non-normative)
Appendix B. The IDMEF Schema Definition (Non-normative)
<?xml version="1.0"?>
<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:idmef="http://iana.org/idmef"
targetNamespace="http://iana.org/idmef"
elementFormDefault="qualified" >
<?xml version="1.0"?> <xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:idmef="http://iana.org/idmef" targetNamespace="http://iana.org/idmef" elementFormDefault="qualified" >
<xsd:annotation>
<xsd:documentation>
Intrusion Detection Message Exchange Format (IDMEF) Version 1.0
</xsd:documentation>
</xsd:annotation>
<xsd:annotation> <xsd:documentation> Intrusion Detection Message Exchange Format (IDMEF) Version 1.0 </xsd:documentation> </xsd:annotation>
<!-- Section 1 -->
<!-- Omitted. This section did namespace magic and is not
needed with XSD validation. -->
<!-- Section 1 --> <!-- Omitted. This section did namespace magic and is not needed with XSD validation. -->
<!-- Section 2 -->
<!-- Section 2 -->
<!--
Values for the Action.category attribute.
-->
<xsd:simpleType name="action-category">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="block-installed" />
<xsd:enumeration value="notification-sent" />
<xsd:enumeration value="taken-offline" />
<xsd:enumeration value="other" />
</xsd:restriction>
</xsd:simpleType>
<!-- Values for the Action.category attribute. --> <xsd:simpleType name="action-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="block-installed" /> <xsd:enumeration value="notification-sent" /> <xsd:enumeration value="taken-offline" /> <xsd:enumeration value="other" /> </xsd:restriction> </xsd:simpleType>
<!--
Values for the Address.category attribute.
-->
<xsd:simpleType name="address-category">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="unknown" />
<xsd:enumeration value="atm" />
<xsd:enumeration value="e-mail" />
<xsd:enumeration value="lotus-notes" />
<xsd:enumeration value="mac" />
<xsd:enumeration value="sna" />
<xsd:enumeration value="vm" />
<xsd:enumeration value="ipv4-addr" />
<xsd:enumeration value="ipv4-addr-hex" />
<xsd:enumeration value="ipv4-net" />
<xsd:enumeration value="ipv4-net-mask" />
<!-- Values for the Address.category attribute. --> <xsd:simpleType name="address-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="atm" /> <xsd:enumeration value="e-mail" /> <xsd:enumeration value="lotus-notes" /> <xsd:enumeration value="mac" /> <xsd:enumeration value="sna" /> <xsd:enumeration value="vm" /> <xsd:enumeration value="ipv4-addr" /> <xsd:enumeration value="ipv4-addr-hex" /> <xsd:enumeration value="ipv4-net" /> <xsd:enumeration value="ipv4-net-mask" />
Debar, et al. Experimental [Page 135] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 135] RFC 4765 The IDMEF March 2007
<xsd:enumeration value="ipv6-addr" />
<xsd:enumeration value="ipv6-addr-hex" />
<xsd:enumeration value="ipv6-net" />
<xsd:enumeration value="ipv6-net-mask" />
</xsd:restriction>
</xsd:simpleType>
<xsd:enumeration value="ipv6-addr" /> <xsd:enumeration value="ipv6-addr-hex" /> <xsd:enumeration value="ipv6-net" /> <xsd:enumeration value="ipv6-net-mask" /> </xsd:restriction> </xsd:simpleType>
<!--
| Values for the Impact.severity attribute.
-->
<xsd:simpleType name="impact-severity">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="info" />
<xsd:enumeration value="low" />
<xsd:enumeration value="medium" />
<xsd:enumeration value="high" />
</xsd:restriction>
</xsd:simpleType>
<!-- | Values for the Impact.severity attribute. --> <xsd:simpleType name="impact-severity"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="info" /> <xsd:enumeration value="low" /> <xsd:enumeration value="medium" /> <xsd:enumeration value="high" /> </xsd:restriction> </xsd:simpleType>
<!--
Values for the Impact.completion attribute.
-->
<xsd:simpleType name="impact-completion">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="failed" />
<xsd:enumeration value="succeeded" />
</xsd:restriction>
</xsd:simpleType>
<!-- Values for the Impact.completion attribute. --> <xsd:simpleType name="impact-completion"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="failed" /> <xsd:enumeration value="succeeded" /> </xsd:restriction> </xsd:simpleType>
<!--
| Values for the Impact.type attribute.
-->
<xsd:simpleType name="impact-type">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="admin" />
<xsd:enumeration value="dos" />
<xsd:enumeration value="file" />
<xsd:enumeration value="recon" />
<xsd:enumeration value="user" />
<xsd:enumeration value="other" />
</xsd:restriction>
</xsd:simpleType>
<!-- | Values for the Impact.type attribute. --> <xsd:simpleType name="impact-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="admin" /> <xsd:enumeration value="dos" /> <xsd:enumeration value="file" /> <xsd:enumeration value="recon" /> <xsd:enumeration value="user" /> <xsd:enumeration value="other" /> </xsd:restriction> </xsd:simpleType>
<!--
Values for the File.category attribute.
-->
<xsd:simpleType name="file-category">
<xsd:restriction base="xsd:token">
<!-- Values for the File.category attribute. --> <xsd:simpleType name="file-category"> <xsd:restriction base="xsd:token">
Debar, et al. Experimental [Page 136] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 136] RFC 4765 The IDMEF March 2007
<xsd:enumeration value="current" />
<xsd:enumeration value="original" />
</xsd:restriction>
</xsd:simpleType>
<xsd:enumeration value="current" /> <xsd:enumeration value="original" /> </xsd:restriction> </xsd:simpleType>
<!--
Values for the FileAccess.Permissions attribute
-->
<xsd:simpleType name="file-permission">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="noAccess"/>
<xsd:enumeration value="read"/>
<xsd:enumeration value="write"/>
<xsd:enumeration value="execute"/>
<xsd:enumeration value="search" />
<xsd:enumeration value="delete" />
<xsd:enumeration value="executeAs" />
<xsd:enumeration value="changePermissions" />
<xsd:enumeration value="takeOwnership" />
</xsd:restriction>
</xsd:simpleType>
<!-- Values for the FileAccess.Permissions attribute --> <xsd:simpleType name="file-permission"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="noAccess"/> <xsd:enumeration value="read"/> <xsd:enumeration value="write"/> <xsd:enumeration value="execute"/> <xsd:enumeration value="search" /> <xsd:enumeration value="delete" /> <xsd:enumeration value="executeAs" /> <xsd:enumeration value="changePermissions" /> <xsd:enumeration value="takeOwnership" /> </xsd:restriction> </xsd:simpleType>
<!--
Values for the Id.type attribute.
-->
<xsd:simpleType name="id-type">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="current-user" />
<xsd:enumeration value="original-user" />
<xsd:enumeration value="target-user" />
<xsd:enumeration value="user-privs" />
<xsd:enumeration value="current-group" />
<xsd:enumeration value="group-privs" />
<xsd:enumeration value="other-privs" />
</xsd:restriction>
</xsd:simpleType>
<!-- Values for the Id.type attribute. --> <xsd:simpleType name="id-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="current-user" /> <xsd:enumeration value="original-user" /> <xsd:enumeration value="target-user" /> <xsd:enumeration value="user-privs" /> <xsd:enumeration value="current-group" /> <xsd:enumeration value="group-privs" /> <xsd:enumeration value="other-privs" /> </xsd:restriction> </xsd:simpleType>
<!--
| Values for the Linkage.category attribute.
-->
<xsd:simpleType name="linkage-category">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="hard-link" />
<xsd:enumeration value="mount-point" />
<xsd:enumeration value="reparse-point" />
<xsd:enumeration value="shortcut" />
<xsd:enumeration value="stream" />
<xsd:enumeration value="symbolic-link" />
<!-- | Values for the Linkage.category attribute. --> <xsd:simpleType name="linkage-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="hard-link" /> <xsd:enumeration value="mount-point" /> <xsd:enumeration value="reparse-point" /> <xsd:enumeration value="shortcut" /> <xsd:enumeration value="stream" /> <xsd:enumeration value="symbolic-link" />
Debar, et al. Experimental [Page 137] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 137] RFC 4765 The IDMEF March 2007
</xsd:restriction>
</xsd:simpleType>
</xsd:restriction> </xsd:simpleType>
<!--
| Values for the Checksum.algorithm attribute
-->
<xsd:simpleType name="checksum-algorithm">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="MD4" />
<xsd:enumeration value="MD5" />
<xsd:enumeration value="SHA1" />
<xsd:enumeration value="SHA2-256" />
<xsd:enumeration value="SHA2-384" />
<xsd:enumeration value="SHA2-512" />
<xsd:enumeration value="CRC-32" />
<xsd:enumeration value="Haval" />
<xsd:enumeration value="Tiger" />
<xsd:enumeration value="Gost" />
</xsd:restriction>
</xsd:simpleType>
<!-- | Values for the Checksum.algorithm attribute --> <xsd:simpleType name="checksum-algorithm"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="MD4" /> <xsd:enumeration value="MD5" /> <xsd:enumeration value="SHA1" /> <xsd:enumeration value="SHA2-256" /> <xsd:enumeration value="SHA2-384" /> <xsd:enumeration value="SHA2-512" /> <xsd:enumeration value="CRC-32" /> <xsd:enumeration value="Haval" /> <xsd:enumeration value="Tiger" /> <xsd:enumeration value="Gost" /> </xsd:restriction> </xsd:simpleType>
<!--
| Values for the Node.category attribute.
-->
<xsd:simpleType name="node-category">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="unknown" />
<xsd:enumeration value="ads" />
<xsd:enumeration value="afs" />
<xsd:enumeration value="coda" />
<xsd:enumeration value="dfs" />
<xsd:enumeration value="dns" />
<xsd:enumeration value="hosts" />
<xsd:enumeration value="kerberos" />
<xsd:enumeration value="nds" />
<xsd:enumeration value="nis" />
<xsd:enumeration value="nisplus" />
<xsd:enumeration value="nt" />
<xsd:enumeration value="wfw" />
</xsd:restriction>
</xsd:simpleType>
<!-- | Values for the Node.category attribute. --> <xsd:simpleType name="node-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="ads" /> <xsd:enumeration value="afs" /> <xsd:enumeration value="coda" /> <xsd:enumeration value="dfs" /> <xsd:enumeration value="dns" /> <xsd:enumeration value="hosts" /> <xsd:enumeration value="kerberos" /> <xsd:enumeration value="nds" /> <xsd:enumeration value="nis" /> <xsd:enumeration value="nisplus" /> <xsd:enumeration value="nt" /> <xsd:enumeration value="wfw" /> </xsd:restriction> </xsd:simpleType>
<!--
| Values for the reference.origin attribute.
-->
<xsd:simpleType name="reference-origin">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="unknown" />
<!-- | Values for the reference.origin attribute. --> <xsd:simpleType name="reference-origin"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" />
Debar, et al. Experimental [Page 138] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 138] RFC 4765 The IDMEF March 2007
<xsd:enumeration value="vendor-specific" />
<xsd:enumeration value="user-specific" />
<xsd:enumeration value="bugtraqid" />
<xsd:enumeration value="cve" />
<xsd:enumeration value="osvdb" />
</xsd:restriction>
</xsd:simpleType>
<xsd:enumeration value="vendor-specific" /> <xsd:enumeration value="user-specific" /> <xsd:enumeration value="bugtraqid" /> <xsd:enumeration value="cve" /> <xsd:enumeration value="osvdb" /> </xsd:restriction> </xsd:simpleType>
<!--
| Values for the Confidence.rating attribute.
-->
<xsd:simpleType name="confidence-rating">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="low" />
<xsd:enumeration value="medium" />
<xsd:enumeration value="high" />
<xsd:enumeration value="numeric" />
</xsd:restriction>
</xsd:simpleType>
<!-- | Values for the Confidence.rating attribute. --> <xsd:simpleType name="confidence-rating"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="low" /> <xsd:enumeration value="medium" /> <xsd:enumeration value="high" /> <xsd:enumeration value="numeric" /> </xsd:restriction> </xsd:simpleType>
<!--
| Values for the User.category attribute.
-->
<xsd:simpleType name="user-category">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="unknown" />
<xsd:enumeration value="application" />
<xsd:enumeration value="os-device" />
</xsd:restriction>
</xsd:simpleType>
<!-- | Values for the User.category attribute. --> <xsd:simpleType name="user-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="application" /> <xsd:enumeration value="os-device" /> </xsd:restriction> </xsd:simpleType>
<!--
/ Values for the additionaldata.type attribute.
-->
<xsd:simpleType name="additionaldata-type">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="boolean" />
<xsd:enumeration value="byte" />
<xsd:enumeration value="character" />
<xsd:enumeration value="date-time" />
<xsd:enumeration value="integer" />
<xsd:enumeration value="ntpstamp" />
<xsd:enumeration value="portlist" />
<xsd:enumeration value="real" />
<xsd:enumeration value="string" />
<xsd:enumeration value="byte-string" />
<xsd:enumeration value="xml" />
</xsd:restriction>
<!-- / Values for the additionaldata.type attribute. --> <xsd:simpleType name="additionaldata-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="boolean" /> <xsd:enumeration value="byte" /> <xsd:enumeration value="character" /> <xsd:enumeration value="date-time" /> <xsd:enumeration value="integer" /> <xsd:enumeration value="ntpstamp" /> <xsd:enumeration value="portlist" /> <xsd:enumeration value="real" /> <xsd:enumeration value="string" /> <xsd:enumeration value="byte-string" /> <xsd:enumeration value="xml" /> </xsd:restriction>
Debar, et al. Experimental [Page 139] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 139] RFC 4765 The IDMEF March 2007
</xsd:simpleType>
</xsd:simpleType>
<!--
| Values for yes/no attributes such as Source.spoofed and
| Target.decoy.
-->
<xsd:simpleType name="yes-no-type">
<xsd:restriction base="xsd:token">
<xsd:enumeration value="unknown" />
<xsd:enumeration value="yes" />
<xsd:enumeration value="no" />
</xsd:restriction>
</xsd:simpleType>
<!-- | Values for yes/no attributes such as Source.spoofed and | Target.decoy. --> <xsd:simpleType name="yes-no-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="yes" /> <xsd:enumeration value="no" /> </xsd:restriction> </xsd:simpleType>
<xsd:simpleType name="port-range">
<xsd:restriction base="xsd:string">
<xsd:pattern value="[0-9]{1,5}(\-[0-9]{1,5})?"/>
</xsd:restriction>
</xsd:simpleType>
<xsd:simpleType name="port-range"> <xsd:restriction base="xsd:string"> <xsd:pattern value="[0-9]{1,5}(\-[0-9]{1,5})?"/> </xsd:restriction> </xsd:simpleType>
<xsd:simpleType name="port-list">
<xsd:list itemType="idmef:port-range" />
</xsd:simpleType>
<xsd:simpleType name="port-list"> <xsd:list itemType="idmef:port-range" /> </xsd:simpleType>
<xsd:simpleType name="ntpstamp">
<xsd:restriction base="xsd:string">
<xsd:pattern value="0x[A-Fa-f0-9]{8}.0x[A-Fa-f0-9]{8}"/>
</xsd:restriction>
</xsd:simpleType>
<xsd:simpleType name="ntpstamp"> <xsd:restriction base="xsd:string"> <xsd:pattern value="0x[A-Fa-f0-9]{8}.0x[A-Fa-f0-9]{8}"/> </xsd:restriction> </xsd:simpleType>
<xsd:simpleType name="mime-type">
<xsd:restriction base="xsd:string">
</xsd:restriction>
</xsd:simpleType>
<xsd:simpleType name="mime-type"> <xsd:restriction base="xsd:string"> </xsd:restriction> </xsd:simpleType>
<!-- Section 3: Top-level element declarations. The IDMEF-Message
element and the types of messages it can include. -->
<!-- Section 3: Top-level element declarations. The IDMEF-Message element and the types of messages it can include. -->
<xsd:complexType name="IDMEF-Message" >
<xsd:choice minOccurs="1" maxOccurs="unbounded">
<xsd:element ref="idmef:Alert" />
<xsd:element ref="idmef:Heartbeat" />
</xsd:choice>
<xsd:attribute name="version" type="xsd:decimal"
fixed="1.0" />
</xsd:complexType>
<xsd:complexType name="IDMEF-Message" > <xsd:choice minOccurs="1" maxOccurs="unbounded"> <xsd:element ref="idmef:Alert" /> <xsd:element ref="idmef:Heartbeat" /> </xsd:choice> <xsd:attribute name="version" type="xsd:decimal" fixed="1.0" /> </xsd:complexType>
Debar, et al. Experimental [Page 140] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 140] RFC 4765 The IDMEF March 2007
<xsd:element name="IDMEF-Message" type="idmef:IDMEF-Message" />
<xsd:element name="IDMEF-Message" type="idmef:IDMEF-Message" />
<xsd:complexType name="Alert">
<xsd:sequence>
<xsd:element name="Analyzer"
type="idmef:Analyzer" />
<xsd:element name="CreateTime"
type="idmef:TimeWithNtpstamp" />
<xsd:element name="DetectTime"
type="idmef:TimeWithNtpstamp"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="AnalyzerTime"
type="idmef:TimeWithNtpstamp"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Source"
type="idmef:Source"
minOccurs="0"
maxOccurs="unbounded" />
<xsd:element name="Target"
type="idmef:Target"
minOccurs="0"
maxOccurs="unbounded" />
<xsd:element name="Classification"
type="idmef:Classification" />
<xsd:element name="Assessment"
type="idmef:Assessment"
minOccurs="0"
maxOccurs="1" />
<xsd:choice minOccurs="0" maxOccurs="1">
<xsd:element name="ToolAlert"
type="idmef:ToolAlert" />
<xsd:element name="OverflowAlert"
type="idmef:OverflowAlert" />
<xsd:element name="CorrelationAlert"
type="idmef:CorrelationAlert" />
</xsd:choice>
<xsd:element name="AdditionalData"
type="idmef:AdditionalData"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="messageid"
type="xsd:string"
default="0" />
</xsd:complexType>
<xsd:complexType name="Alert"> <xsd:sequence> <xsd:element name="Analyzer" type="idmef:Analyzer" /> <xsd:element name="CreateTime" type="idmef:TimeWithNtpstamp" /> <xsd:element name="DetectTime" type="idmef:TimeWithNtpstamp" minOccurs="0" maxOccurs="1" /> <xsd:element name="AnalyzerTime" type="idmef:TimeWithNtpstamp" minOccurs="0" maxOccurs="1" /> <xsd:element name="Source" type="idmef:Source" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Target" type="idmef:Target" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Classification" type="idmef:Classification" /> <xsd:element name="Assessment" type="idmef:Assessment" minOccurs="0" maxOccurs="1" /> <xsd:choice minOccurs="0" maxOccurs="1"> <xsd:element name="ToolAlert" type="idmef:ToolAlert" /> <xsd:element name="OverflowAlert" type="idmef:OverflowAlert" /> <xsd:element name="CorrelationAlert" type="idmef:CorrelationAlert" /> </xsd:choice> <xsd:element name="AdditionalData" type="idmef:AdditionalData" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="messageid" type="xsd:string" default="0" /> </xsd:complexType>
Debar, et al. Experimental [Page 141] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 141] RFC 4765 The IDMEF March 2007
<xsd:element name="Alert" type="idmef:Alert" />
<xsd:element name="Alert" type="idmef:Alert" />
<xsd:complexType name="Heartbeat">
<xsd:sequence>
<xsd:element name="Analyzer" type="idmef:Analyzer" />
<xsd:element name="CreateTime"
type="idmef:TimeWithNtpstamp" />
<xsd:element name="HeartbeatInterval"
type="xsd:integer"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="AnalyzerTime"
type="idmef:TimeWithNtpstamp"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="AdditionalData"
type="idmef:AdditionalData"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="messageid"
type="xsd:string"
default="0" />
</xsd:complexType>
<xsd:complexType name="Heartbeat"> <xsd:sequence> <xsd:element name="Analyzer" type="idmef:Analyzer" /> <xsd:element name="CreateTime" type="idmef:TimeWithNtpstamp" /> <xsd:element name="HeartbeatInterval" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="AnalyzerTime" type="idmef:TimeWithNtpstamp" minOccurs="0" maxOccurs="1" /> <xsd:element name="AdditionalData" type="idmef:AdditionalData" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="messageid" type="xsd:string" default="0" /> </xsd:complexType>
<xsd:element name="Heartbeat"
type="idmef:Heartbeat" />
<xsd:element name="Heartbeat" type="idmef:Heartbeat" />
<!-- Section 4: Subclasses of the Alert class that provide
more data for specific types of alerts. -->
<!-- Section 4: Subclasses of the Alert class that provide more data for specific types of alerts. -->
<xsd:complexType name="CorrelationAlert">
<xsd:sequence>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="alertident"
type="idmef:Alertident"
minOccurs="1"
maxOccurs="unbounded" />
</xsd:sequence>
</xsd:complexType>
<xsd:complexType name="CorrelationAlert"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="alertident" type="idmef:Alertident" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<xsd:complexType name="OverflowAlert">
<xsd:sequence>
<xsd:element name="program"
type="xsd:string" />
<xsd:element name="size"
type="xsd:string" />
<xsd:complexType name="OverflowAlert"> <xsd:sequence> <xsd:element name="program" type="xsd:string" /> <xsd:element name="size" type="xsd:string" />
Debar, et al. Experimental [Page 142] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 142] RFC 4765 The IDMEF March 2007
<xsd:element name="buffer"
type="xsd:hexBinary" />
</xsd:sequence>
</xsd:complexType>
<xsd:element name="buffer" type="xsd:hexBinary" /> </xsd:sequence> </xsd:complexType>
<xsd:complexType name="ToolAlert">
<xsd:sequence>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="command"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="alertident"
type="idmef:Alertident"
minOccurs="1"
maxOccurs="unbounded" />
</xsd:sequence>
</xsd:complexType>
<xsd:complexType name="ToolAlert"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="command" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="alertident" type="idmef:Alertident" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<!-- Section 5: The AdditionalData element. This element allows an
alert to include additional information that cannot be encoded
elsewhere in the data model. -->
<!-- Section 5: The AdditionalData element. This element allows an alert to include additional information that cannot be encoded elsewhere in the data model. -->
<xsd:complexType name="AdditionalData">
<xsd:choice>
<xsd:element name="boolean"
type="xsd:boolean" />
<xsd:element name="byte"
type="xsd:byte" />
<xsd:element name="character">
<xsd:simpleType>
<xsd:restriction base="xsd:string">
<xsd:minLength value="1"/>
<xsd:maxLength value="1"/>
</xsd:restriction>
</xsd:simpleType>
</xsd:element>
<xsd:element name="date-time"
type="xsd:dateTime" />
<xsd:element name="integer"
type="xsd:integer" />
<xsd:element name="ntpstamp"
type="idmef:ntpstamp" />
<xsd:element name="portlist"
type="idmef:port-list" />
<xsd:element name="real"
type="xsd:decimal" />
<xsd:complexType name="AdditionalData"> <xsd:choice> <xsd:element name="boolean" type="xsd:boolean" /> <xsd:element name="byte" type="xsd:byte" /> <xsd:element name="character"> <xsd:simpleType> <xsd:restriction base="xsd:string"> <xsd:minLength value="1"/> <xsd:maxLength value="1"/> </xsd:restriction> </xsd:simpleType> </xsd:element> <xsd:element name="date-time" type="xsd:dateTime" /> <xsd:element name="integer" type="xsd:integer" /> <xsd:element name="ntpstamp" type="idmef:ntpstamp" /> <xsd:element name="portlist" type="idmef:port-list" /> <xsd:element name="real" type="xsd:decimal" />
Debar, et al. Experimental [Page 143] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 143] RFC 4765 The IDMEF March 2007
<xsd:element name="string"
type="xsd:string" />
<xsd:element name="byte-string"
type="xsd:hexBinary" />
<xsd:element name="xml"
type="idmef:xmltext" />
</xsd:choice>
<xsd:attribute name="type"
type="idmef:additionaldata-type" />
<xsd:attribute name="meaning"
type="xsd:string" />
</xsd:complexType>
<xsd:element name="string" type="xsd:string" /> <xsd:element name="byte-string" type="xsd:hexBinary" /> <xsd:element name="xml" type="idmef:xmltext" /> </xsd:choice> <xsd:attribute name="type" type="idmef:additionaldata-type" /> <xsd:attribute name="meaning" type="xsd:string" /> </xsd:complexType>
<!-- Section 6: Elements related to identifying entities -
analyzers (the senders of these messages), sources (of
attacks), and targets (of attacks). -->
<!-- Section 6: Elements related to identifying entities - analyzers (the senders of these messages), sources (of attacks), and targets (of attacks). -->
<xsd:complexType name="Analyzer">
<xsd:sequence>
<xsd:element name="Node"
type="idmef:Node"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Process"
type="idmef:Process"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Analyzer"
type="idmef:Analyzer"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:attribute name="analyzerid"
type="xsd:string"
default="0" />
<xsd:attribute name="name"
type="xsd:string" />
<xsd:attribute name="manufacturer"
type="xsd:string" />
<xsd:attribute name="model"
type="xsd:string" />
<xsd:attribute name="version"
type="xsd:string" />
<xsd:attribute name="class"
type="xsd:string" />
<xsd:attribute name="ostype"
type="xsd:string" />
<xsd:attribute name="osversion"
<xsd:complexType name="Analyzer"> <xsd:sequence> <xsd:element name="Node" type="idmef:Node" minOccurs="0" maxOccurs="1" /> <xsd:element name="Process" type="idmef:Process" minOccurs="0" maxOccurs="1" /> <xsd:element name="Analyzer" type="idmef:Analyzer" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="analyzerid" type="xsd:string" default="0" /> <xsd:attribute name="name" type="xsd:string" /> <xsd:attribute name="manufacturer" type="xsd:string" /> <xsd:attribute name="model" type="xsd:string" /> <xsd:attribute name="version" type="xsd:string" /> <xsd:attribute name="class" type="xsd:string" /> <xsd:attribute name="ostype" type="xsd:string" /> <xsd:attribute name="osversion"
Debar, et al. Experimental [Page 144] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 144] RFC 4765 The IDMEF March 2007
type="xsd:string" />
</xsd:complexType>
type="xsd:string" /> </xsd:complexType>
<xsd:complexType name="Source">
<xsd:sequence>
<xsd:element name="Node"
type="idmef:Node"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="User"
type="idmef:User"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Process"
type="idmef:Process"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Service"
type="idmef:Service"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="spoofed"
type="idmef:yes-no-type"
default="unknown" />
<xsd:attribute name="interface"
type="xsd:string" />
</xsd:complexType>
<xsd:complexType name="Source"> <xsd:sequence> <xsd:element name="Node" type="idmef:Node" minOccurs="0" maxOccurs="1" /> <xsd:element name="User" type="idmef:User" minOccurs="0" maxOccurs="1" /> <xsd:element name="Process" type="idmef:Process" minOccurs="0" maxOccurs="1" /> <xsd:element name="Service" type="idmef:Service" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="spoofed" type="idmef:yes-no-type" default="unknown" /> <xsd:attribute name="interface" type="xsd:string" /> </xsd:complexType>
<xsd:complexType name="Target">
<xsd:sequence>
<xsd:element name="Node"
type="idmef:Node"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="User"
type="idmef:User"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Process"
type="idmef:Process"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Service"
type="idmef:Service"
<xsd:complexType name="Target"> <xsd:sequence> <xsd:element name="Node" type="idmef:Node" minOccurs="0" maxOccurs="1" /> <xsd:element name="User" type="idmef:User" minOccurs="0" maxOccurs="1" /> <xsd:element name="Process" type="idmef:Process" minOccurs="0" maxOccurs="1" /> <xsd:element name="Service" type="idmef:Service"
Debar, et al. Experimental [Page 145] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 145] RFC 4765 The IDMEF March 2007
minOccurs="0"
maxOccurs="1" />
<xsd:element name="File"
type="idmef:File"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="decoy"
type="idmef:yes-no-type"
default="unknown" />
<xsd:attribute name="interface"
type="xsd:string" />
</xsd:complexType>
minOccurs="0" maxOccurs="1" /> <xsd:element name="File" type="idmef:File" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="decoy" type="idmef:yes-no-type" default="unknown" /> <xsd:attribute name="interface" type="xsd:string" /> </xsd:complexType>
<!-- Section 7: Support elements used for providing detailed info
about entities - addresses, names, etc. -->
<!-- Section 7: Support elements used for providing detailed info about entities - addresses, names, etc. -->
<xsd:complexType name="Address">
<xsd:sequence>
<xsd:element name="address"
type="xsd:string" />
<xsd:element name="netmask"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="category"
type="idmef:address-category"
default="unknown" />
<xsd:attribute name="vlan-name"
type="xsd:string" />
<xsd:attribute name="vlan-num"
type="xsd:string" />
</xsd:complexType>
<xsd:complexType name="Address"> <xsd:sequence> <xsd:element name="address" type="xsd:string" /> <xsd:element name="netmask" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:address-category" default="unknown" /> <xsd:attribute name="vlan-name" type="xsd:string" /> <xsd:attribute name="vlan-num" type="xsd:string" /> </xsd:complexType>
<xsd:complexType name="Assessment">
<xsd:sequence>
<xsd:element name="Impact"
type="idmef:Impact"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Action"
<xsd:complexType name="Assessment"> <xsd:sequence> <xsd:element name="Impact" type="idmef:Impact" minOccurs="0" maxOccurs="1" /> <xsd:element name="Action"
Debar, et al. Experimental [Page 146] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 146] RFC 4765 The IDMEF March 2007
type="idmef:Action"
minOccurs="0"
maxOccurs="unbounded" />
<xsd:element name="Confidence"
type="idmef:Confidence"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
</xsd:complexType>
<xsd:complexType name="Reference">
<xsd:sequence>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="url"
type="xsd:string" />
</xsd:sequence>
<xsd:attribute name="origin"
type="idmef:reference-origin"
default="unknown" />
<xsd:attribute name="meaning"
type="xsd:string" />
</xsd:complexType>
type="idmef:Action" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Confidence" type="idmef:Confidence" minOccurs="0" maxOccurs="1" /> </xsd:sequence> </xsd:complexType> <xsd:complexType name="Reference"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="url" type="xsd:string" /> </xsd:sequence> <xsd:attribute name="origin" type="idmef:reference-origin" default="unknown" /> <xsd:attribute name="meaning" type="xsd:string" /> </xsd:complexType>
<xsd:complexType name="Classification">
<xsd:sequence>
<xsd:element name="Reference"
type="idmef:Reference"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="text"
type="xsd:string"
use="required" />
</xsd:complexType>
<xsd:complexType name="Classification"> <xsd:sequence> <xsd:element name="Reference" type="idmef:Reference" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="text" type="xsd:string" use="required" /> </xsd:complexType>
<xsd:complexType name="File">
<xsd:sequence>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="path"
type="xsd:string" />
<xsd:element name="create-time"
type="xsd:dateTime"
minOccurs="0"
maxOccurs="1" />
<xsd:complexType name="File"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="path" type="xsd:string" /> <xsd:element name="create-time" type="xsd:dateTime" minOccurs="0" maxOccurs="1" />
Debar, et al. Experimental [Page 147] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 147] RFC 4765 The IDMEF March 2007
<xsd:element name="modify-time"
type="xsd:dateTime"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="access-time"
type="xsd:dateTime"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="data-size"
type="xsd:integer"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="disk-size"
type="xsd:integer"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="FileAccess"
type="idmef:FileAccess"
minOccurs="0"
maxOccurs="unbounded" />
<xsd:element name="Linkage"
type="idmef:Linkage"
minOccurs="0"
maxOccurs="unbounded" />
<xsd:element name="Inode"
type="idmef:Inode"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="Checksum"
type="idmef:Checksum"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="category"
type="idmef:file-category"
use="required" />
<xsd:attribute name="fstype"
type="xsd:string"
use="required" />
<xsd:attribute name="file-type"
type="idmef:mime-type" />
</xsd:complexType>
<xsd:element name="modify-time" type="xsd:dateTime" minOccurs="0" maxOccurs="1" /> <xsd:element name="access-time" type="xsd:dateTime" minOccurs="0" maxOccurs="1" /> <xsd:element name="data-size" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="disk-size" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="FileAccess" type="idmef:FileAccess" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Linkage" type="idmef:Linkage" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Inode" type="idmef:Inode" minOccurs="0" maxOccurs="1" /> <xsd:element name="Checksum" type="idmef:Checksum" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:file-category" use="required" /> <xsd:attribute name="fstype" type="xsd:string" use="required" /> <xsd:attribute name="file-type" type="idmef:mime-type" /> </xsd:complexType>
<xsd:complexType name="Permission">
<xsd:attribute name="perms"
<xsd:complexType name="Permission"> <xsd:attribute name="perms"
Debar, et al. Experimental [Page 148] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 148] RFC 4765 The IDMEF March 2007
type="idmef:file-permission"
use="required" />
</xsd:complexType>
type="idmef:file-permission" use="required" /> </xsd:complexType>
<xsd:complexType name="FileAccess">
<xsd:sequence>
<xsd:element name="UserId"
type="idmef:UserId" />
<xsd:element name="permission"
type="idmef:Permission"
minOccurs="1"
maxOccurs="unbounded" />
</xsd:sequence>
</xsd:complexType>
<xsd:complexType name="FileAccess"> <xsd:sequence> <xsd:element name="UserId" type="idmef:UserId" /> <xsd:element name="permission" type="idmef:Permission" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<xsd:complexType name="Inode">
<xsd:sequence>
<xsd:element name="change-time"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:sequence minOccurs="0" maxOccurs="1">
<xsd:element name="number"
type="xsd:string" />
<xsd:element name="major-device"
type="xsd:string" />
<xsd:element name="minor-device"
type="xsd:string" />
</xsd:sequence>
<xsd:sequence minOccurs="0" maxOccurs="1">
<xsd:element name="c-major-device"
type="xsd:string" />
<xsd:element name="c-minor-device"
type="xsd:string" />
</xsd:sequence>
</xsd:sequence>
</xsd:complexType>
<xsd:complexType name="Inode"> <xsd:sequence> <xsd:element name="change-time" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:sequence minOccurs="0" maxOccurs="1"> <xsd:element name="number" type="xsd:string" /> <xsd:element name="major-device" type="xsd:string" /> <xsd:element name="minor-device" type="xsd:string" /> </xsd:sequence> <xsd:sequence minOccurs="0" maxOccurs="1"> <xsd:element name="c-major-device" type="xsd:string" /> <xsd:element name="c-minor-device" type="xsd:string" /> </xsd:sequence> </xsd:sequence> </xsd:complexType>
<xsd:complexType name="Linkage">
<xsd:choice>
<xsd:sequence>
<xsd:element name="name" type="xsd:string" />
<xsd:element name="path" type="xsd:string" />
</xsd:sequence>
<xsd:element name="File" type="idmef:File" />
</xsd:choice>
<xsd:attribute name="category"
type="idmef:linkage-category"
<xsd:complexType name="Linkage"> <xsd:choice> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="path" type="xsd:string" /> </xsd:sequence> <xsd:element name="File" type="idmef:File" /> </xsd:choice> <xsd:attribute name="category" type="idmef:linkage-category"
Debar, et al. Experimental [Page 149] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 149] RFC 4765 The IDMEF March 2007
use="required" />
</xsd:complexType>
use="required" /> </xsd:complexType>
<xsd:complexType name="Checksum">
<xsd:sequence>
<xsd:element name="value"
type="xsd:string" />
<xsd:element name="key"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:attribute name="algorithm"
type="idmef:checksum-algorithm"
use="required" />
</xsd:complexType>
<xsd:complexType name="Checksum"> <xsd:sequence> <xsd:element name="value" type="xsd:string" /> <xsd:element name="key" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="algorithm" type="idmef:checksum-algorithm" use="required" /> </xsd:complexType>
<xsd:complexType name="Node">
<xsd:sequence>
<xsd:element name="location"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:choice>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="Address"
type="idmef:Address" />
</xsd:choice>
<xsd:element name="Address"
type="idmef:Address"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="category"
type="idmef:node-category"
default="unknown" />
</xsd:complexType>
<xsd:complexType name="Node"> <xsd:sequence> <xsd:element name="location" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:choice> <xsd:element name="name" type="xsd:string" /> <xsd:element name="Address" type="idmef:Address" /> </xsd:choice> <xsd:element name="Address" type="idmef:Address" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:node-category" default="unknown" /> </xsd:complexType>
<xsd:complexType name="Process">
<xsd:sequence>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="pid"
type="xsd:integer"
<xsd:complexType name="Process"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="pid" type="xsd:integer"
Debar, et al. Experimental [Page 150] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 150] RFC 4765 The IDMEF March 2007
minOccurs="0"
maxOccurs="1" />
<xsd:element name="path"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="arg"
type="xsd:string"
minOccurs="0"
maxOccurs="unbounded" />
<xsd:element name="env"
type="xsd:string"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
</xsd:complexType>
minOccurs="0" maxOccurs="1" /> <xsd:element name="path" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="arg" type="xsd:string" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="env" type="xsd:string" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> </xsd:complexType>
<xsd:complexType name="Service">
<xsd:sequence>
<xsd:choice>
<xsd:sequence>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="port"
type="xsd:integer"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:sequence>
<xsd:element name="port"
type="xsd:integer" />
<xsd:element name="name"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:element name="portlist"
type="idmef:port-list" />
</xsd:choice>
<xsd:element name="protocol"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="SNMPService"
type="idmef:SNMPService"
<xsd:complexType name="Service"> <xsd:sequence> <xsd:choice> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="port" type="xsd:integer" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:sequence> <xsd:element name="port" type="xsd:integer" /> <xsd:element name="name" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:element name="portlist" type="idmef:port-list" /> </xsd:choice> <xsd:element name="protocol" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="SNMPService" type="idmef:SNMPService"
Debar, et al. Experimental [Page 151] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 151] RFC 4765 The IDMEF March 2007
minOccurs="0"
maxOccurs="1" />
<xsd:element name="WebService"
type="idmef:WebService"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="ip_version"
type="xsd:integer" />
<xsd:attribute name="iana_protocol_number"
type="xsd:integer" />
<xsd:attribute name="iana_protocol_name"
type="xsd:string" />
</xsd:complexType>
minOccurs="0" maxOccurs="1" /> <xsd:element name="WebService" type="idmef:WebService" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="ip_version" type="xsd:integer" /> <xsd:attribute name="iana_protocol_number" type="xsd:integer" /> <xsd:attribute name="iana_protocol_name" type="xsd:string" /> </xsd:complexType>
<xsd:complexType name="WebService">
<xsd:sequence>
<xsd:element name="url"
type="xsd:anyURI" />
<xsd:element name="cgi"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="http-method"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="arg"
type="xsd:string"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
</xsd:complexType>
<xsd:complexType name="WebService"> <xsd:sequence> <xsd:element name="url" type="xsd:anyURI" /> <xsd:element name="cgi" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="http-method" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="arg" type="xsd:string" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<xsd:complexType name="SNMPService">
<xsd:sequence>
<xsd:element name="oid"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="messageProcessingModel"
type="xsd:integer"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="securityModel"
<xsd:complexType name="SNMPService"> <xsd:sequence> <xsd:element name="oid" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="messageProcessingModel" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="securityModel"
Debar, et al. Experimental [Page 152] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 152] RFC 4765 The IDMEF March 2007
type="xsd:integer"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="securityName"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="securityLevel"
type="xsd:integer"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="contextName"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="contextEngineID"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
<xsd:element name="command"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
</xsd:complexType>
type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="securityName" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="securityLevel" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="contextName" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="contextEngineID" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="command" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> </xsd:complexType>
<xsd:complexType name="User">
<xsd:sequence>
<xsd:element name="UserId"
type="idmef:UserId"
minOccurs="1"
maxOccurs="unbounded" />
</xsd:sequence>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="category"
type="idmef:user-category"
default="unknown" />
</xsd:complexType>
<xsd:complexType name="User"> <xsd:sequence> <xsd:element name="UserId" type="idmef:UserId" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:user-category" default="unknown" /> </xsd:complexType>
<xsd:complexType name="UserId" >
<xsd:choice>
<xsd:sequence>
<xsd:element name="name"
type="xsd:string" />
<xsd:element name="number"
type="xsd:integer"
<xsd:complexType name="UserId" > <xsd:choice> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="number" type="xsd:integer"
Debar, et al. Experimental [Page 153] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 153] RFC 4765 The IDMEF March 2007
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
<xsd:sequence>
<xsd:element name="number"
type="xsd:integer" />
<xsd:element name="name"
type="xsd:string"
minOccurs="0"
maxOccurs="1" />
</xsd:sequence>
</xsd:choice>
<xsd:attribute name="ident"
type="xsd:string"
default="0" />
<xsd:attribute name="type"
type="idmef:id-type"
default="original-user" />
<xsd:attribute name="tty"
type="xsd:string" />
</xsd:complexType>
minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:sequence> <xsd:element name="number" type="xsd:integer" /> <xsd:element name="name" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> </xsd:choice> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="type" type="idmef:id-type" default="original-user" /> <xsd:attribute name="tty" type="xsd:string" /> </xsd:complexType>
<!-- Section 8: Simple elements with sub-elements or attributes
of a special nature. -->
<!-- Section 8: Simple elements with sub-elements or attributes of a special nature. -->
<xsd:complexType name="Action">
<xsd:simpleContent>
<xsd:extension base="xsd:string" >
<xsd:attribute name="category"
type="idmef:action-category"
default="other" />
</xsd:extension>
</xsd:simpleContent>
</xsd:complexType>
<xsd:complexType name="Action"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="category" type="idmef:action-category" default="other" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<xsd:complexType name="Confidence">
<xsd:simpleContent>
<xsd:extension base="xsd:string" >
<xsd:attribute name="rating"
type="idmef:confidence-rating"
use="required" />
</xsd:extension>
</xsd:simpleContent>
</xsd:complexType>
<xsd:complexType name="Confidence"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="rating" type="idmef:confidence-rating" use="required" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<xsd:complexType name="TimeWithNtpstamp">
<xsd:simpleContent>
<xsd:extension base="xsd:dateTime">
<xsd:complexType name="TimeWithNtpstamp"> <xsd:simpleContent> <xsd:extension base="xsd:dateTime">
Debar, et al. Experimental [Page 154] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 154] RFC 4765 The IDMEF March 2007
<xsd:attribute name="ntpstamp"
type="idmef:ntpstamp"
use="required"/>
</xsd:extension>
</xsd:simpleContent>
</xsd:complexType>
<xsd:attribute name="ntpstamp" type="idmef:ntpstamp" use="required"/> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<xsd:complexType name="Impact">
<xsd:simpleContent>
<xsd:extension base="xsd:string" >
<xsd:attribute name="severity"
type="idmef:impact-severity" />
<xsd:attribute name="completion"
type="idmef:impact-completion" />
<xsd:attribute name="type" type="idmef:impact-type"
default="other" />
</xsd:extension>
</xsd:simpleContent>
</xsd:complexType>
<xsd:complexType name="Impact"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="severity" type="idmef:impact-severity" /> <xsd:attribute name="completion" type="idmef:impact-completion" /> <xsd:attribute name="type" type="idmef:impact-type" default="other" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<xsd:complexType name="Alertident">
<xsd:simpleContent>
<xsd:extension base="xsd:string" >
<xsd:attribute name="analyzerid"
type="xsd:string" />
</xsd:extension>
</xsd:simpleContent>
</xsd:complexType>
<xsd:complexType name="Alertident"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="analyzerid" type="xsd:string" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<xsd:complexType name="xmltext">
<xsd:complexContent mixed="true">
<xsd:restriction base="xsd:anyType">
<xsd:sequence>
<xsd:any namespace="##other"
processContents="lax"
minOccurs="0"
maxOccurs="unbounded" />
</xsd:sequence>
</xsd:restriction>
</xsd:complexContent>
</xsd:complexType>
<xsd:complexType name="xmltext"> <xsd:complexContent mixed="true"> <xsd:restriction base="xsd:anyType"> <xsd:sequence> <xsd:any namespace="##other" processContents="lax" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> </xsd:restriction> </xsd:complexContent> </xsd:complexType>
</xsd:schema>
</xsd:schema>
Debar, et al. Experimental [Page 155] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 155] RFC 4765 The IDMEF March 2007
Authors' Addresses
Authors' Addresses
Herve Debar France Telecom R & D 42 Rue des Coutures Caen 14000 FR
Herve Debar France Telecom R & D 42 Rue des Coutures Caen 14000 FR
Phone: +33 2 31 75 92 61 EMail: herve.debar@orange-ftgroup.com URI: http://www.francetelecom.fr/
Phone: +33 2 31 75 92 61 EMail: herve.debar@orange-ftgroup.com URI: http://www.francetelecom.fr/
David A. Curry Guardian Life Insurance Company of America 7 Hanover Square, 24th Floor New York, NY 10004 US
David A. Curry Guardian Life Insurance Company of America 7 Hanover Square, 24th Floor New York, NY 10004 US
Phone: +1 212 919-3086 EMail: david_a_curry@glic.com URI: http://www.glic.com/
Phone: +1 212 919-3086 EMail: david_a_curry@glic.com URI: http://www.glic.com/
Benjamin S. Feinstein SecureWorks, Inc. PO Box 95007 Atlanta, GA 30347 US
Benjamin S. Feinstein SecureWorks, Inc. PO Box 95007 Atlanta, GA 30347 US
Phone: +1 404 327-6339 Email: bfeinstein@acm.org URI: http://www.secureworks.com/
Phone: +1 404 327-6339 Email: bfeinstein@acm.org URI: http://www.secureworks.com/
Debar, et al. Experimental [Page 156] RFC 4765 The IDMEF March 2007
Debar, et al. Experimental [Page 156] RFC 4765 The IDMEF March 2007
Full Copyright Statement
Full Copyright Statement
Copyright (C) The IETF Trust (2007).
Copyright (C) The IETF Trust (2007).
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
Intellectual Property
Intellectual Property
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
Acknowledgement
Acknowledgement
Funding for the RFC Editor function is currently provided by the Internet Society.
Funding for the RFC Editor function is currently provided by the Internet Society.
Debar, et al. Experimental [Page 157]
Debar, et al. Experimental [Page 157]
一覧
スポンサーリンク
