Network Working Group H. Debar
Request for Comments: 4765 France Telecom
Category: Experimental D. Curry
Guardian
B. Feinstein
SecureWorks, Inc.
March 2007
The Intrusion Detection Message Exchange Format (IDMEF)
Status of This Memo
このメモのステータス
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのためにExperimentalプロトコルを定義します。それはどんな種類のインターネット標準を指定しません。改善のための議論や提案が要求されています。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
IESG Note
IESG注意
The content of this RFC was at one time considered by the IETF, but the working group concluded before this work was approved as a standards-track protocol. This RFC is not a candidate for any level of Internet Standard. The IETF disclaims any knowledge of the fitness of this RFC for any purpose and in particular notes that the decision to publish is not based on complete IETF review for such things as security, congestion control, or inappropriate interaction with deployed protocols. The IESG has chosen to publish this document in order to document the work as it was when the working group concluded and to encourage experimentation and development of the technology. Readers of this RFC should exercise caution in evaluating its value for implementation and deployment.
このRFCの内容は、IETFによって考慮一度でしたが、ワーキンググループは、この作業は標準トラックプロトコルとして承認された前に結論付けました。このRFCはインターネットStandardのどんなレベルの候補ではありません。 IETFは、いかなる目的のためにと、公開する決定が展開されたプロトコルとセキュリティ、輻輳制御、または不適切な相互作用のようなもののための完全なIETFレビューに基づいていない特定のノートに、このRFCのフィットネスの知識を負いません。 IESGは、ワーキンググループが締結したときにそれがあったように作業を文書化すると技術の実験と開発を奨励するために、この文書を公開することを選択しました。このRFCの読者は実現と展開のためにその値を評価する際に警戒する必要があります。
Abstract
抽象
The purpose of the Intrusion Detection Message Exchange Format (IDMEF) is to define data formats and exchange procedures for sharing information of interest to intrusion detection and response systems and to the management systems that may need to interact with them.
侵入検知メッセージ交換フォーマット(IDMEF)の目的は、侵入検知および応答システムに、それらと対話する必要があるかもしれません管理システムに関心のある情報を共有するためのデータ形式と交換手順を定義することです。
This document describes a data model to represent information exported by intrusion detection systems and explains the rationale for using this model. An implementation of the data model in the Extensible Markup Language (XML) is presented, an XML Document Type Definition is developed, and examples are provided.
この文書では、侵入検知システムによってエクスポートされた情報を表現するために、データモデルを記述し、このモデルを使用するための理論的根拠を説明しています。拡張マークアップ言語(XML)のデータモデルの実装は、提示されたXML文書型定義が開発され、実施例が提供されます。
Table of Contents
目次
1. Introduction ....................................................4
1.1. About the IDMEF Data Model .................................4
1.1.1. Problems Addressed by the Data Model ................5
1.1.2. Data Model Design Goals .............................6
1.2. About the IDMEF XML Implementation .........................7
1.2.1. The Extensible Markup Language ......................7
1.2.2. Rationale for Implementing IDMEF in XML .............8
2. Notices and Conventions Used in This Document ..................10
3. Notational Conventions and Formatting Issues ...................10
3.1. IDMEF XML Documents .......................................10
3.1.1. The Document Prolog ................................10
3.1.2. Character Data Processing in IDMEF .................11
3.1.3. Languages in IDMEF .................................12
3.2. IDMEF Data Types ..........................................12
3.2.1. Integers ...........................................12
3.2.2. Real Numbers .......................................12
3.2.3. Characters and Strings .............................13
3.2.4. Bytes ..............................................14
3.2.5. Enumerated Types ...................................14
3.2.6. Date-Time Strings ..................................14
3.2.7. NTP Timestamps .....................................16
3.2.8. Port Lists .........................................16
3.2.9. Unique Identifiers .................................17
4. The IDMEF Data Model and DTD ...................................18
4.1. Data Model Overview .......................................18
4.2. The Message Classes .......................................20
4.2.1. The IDMEF-Message Class ............................20
4.2.2. The Alert Class ....................................20
4.2.3. The Heartbeat Class ................................27
4.2.4. The Core Classes ...................................29
4.2.5. The Time Classes ...................................41
4.2.6. The Assessment Classes .............................42
4.2.7. The Support Classes ................................47
5. Extending the IDMEF ............................................79
5.1. Extending the Data Model ..................................79
5.2. Extending the IDMEF DTD ...................................80
6. Special Considerations .........................................81
6.1. XML Validity and Well-Formedness ..........................81
6.2. Unrecognized XML Tags .....................................82
6.3. Analyzer-Manager Time Synchronization .....................82
6.4. NTP Timestamp Wrap-Around .................................84
6.5. Digital Signatures ........................................85
7. Examples .......................................................85
7.1. Denial-of-Service Attacks .................................86
7.1.1. The "teardrop" Attack ..............................86
7.1.2. The "ping of death" Attack .........................87
7.2. Port Scanning Attacks .....................................88
7.2.1. Connection to a Disallowed Service .................88
7.2.2. Simple Port Scanning ...............................89
7.3. Local Attacks .............................................90
7.3.1. The "loadmodule" Attack ............................90
7.3.2. The "phf" Attack ...................................93
7.3.3. File Modification ..................................94
7.4. System Policy Violation ...................................96
7.5. Correlated Alerts .........................................98
7.6. Analyzer Assessments ......................................99
7.7. Heartbeat ................................................100
7.8. XML Extension ............................................101
8. The IDMEF Document Type Definition (Normative) ................104
9. Security Considerations .......................................117
10. IANA Considerations ..........................................118
10.1. Adding Values to Existing Attributes ....................118
10.1.1. Attribute Registrations ..........................119
10.1.2. Registration Template ............................130
10.2. Adding New Attributes and Classes .......................131
11. References ...................................................131
11.1. Normative References ....................................131
11.2. Informative References ..................................132
Appendix A. Acknowledgements ....................................134
Appendix B. The IDMEF Schema Definition (Non-normative) .........135
The Intrusion Detection Message Exchange Format (IDMEF) [2] is intended to be a standard data format that automated intrusion detection systems can use to report alerts about events that they deem suspicious. The development of this standard format will enable interoperability among commercial, open source, and research systems, allowing users to mix-and-match the deployment of these systems according to their strong and weak points to obtain an optimal implementation.
侵入検知メッセージ交換形式(IDMEF)[2]は自動化された侵入検知システムは、彼らが疑わしいと考えるイベントに関するアラートを通知するために使用できる標準データ形式であることを意図しています。この標準フォーマットの開発は、ユーザーが最適な実装を取得するために彼らの長所と短所に応じてこれらのシステムの導入に合わせミックスと-することができ、商用、オープンソース、および研究システム間の相互運用を可能にします。
The most obvious place to implement the IDMEF is in the data channel between an intrusion detection analyzer (or "sensor") and the manager (or "console") to which it sends alarms. But there are other places where the IDMEF can be useful:
IDMEFを実装するための最も明白な場所は、侵入検知アナライザ(または「センサ」)と管理者(または「コンソール」)は、アラームを送信する間のデータチャネルです。しかしIDMEFが有用であることができ、他の場所があります:
o a single database system that could store the results from a variety of intrusion detection products would make it possible for data analysis and reporting activities to be performed on "the whole picture" instead of just a part of it;
O侵入検知製品の多様からの結果を格納することができ、単一のデータベース・システムは、データ分析のためにと「全体像」の代わりに、それのほんの一部で実行される活動を報告することが可能になるだろう。
o an event correlation system that could accept alerts from a variety of intrusion detection products would be capable of performing more sophisticated cross-correlation and cross-confirmation calculations than one that is limited to a single product;
O侵入検知製品の様々なアラートを受け入れることができるイベント相関システムは、単一の製品に限定されるものよりもより洗練された相互相関及びクロス確認計算を実行することができるであろう。
o a graphical user interface that could display alerts from a variety of intrusion detection products would enable the user to monitor all of the products from a single screen, and require him or her to learn only one interface, instead of several; and
単一の画面からの製品のすべてを監視することを可能にし、1つのインターフェイスだけではなく、いくつかを学ぶために彼または彼女を必要とする侵入検知製品の様々なアラートを表示することができ、グラフィカル・ユーザ・インタフェースO;そして
o a common data exchange format would make it easier for different organizations (users, vendors, response teams, law enforcement) to not only exchange data, but also communicate about it.
O共通のデータ交換フォーマットが異なる組織(ユーザー、ベンダー、対応チーム、法執行機関)にだけでなく、データを交換するためにそれを容易にするだけでなく、それについて通信します。
The diversity of uses for the IDMEF needs to be considered when selecting its method of implementation.
IDMEFの用途の多様性は、その実装方法を選択する際に考慮する必要があります。
The IDMEF data model is an object-oriented representation of the alert data sent to intrusion detection managers by intrusion detection analyzers.
IDMEFデータモデルは、侵入検出アナライザにより侵入検知マネージャに送信されたアラートデータのオブジェクト指向表現です。
The data model addresses several problems associated with representing intrusion detection alert data:
データモデルは、侵入検知警報データを表すに関連したいくつかの問題に対処します。
o Alert information is inherently heterogeneous. Some alerts are defined with very little information, such as origin, destination, name, and time of the event. Other alerts provide much more information, such as ports or services, processes, user information, and so on. The data model that represents this information must be flexible to accommodate different needs.
Oアラート情報は、本質的に異質です。一部のアラートは、このようなイベントの発信元、送信先、名前、および時間として、非常に少ない情報で定義されています。その他のアラートは、そのようなので、上のポートやサービス、プロセス、ユーザー情報、およびとして、より多くの情報を提供します。この情報を表すデータ・モデルは、様々なニーズに対応するために柔軟でなければなりません。
An object-oriented model is naturally extensible via aggregation and subclassing. If an implementation of the data model extends it with new classes, either by aggregation or subclassing, an implementation that does not understand these extensions will still be able to understand the subset of information that is defined by the data model. Subclassing and aggregation provide extensibility while preserving the consistency of the model.
オブジェクト指向モデルは、凝集およびサブクラスを介して自然に拡張可能です。データモデルの実装はいずれかの凝集やサブクラス化により、新しいクラスでそれを拡張する場合は、これらの拡張を理解していない実装では、まだデータモデルによって定義されている情報のサブセットを理解することができるようになります。モデルの一貫性を維持しながら、サブクラス化と集約は拡張性を提供します。
o Intrusion detection environments are different. Some analyzers detect attacks by analyzing network traffic; others use operating system logs or application audit trail information. Alerts for the same attack, sent by analyzers with different information sources, will not contain the same information.
O侵入検知環境が異なっています。いくつかのアナライザは、ネットワークトラフィックを解析することにより、攻撃を検出します。他の人は、オペレーティングシステムのログやアプリケーションの監査証跡情報を使用します。アラートは、さまざまな情報源とアナライザーにより送信された同じ攻撃、のために、同じ情報が含まれていません。
The data model defines support classes that accommodate the differences in data sources among analyzers. In particular, the notions of source and target for the alert are represented by the combination of Node, Process, Service, and User classes.
データモデルは、解析装置間でのデータソースの違いに適応するサポートクラスを定義します。具体的には、アラートのソースとターゲットの概念は、ノード、プロセス、サービス、およびユーザクラスの組合せによって表されます。
o Analyzer capabilities are different. Depending on the environment, one may install a lightweight analyzer that provides little information in its alerts, or a more complex analyzer that will have a greater impact on the running system but provide more detailed alert information. The data model must allow for conversion to formats used by tools other than intrusion detection analyzers, for the purpose of further processing the alert information.
Oアナライザ機能が異なります。環境に応じて、1は、そのアラートにほとんど情報を提供し、軽量アナライザ、または実行しているシステムに大きな影響を持っているが、より詳細なアラート情報を提供します、より複雑なアナライザーをインストールすることができます。データモデルは、さらに、アラート情報を処理するために、侵入検知アナライザ以外のツールによって使用されるフォーマットへの変換を可能にしなければなりません。
The data model defines extensions to the basic Document Type Definition (DTD) that allow carrying both simple and complex alerts. Extensions are accomplished through subclassing or association of new classes.
データモデルは、シンプルかつ複雑な両方のアラートを運ぶことができ、基本的な文書型定義(DTD)に拡張を定義します。拡張機能は、新しいクラスのサブクラス化または会合を通じて達成されています。
o Operating environments are different. Depending on the kind of network or operating system used, attacks will be observed and reported with different characteristics. The data model should accommodate these differences.
O動作環境が異なります。使用しているネットワークやオペレーティングシステムの種類に応じて、攻撃が観測され、異なる特性を報告しました。データモデルは、これらの違いに対応する必要があります。
Significant flexibility in reporting is provided by the Node and Service support classes. If additional information must be reported, subclasses may be defined that extend the data model with additional attributes.
報告の大幅な柔軟性は、ノードおよびサービスサポートクラスによって提供されます。追加情報が報告されなければならない場合は、サブクラスは、追加の属性を持つデータモデルを拡張するように定義することができます。
o Commercial vendor objectives are different. For various reasons, vendors may wish to deliver more or less information about certain types of attacks.
O商用ベンダーの目標は異なっています。様々な理由から、ベンダーは攻撃の特定の種類の詳細以下の情報をお届けしたいと思うかもしれません。
The object-oriented approach allows this flexibility while the subclassing rules preserve the integrity of the model.
サブクラス化ルールは、モデルの整合性を維持しながら、オブジェクト指向のアプローチは、この柔軟性を可能にします。
The data model was designed to provide a standard representation of alerts in an unambiguous fashion, and to permit the relationship between simple and complex alerts to be described.
データモデルは、明確な方法でアラートの標準的な表現を提供するために、シンプルかつ複雑なアラートとの関係を説明するために可能にするように設計しました。
The goal of the data model is to provide a standard representation of the information that an intrusion detection analyzer reports when it detects an occurrence of some unusual event(s). These alerts may be simple or complex, depending on the capabilities of the analyzer that creates them.
データ・モデルの目標は、侵入検知分析レポートそれはいくつかの異常なイベント(単数または複数)の発生を検出する情報の標準的な表現を提供することです。これらのアラートは、それらを作成し、アナライザの機能に応じて、単純または複雑です。
The design of the data model is content-driven. This means that new objects are introduced to accommodate additional content, not semantic differences between alerts. This is an important goal, as the task of classifying and naming computer vulnerabilities is both extremely difficult and very subjective.
データモデルの設計は、コンテンツ主導型です。これは、新しいオブジェクトが追加コンテンツではなく、アラートの間に意味の違いに対応するために導入されていることを意味します。コンピュータの脆弱性を分類し、命名のタスクは非常に困難であり、非常に主観的でもあり、これは、重要な目標です。
The data model must be unambiguous. This means that while we allow analyzers to be more or less precise than one another (i.e., one analyzer may report more information about an event than another), we do not allow them to produce contradictory information in two alerts describing the same event (i.e., the common subset of information reported by both analyzers must be identical and inserted in the same placeholders within the alert data structure). Of course, it is always possible to insert all "interesting" information about an event in extension fields of the alert instead of in the fields where it belongs; however, such practice reduces interoperability and should be avoided whenever possible.
データモデルは、明確なでなければなりません。これはつまり、(我々は(すなわち、1アナライザは別のものよりイベントに関する詳細な情報を報告することがあります)アナライザは、多かれ少なかれ正確互いによりことを可能にする一方で、我々は彼らが同じイベントを記述する2つのアラートに矛盾する情報を生成することができないことを意味します、両方の分析装置によって報告された情報の共通のサブセット)が同一であり、警報データ構造内の同じプレースホルダに挿入されなければなりません。もちろん、アラートの拡張フィールドではなく、それが属する分野のイベントに関するすべての「面白い」の情報を挿入することが常に可能です。しかし、そのような練習は、相互運用性を低減し、可能な限り避けるべきです。
Intrusion detection alerts can be transmitted at several levels. This document applies to the entire range, from very simple alerts (e.g., those alerts that are the result of a single action or operation in the system, such as a failed login report) to very complex ones (e.g., the aggregation of several events causing an alert to be generated).
侵入検知アラートは、いくつかのレベルで送信することができます。この文書では、非常に単純なアラートから、範囲全体に適用される(例えば、失敗したログインのレポートなど、システム内の単一のアクションや操作の結果であるこれらのアラート)に非常に複雑なもの(例えば、いくつかのイベントの集約)生成されるアラートを発生します。
As such, the data model must provide a way for complex alerts that aggregate several simple alerts to identify those simple alerts in the complex alert's content.
このように、データモデルは、複雑な警告の内容にこれらの簡単なアラートを識別するために、いくつかの簡単な警告を集約する複雑なアラートのための方法を提供する必要があります。
Two implementations of the IDMEF were originally proposed to the Intrusion Detection Working Group (IDWG): one using the Structure of Management Information (SMI) to describe a Simple Network Management Protocol (SNMP) MIB, and the other using a DTD to describe XML documents.
IDMEFの2つの実装はもともと侵入検知ワーキンググループ(IDWG)に提案された:1つのXML文書を記述するためにDTDを使用して簡易ネットワーク管理プロトコル(SNMP)MIB、およびその他を記述するための管理情報(SMI)の構造を使用して。
These proposed implementations were reviewed by the IDWG at its September 1999 and February 2000 meetings; it was decided at the February meeting that the XML solution was best at fulfilling the IDWG requirements.
これらの提案の実装は、その1999年9月と2000年2月の会合でIDWGにより検討しました。それは、XMLソリューションをIDWG要件を満たすで最高だった2月の会議で決定しました。
The Extensible Markup Language (XML) [3] is a simplified version of the Standard Generalized Markup Language (SGML), a syntax for specifying text markup defined by the ISO 8879 standard. XML is gaining widespread attention as a language for representing and exchanging documents and data on the Internet, and as the solution to most of the problems inherent in HyperText Markup Language (HTML). XML was published as a recommendation by the World Wide Web Consortium (W3C) on February 10, 1998.
拡張マークアップ言語(XML)は、[3]標準一般化マークアップ言語(SGML)、ISO 8879規格で定義されたテキストマークアップを指定するための構文の簡易版です。 XMLは、表現し、インターネット上で文書やデータを交換するための言語として広く注目を集めており、ハイパーテキストマークアップ言語(HTML)に固有の問題のほとんどを解決として。 XMLは、1998年2月10日にワールド・ワイド・ウェブ・コンソーシアム(W3C)の勧告として公開されました。
XML is a metalanguage -- a language for describing other languages -- that enables an application to define its own markup. XML allows the definition of customized markup languages for different types of documents and different applications. This differs from HTML, in which there is a fixed set of identifiers with preset meanings that must be "adapted" for specialized uses. Both XML and HTML use elements (tags) (identifiers delimited by '<' and '>') and attributes (of the form "name='value'"). But where "<p>" always means "paragraph" in HTML, it may mean "paragraph", "person", "price", or "platypus" in XML, or it might have no meaning at all, depending on the particular application.
他の言語を記述するための言語 - - 独自のマークアップを定義するためのアプリケーションを可能にするXMLはメタ言語です。 XMLは文書と異なるアプリケーションの種類ごとにカスタマイズされたマークアップ言語を定義できます。これは、専門的な用途のために「適応」しなければならないプリセットの意味を持つ識別子の固定セットがあり、HTMLとは異なります。どちらもXMLとHTMLの使用要素(タグ)(で区切られた識別子「<」と「>」)と属性(フォームの「名前= 『値』」)。しかし、ここで「<P>」は常にHTMLで「段落」を意味し、それは「段落」、「人物」、「価格」、またはXMLで「カモノハシ」を意味するかもしれない、またはそれは、特定のに応じて、全く意味を持たないかもしれません応用。
NOTE: XML provides both a syntax for declaring document markup and structure (i.e., defining elements and attributes, specifying the order in which they appear, and so on) and a syntax for using that markup in documents. Because markup declarations look radically different from markup, many people are confused as to which syntax is called XML. The answer is that they both are, because they are actually both part of the same language.
注:XML文書のマークアップと構造宣言する構文の両方を提供(その表示順序を指定する、すなわち、定義する要素と属性を、など)と文書にそのマークアップを使用するための構文。マークアップ宣言は、マークアップから根本的に異なって見えるので、多くの人々がどの構文XMLと呼ばれてするように混乱しています。彼らは実際には同じ言語の両方の一部であるので答えは、彼らの両方があるということです。
For clarity in this document, we will use the terms "XML" and "XML documents" when speaking in the general case, and the term "IDMEF markup" when speaking specifically of the elements (tags) and attributes that describe IDMEF messages.
特に、メッセージをIDMEF記述する要素(タグ)と属性の話すとき、このドキュメントでは明確にするために、我々は、用語「XML」と「XML文書」一般的なケースで言えば、用語「IDMEFマークアップ」を使用します。
The publication of XML was followed by the publication of a second recommendation [4] by the World Wide Web Consortium, defining the use of namespaces in XML documents. An XML namespace is a collection of names, identified by a Uniform Resource Identifier (URI) [5]. When using namespaces, each tag is identified with the namespace it comes from, allowing tags from different namespaces with the same names to occur in the same document. For example, a single document could contain both "usa:football" and "europe:football" tags, each with different meanings.
XMLの出版物は、XML文書内の名前空間の使用を定義し、ワールドワイドウェブコンソーシアムによって[4]第二勧告の公表が続きました。 XML名前空間は、URI(Uniform Resource Identifier)で識別される名前の集合、である[5]。名前空間を使用する場合は、各タグは、同じ名前の別の名前空間からのタグが同じドキュメントで発生することができ、それはから来ている名前空間で識別されます。そして「ヨーロッパ:サッカー」タグ、異なる意味を持つ各:例えば、単一の文書には、「フットボールUSA」の両方を含めることができます。
In anticipation of the widespread use of XML namespaces, this memo includes the definition of the URI to be used to identify the IDMEF namespace.
XML名前空間の普及を見越して、このメモはIDMEF名前空間を識別するために使用されるURIの定義が含まれています。
XML-based applications are being used or developed for a wide variety of purposes, including electronic data interchange in a variety of fields, financial data interchange, electronic business cards, calendar and scheduling, enterprise software distribution, web "push" technology, and markup languages for chemistry, mathematics, music, molecular dynamics, astronomy, book and periodical publishing, web publishing, weather observations, real estate transactions, and many others.
XMLベースのアプリケーションを使用したり、電子データフィールド、財務データ交換、電子名刺、カレンダー、スケジュール、エンタープライズソフトウェアの配布、ウェブ「プッシュ」技術の様々な交換、およびマークアップを含め、多種多様な目的のために開発されています化学、数学、音楽、分子動力学、天文学、書籍や定期刊行物の出版、Webパブリッシング、気象観測、不動産取引、および他の多くのための言語。
XML's flexibility makes it a good choice for these applications; that same flexibility makes it a good choice for implementing the IDMEF as well. Other, more specific reasons for choosing XML to implement the IDMEF are: o XML allows a custom language to be developed specifically for the purpose of describing intrusion detection alerts. It also defines a standard way to extend this language, either for later revisions of this document ("standard" extensions) or for vendor-specific use ("non-standard" extensions).
XMLの柔軟性は、これらのアプリケーションのための優れた選択肢となります。同じ柔軟性が、それだけでなくIDMEFを実装するための優れた選択肢となります。 IDMEFを実装するためにXMLを選択するための他のより具体的な理由は以下のとおりです。XMLは、カスタム言語は、侵入検知アラートを説明する目的のために特別に開発することができますoを。また、このドキュメントの後の改正(「標準」の拡張機能)またはベンダー固有の使用(「非標準」の拡張機能)のいずれかのために、この言語を拡張するための標準的な方法を定義します。
o Software tools for processing XML documents are widely available, in both commercial and open source forms. Numerous tools and APIs for parsing and/or validating XML are available in a variety of languages, including Java, C, C++, Tcl, Perl, Python, and GNU Emacs Lisp. Widespread access to tools will make adoption of the IDMEF by product developers easier, and hopefully, faster.
XML文書を処理するためのOソフトウェアツールは、両方の商用およびオープンソースの形で、広く入手可能です。多くのツールやXMLを解析および/または検証するためのAPIは、Java、C、C ++、Tclの、PerlやPython、およびGNU Emacs Lispに含めたさまざまな言語でご利用いただけます。ツールへの広範なアクセスが速く、うまくいけば、簡単に製品開発者によってIDMEFの採用を行い、かつます。
o XML meets IDMEF Requirement 5.1 [2], that message formats support full internationalization and localization. The XML standard requires support for both the UTF-8 and UTF-16 encodings of ISO/ IEC 10646 (Universal Multiple-Octet Coded Character Set, "UCS") and Unicode, making all XML applications (and therefore all IDMEF-compliant applications) compatible with these common character encodings.
入出力XMLはIDMEF要件5.1を満たしている[2]、そのメッセージフォーマットは、完全な国際化とローカライゼーションをサポートします。 XML標準は、すべてのXMLアプリケーション(したがって、すべてのIDMEF準拠のアプリケーション)を作り、UTF-8、ISO / IEC 10646のUTF-16エンコーディング(ユニバーサルマルチオクテット符号化文字集合、「UCS」)の両方をサポートし、Unicodeを要求しますこれらの共通の文字エンコーディングと互換性があります。
XML also provides support for specifying, on a per-element basis, the language in which the element's content is written, making IDMEF easy to adapt to "Natural Language Support" versions of a product.
XMLは、製品の「自然言語サポート」のバージョンに適応するIDMEFが容易、要素ごとのベースで、要素の内容が書かれている言語を指定するためのサポートを提供します。
o XML meets IDMEF Requirement 5.2 [2], that message formats must support filtering and aggregation. XML's integration with XSL, a style language, allows messages to be combined, discarded, and rearranged.
入出力XML [2]は、そのメッセージフォーマットはフィルタリングおよび集約をサポートしなければならないIDMEF要件5.2を満たします。 XSLとXMLの統合、スタイル言語は、メッセージは、組み合わせ捨て、再配置することができます。
o Ongoing XML development projects, in the W3C and elsewhere, will provide object-oriented extensions, database support, and other useful features. If implemented in XML, the IDMEF immediately gains these features as well.
O継続的なXML開発プロジェクトは、W3Cで、他の場所、オブジェクト指向の拡張機能、データベースのサポート、およびその他の便利な機能を提供します。 XMLで実装する場合、IDMEFはすぐにも、これらの機能を獲得します。
o XML is free, with no license, no license fees, and no royalties.
OのXMLは、ライセンスなしライセンス料、無料なしで、自由です。
The keywords "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [1].
キーワード "MUST"、 "MUST NOT"、 "REQUIRED" は、 "NOT SHALL" "ものと" この文書では、 "SHOULD"、 "推奨" "NOT SHOULD"、 "MAY"、 "OPTIONAL" はにありますRFC 2119に記載されるように解釈される[1]。
An "IDMEF-compliant application" is a program or program component, such as an analyzer or manager, that reads and/or writes messages in the format specified by this memo.
「IDMEF準拠アプリケーション」は、読み出し及び/又はこのメモで指定された形式でメッセージを書き込むアナライザまたは管理など、プログラムやプログラム部品です。
An "IDMEF document" is a message that adheres to the requirements specified by this memo and that is exchanged by two or more IDMEF applications. "IDMEF message" is another term for an "IDMEF document".
「IDMEF文書は」このメモで指定された要件に準拠したメッセージであり、それは、二つ以上のIDMEFアプリケーションによって交換されます。 「IDMEFメッセージは」「IDMEFドキュメント」のための別の用語です。
This document uses three notations: Unified Modeling Language to describe the data model [14], XML to describe the markup used in IDMEF documents, and IDMEF markup to represent the documents themselves.
XMLは、ドキュメント自体を表現するためにIDMEF文書で使用されるマークアップ、およびIDMEFマークアップを記述するために、データモデル[14]を記述するために、統一モデリング言語:この文書では、3つの表記法を使用しています。
This section describes IDMEF XML document formatting rules. Most of these rules are "inherited" from the rules for formatting XML documents.
このセクションでは、IDMEF XMLドキュメントフォーマット規則について説明します。これらの規則のほとんどは、XML文書をフォーマットするためのルールから「継承」されています。
The format of an IDMEF XML document prolog is described in the following sections.
IDMEF XML文書プロローグのフォーマットは、次のセクションに記載されています。
IDMEF documents being exchanged between IDMEF-compliant applications MUST begin with an XML declaration, and MUST specify the XML version in use. Specification of the encoding in use is RECOMMENDED.
IDMEF準拠のアプリケーション間で交換されるIDMEF文書はXML宣言で始まる必要があり、使用中のXMLバージョンを指定する必要があります。使用中のエンコーディングの指定をお勧めします。
An IDMEF message SHOULD therefore start with:
IDMEFメッセージは、そのためで始まる必要があります。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"/>
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef" />
IDMEF-compliant applications MAY choose to omit the XML declaration internally to conserve space, adding it only when the message is sent to another destination (e.g., a web browser). This practice is NOT RECOMMENDED unless it can be accomplished without loss of each message's version and encoding information.
IDMEF準拠のアプリケーションは、メッセージを別の宛先(例えば、Webブラウザ)に送信された場合にのみ、それを追加し、スペースを節約するために、内部でXML宣言を省略することを選択するかもしれません。それは、各メッセージのバージョンおよびエンコーディング情報の損失なしに行うことができない限り、このような行為はお勧めしません。
In order to be valid (see Section 6.1), an XML document must contain a document type definition. However, this represents significant overhead to an IDMEF-compliant application, both in the bandwidth it consumes as well as the requirements it places on the XML processor (not only to parse the declaration itself, but also to parse the DTD it references).
(6.1節を参照)、有効であるためには、XML文書は、文書型定義が含まれている必要があります。しかし、これはIDMEF準拠のアプリケーションに大きなオーバーヘッドを表し、両方の帯域幅では、(宣言自体を解析するために、だけでなく、それが参照するDTDを解析するだけではなく)だけでなく、それがXMLプロセッサに置き要件を消費します。
Implementors MAY decide, therefore, to have analyzers and managers agree out-of-band on the particular document type definition they will be using to exchange messages (the standard one as defined here, or one with extensions), and then omit the document type definition from IDMEF messages. The method for negotiating this agreement is outside the scope of this document. Note that great care must be taken in negotiating any such agreements, as the manager may have to accept messages from many different analyzers, each using a DTD with a different set of extensions.
実装者は、そのため、解析器を持っており、彼らは(標準ここで定義されたように、1つ、または拡張子を持つもの)メッセージを交換するために使用するアウトオブバンド、特定の文書型定義の管理者が同意し、文書の種類を省略し、決めることができますIDMEFメッセージから定義。本契約を交渉するための方法は、この文書の範囲外です。管理者は、多くの異なる解析器からのメッセージを受け入れなければならないこととして、細心の注意が、そのような契約を交渉中で取らなければならないことに注意してください、それぞれの拡張機能の異なるセットでDTDを使用。
For portability reasons, IDMEF-compliant applications SHOULD NOT use, and IDMEF messages SHOULD NOT be encoded in, character encodings other than UTF-8 and UTF-16. Consistent with the XML standard, if no encoding is specified for an IDMEF message, UTF-8 is assumed.
移植性の理由から、IDMEF準拠のアプリケーションでは使用しません。また、IDMEFメッセージは、UTF-8、UTF-16以外の文字エンコーディングをでエンコードされるべきではありません。エンコーディングがIDMEFメッセージに対して指定されていない場合、XML標準に一致する、UTF-8が想定されます。
NOTE: The ASCII character set is a subset of the UTF-8 encoding, and therefore may be used to encode IDMEF messages.
注:ASCII文字セットは、UTF-8エンコーディングのサブセットであり、したがってIDMEFメッセージを符号化するために使用されてもよいです。
Per the XML standard, IDMEF documents encoded in UTF-16 MUST begin with the Byte Order Mark described by ISO/IEC 10646 Annex E and Unicode Appendix B (the "ZERO WIDTH NO-BREAK SPACE" character, #xFEFF).
XML標準に従って、UTF-16でエンコードIDMEF文書は、ISO / IEC 10646附属書E及びUnicodeの付録B( "ZERO WIDTH NO-BREAK SPACE" の文字、#xFEFF)によって記述バイト順マークで開始する必要があります。
It is RECOMMENDED that IDMEF-compliant applications use the entity reference form (see Section 3.2.3.1) of the characters '&', ,'<', '>', '"', and ''' (single-quote) whenever writing these characters in data, to avoid any possibility of misinterpretation.
いつでもIDMEF準拠のアプリケーションでは、文字の実体参照形式を(セクション3.2.3.1を参照)を使用することをお勧め「&」、「<」、「>」、「"」、および『』 '(シングルクオート)されます誤解のいずれかの可能性を回避するために、データにこれらの文字を書きます。
All IDMEF elements MUST support the "xml:space" attribute.
属性:すべてのIDMEF要素は、「スペースXML」をサポートしなければなりません。
IDMEF-compliant applications MUST specify the language in which their contents are encoded; in general this can be done by specifying the "xml:lang" attribute for the top-level element and letting all other elements "inherit" that definition [10].
IDMEF準拠のアプリケーションは、その内容がエンコードされる言語を指定する必要があります。一般的に、これは「XML:langの」指定することによって行うことができる最上位要素の属性を、他のすべての要素をさせるその定義[10]を「継承」。
Within an XML IDMEF message, all data will be expressed as "text" (as opposed to "binary"), since XML is a text formatting language. We provide typing information for the attributes of the classes in the data model, however, to convey to the reader the type of data that the model expects for each attribute.
XMLはテキストフォーマット言語であるため、XMLのIDMEFメッセージ内の、すべてのデータは、(「バイナリ」とは対照的に)「テキスト」と表現します。私たちは、読者にモデルが各属性のために期待していたデータの種類を伝えるために、しかし、データモデル内のクラスの属性の情報を入力して提供します。
Each data type in the model has specific formatting requirements in an XML IDMEF message; these requirements are set forth in this section.
モデル内の各データ型は、XML IDMEFメッセージの特定のフォーマット要件を有しています。これらの要件は、このセクションに記載されています。
Integer attributes are represented by the INTEGER data type. Integer data MUST be encoded in Base 10 or Base 16.
Integer型の属性は、INTEGERデータ型で表現されています。整数データは、ベース10またはベース16符号化されなければなりません。
Base 10 integer encoding uses the digits '0' through '9' and an optional sign ('+' or '-'). For example, "123", "-456".
ベース10の整数エンコードが数字「0」「9」を介して、およびオプションの符号を使用して(「+」または「 - 」)。例えば、 "123"、 "-456"。
Base 16 integer encoding uses the digits '0' through '9' and 'a' through 'f' (or their uppercase equivalents), and is preceded by the characters "0x". For example, "0x1a2b".
ベース16の整数符号化は「9」の数字「0」を使用し、「」「F」(またはその大文字の等価物)を介して、文字「0X」によって先行されます。例えば、 "0x1a2b"。
Real (floating-point) attributes are represented by the REAL data type. Real data MUST be encoded in Base 10.
実(浮動小数点)の属性は、REALデータ型で表現されています。実際のデータは、ベース10でエンコードされなければなりません。
Real encoding is that of the POSIX 1003.1 "strtod" library function: an optional sign ('+' or '-') followed by a non-empty string of decimal digits, optionally containing a radix character, then an optional exponent part. An exponent part consists of an 'e' or 'E', followed by an optional sign, followed by one or more decimal digits. For example, "123.45e02", "-567,89e-03".
実際の符号化は、POSIX 1003.1「は、strtod」ライブラリ関数となる:オプション記号 - 任意に基数文字は、任意の指数部を含む、桁の非空の文字列が続く(「+」または「」)。指数部は、一つ以上の桁に続くオプションの符号、続い「E」または「E」、から成ります。例えば、 "123.45e02"、 "-567,89e-03"。
IDMEF-compliant applications MUST support both the '.' and ',' radix characters.
IDMEF準拠のアプリケーションは両方サポートしなければならない「と。」そして、「」基数文字。
Single-character attributes are represented by the CHARACTER data type. Multi-character attributes of known length are represented by the STRING data type.
単一文字属性はCHARACTERデータ型で表現されています。既知の長さの複数文字属性はSTRINGデータ型で表現されています。
Character and string data have no special formatting requirements, other than the need to occasionally use character references (see Section 3.2.3.1 and Section 3.2.3.2) to represent special characters.
文字と文字列のデータは、特殊文字を表現するために(セクション3.2.3.1と3.2.3.2項を参照)時折文字参照を使用する必要以外に特別なフォーマット要件を、持っていません。
Within XML documents, certain characters have special meanings in some contexts. To include the actual character itself in one of these contexts, a special escape sequence, called an entity reference, must be used.
XML文書の中で、特定の文字は、いくつかの状況では特別な意味を持っています。実体参照と呼ばれるこれらの状況のいずれかで、実際の文字自体、特別なエスケープシーケンスを含めるには、使用する必要があります。
The characters that sometimes need to be escaped, and their entity references, are:
時々、エスケープする必要がある文字と、その実体参照は、以下のとおりです。
+-----------+------------------+
| Character | Entity Reference |
+-----------+------------------+
| & | & |
| | |
| < | < |
| | |
| > | > |
| | |
| " | " |
| | |
| ' | ' |
+-----------+------------------+
Any character defined by the ISO/IEC 10646 and Unicode standards may be included in an XML document by the use of a character reference. A character reference is started with the characters '&' and '#', and ended with the character ';'. Between these characters, the character code for the character is inserted.
ISO / IEC 10646およびUnicode標準で定義された任意の文字は文字参照を使用することにより、XML文書に含まれていてもよいです。文字参照は、文字「&」と「#」で始まり、文字で終了しています「;」。これらの文字の間、文字の文字コードが挿入されています。
If the character code is preceded by an 'x' it is interpreted in hexadecimal (base 16); otherwise, it is interpreted in decimal (base 10). For instance, the ampersand (&) is encoded as & or & and the less-than sign (<) is encoded as < or <.
文字コードは「X」が先行する場合、それは16進(ベース16)に解釈されます。それ以外の場合は、小数(ベース10)に解釈されます。例えば、アンパサンド(&)#38&としてエンコードされます。または&#x0026;および小なり記号(<)#60としてエンコードされています。または&#x003Cの;.
Any one-, two-, or four-byte character specified in the ISO/IEC 10646 and Unicode standards can be included in a document using this technique.
ISO / IEC 10646およびUnicode標準で指定された任意の一次元、二次元、または4バイト文字は、この技術を使用して文書に含めることができます。
Binary data is represented by the BYTE (and BYTE[]) data type.
バイナリデータはバイト(およびBYTE [])データ型で表現されます。
Binary data MUST be encoded in its entirety using base64.
バイナリデータは、base64を使用して、その全体に符号化されなければなりません。
Enumerated types are represented by the ENUM data type, and consist of an ordered list of acceptable values.
列挙型は、ENUMデータ型によって表され、許容される値の順序リストで構成されています。
Date-time strings are represented by the DATETIME data type. Each date-time string identifies a particular instant in time; ranges are not supported.
日付・時間の文字列がDATETIMEデータ型で表現されています。各日付時刻文字列は、時間の特定の瞬間を識別します。範囲がサポートされていません。
Date-time strings are formatted according to a subset of ISO 8601: 2000 [6], as show below. Section references in parentheses refer to sections of the ISO 8601:2000 standard [6].
以下に示すように、[6]:2000日時文字列はISO 8601のサブセットに従ってフォーマットされています。 [6] 2000標準:カッコ内のセクション参照は、ISO 8601のセクションを参照してください。
YYYY-MM-DD
YYYY-MM-DD
where YYYY is the four-digit year, MM is the two-digit month (01-12), and DD is the two-digit day (01-31). (Section 5.2.1.1, "Complete representation -- Extended format".)
YYYYは、4桁の年であり、MMは2桁の月(01-12)、DDは2桁の日(01〜31)です。 (セクション5.2.1.1、 "完全な表現 - 拡張フォーマット"。)
hh:mm:ss
HH:mm:ssの
where hh is the two-digit hour (00-24), mm is the two-digit minute (00-59), and ss is the two-digit second (00-60). (Section 5.3.1.1, "Complete representation -- Extended format".)
hhは2桁の時間(00-24)である場合、MMは2桁の分(00-59)であり、SSは2桁の秒(00から60)です。 (5.3.1.1項、 "完全な表現 - 拡張フォーマット"。)
Note that midnight has two representations, 00:00:00 and 24:00:00. Both representations MUST be supported by IDMEF-compliant applications; however, the 00:00:00 representation SHOULD be used whenever possible.
深夜には2つの表現00:00:00及び24:00:00を持っていることに注意してください。両方の表現はIDMEF準拠のアプリケーションによってサポートされなければなりません。しかし00:00:00表現が可能な限り使用されるべきです。
Note also that this format accounts for leap seconds. Positive leap seconds are inserted between 23:59:59Z and 24:00:00Z and are represented as 23:59:60Z. Negative leap seconds are achieved by the omission of 23:59:59Z. IDMEF-compliant applications MUST support leap seconds.
このフォーマットは、うるう秒のためということにも注意してください。 59:59Z、24:00:00Z及び23として表される:正うるう秒は23の間に挿入されている59:60Z。 59:59Z負のうるう秒は23の省略によって達成されます。 IDMEF準拠のアプリケーションでは、うるう秒をサポートしなければなりません。
3. Times MAY be formatted to include a decimal fraction of seconds, as follows:
3.次のようにタイムズ紙は、秒の小数部を含むようにフォーマットすることがあります。
hh:mm:ss.ss or
hh:mm:ss,ss
As many digits as necessary may follow the decimal sign (at least one digit must follow the decimal sign). Decimal fractions of hours and minutes are not supported. (Section 5.3.1.3, "Representation of decimal fractions".)
必要な数の桁が(小数点に従わなければならない少なくとも一桁)小数点に従うことができます。時間と分の小数はサポートされていません。 (セクション5.3.1.3、「小数の表現」。)
IDMEF-compliant applications MUST support the use of both decimal signs ('.' and ',').
IDMEF準拠のアプリケーションは、(「」「」と)両方の小数点記号の使用をサポートしなければなりません。
Note that the number of digits in the fraction part does not imply anything about accuracy -- i.e., "00.100000", "00,1000", and "00.1" are all equivalent.
すなわち、「00.100000」、「00,1000」、および「00.1」のすべての等価です - 小数部の桁数が、正確性については何も意味しないことに注意してください。
4. Times MUST be formatted to include (a) an indication that the time is in Coordinated Universal Time (UTC) or (b) an indication of the difference between the specified time and Coordinated Universal Time.
4.時間は、時間は協定世界時(UTC)であること(a)は、表示又は指定された時間と協定世界時との間の差の(b)の指示を含むようにフォーマットする必要があります。
* Times in UTC MUST be formatted by appending the letter 'Z' to
the time string as follows:
hh:mm:ssZ
hh:mm:ss.ssZ
hh:mm:ss,ssZ
(Section 5.3.3, "Coordinated Universal Time (UTC) -- Extended format".)
(セクション5.3.3、 "協定世界時(UTC) - 拡張フォーマット"。)
* If the time is ahead of or equal to UTC, a '+' sign is appended to the time string; if the time is behind UTC, a '-' sign is appended. Following the sign, the number of hours and minutes representing the different from UTC is appended, as follows:
時間はUTCに控えのか等しい場合*、「+」記号は、時刻文字列に追加されます。時間はUTCの背後にある場合、「 - 」記号が付加されます。次のように記号に続いて、UTCと異なるを表す時間と分の数が、追加されます:
hh:mm:ss+hh:mm
hh:mm:ss-hh:mm
hh:mm:ss.ss+hh:mm hh:mm:ss.ss-hh:mm
hh:mm:ss,ss+hh:mm
hh:mm:ss,ss-hh:mm
The difference from UTC MUST be specified in both hours and minutes, even if the minutes component is 0. A "difference" of "+00:00" is equivalent to UTC. (Section 5.3.4.2, "Local time and the difference with Coordinated Universal Time -- Extended Format".)
「+00:00」UTCとの差は、分成分が0のA「差」であっても、時間と分の両方で指定する必要がありUTCと等価です。 (セクション5.3.4.2、「ローカル時間と協定世界時との違い - 拡張フォーマット」。)
5. Date-time strings are created by joining the date and time strings with the letter 'T', as shown below:
以下に示すように5日付・時間の文字列は、文字「T」で日付と時刻の文字列を結合して作成されます。
YYYY-MM-DDThh:mm:ssZ
YYYY-MM-DDThh:mm:ss.ssZ
YYYY-MM-DDThh:mm:ss,ssZ
YYYY-MM-DDThh:mm:ss+hh:mm
YYYY-MM-DDThh:mm:ss-hh:mm
YYYY-MM-DDThh:mm:ss.ss+hh:mm
YYYY-MM-DDThh:mm:ss.ss-hh:mm
YYYY-MM-DDThh:mm:ss,ss+hh:mm
YYYY-MM-DDThh:mm:ss,ss-hh:mm
(Section 5.4.1, "Complete representation -- Extended format".)
(5.4.1項、 "完全な表現 - 拡張フォーマット"。)
In summary, IDMEF date-time strings MUST adhere to one of the nine templates identified in Paragraph 5, above.
要約すると、IDMEF日時文字列は、上記、第5項で識別9つのいずれかのテンプレートに従っている必要があります。
NTP timestamps are represented by the NTPSTAMP data type and are described in detail in [7] and [8]. An NTP timestamp is a 64-bit unsigned fixed-point number. The integer part is in the first 32 bits, and the fraction part is in the last 32 bits.
NTPタイムスタンプはNTPSTAMPデータ型によって表され、に詳細に記載されている[7]と[8]。 NTPタイムスタンプは、64ビットの符号なしの固定小数点数です。整数部分は、最初の32ビットであり、小数部は、最後の32ビットです。
Within IDMEF messages, NTP timestamps MUST be encoded as two 32-bit hexadecimal values, separated by a period ('.'). For example, "0x12345678.0x87654321".
IDMEFメッセージ内に、NTPタイムスタンプは、ピリオド(「」)によって分離された、2つの32ビットの16進数値としてコード化されなければなりません。例えば、 "0x12345678.0x87654321"。
See also Section 6.4 for more information on NTP timestamps.
NTPタイムスタンプの詳細についても、6.4節を参照してください。
Port lists are represented by the PORTLIST data type and consist of a comma-separated list of numbers (individual integers) and ranges (N-M means ports N through M, inclusive). Any combination of numbers and ranges may be used in a single list. For example, "5-25,37,42,43,53,69-119,123-514".
ポートリストは、ポートリスト・データ・タイプで表され、(N-Mは、ポートMを介してN、包括を意味する)番号(個人整数)と範囲のカンマ区切りのリストで構成されています。番号および範囲の任意の組み合わせは、単一のリストで使用することができます。例えば、 "5-25,37,42,43,53,69-119,123-514"。
There are two types of unique identifiers used in this specification. Both types are represented by STRING data types.
本明細書中で使用される一意の識別子の2種類があります。どちらのタイプは、文字列データ型で表現されています。
These identifiers are implemented as attributes on the relevant XML elements, and they must have unique values as follows:
これらの識別子は、関連するXML要素の属性として実装されており、以下のように、彼らは一意の値を持っている必要があります。
1. The Analyzer class' (Section 4.2.4.1) "analyzerid" attribute, if specified, MUST have a value that is unique across all analyzers in the intrusion detection environment.
1.アナライザクラス(セクション4.2.4.1) 『analyzerid』属性は、指定された場合、侵入検知環境内のすべてのアナライザ間で固有の値を持たなければなりません。
The "analyzerid" attribute is not required to be globally unique,
only unique within the intrusion detection environment of which
the analyzer is a member. It is permissible for two analyzers,
in different intrusion detection environments, to have the same
value for "analyzerid".
The default value is "0", which indicates that the analyzer cannot generate unique identifiers.
デフォルト値はアナライザが一意の識別子を生成することができないことを示しており、「0」です。
2. The Alert and Heartbeat messages (Sections 4.2.2, 4.2.3) must be uniquely identified by the couple (analyzerid,messageid), if the analyzer supports the generation of message identifiers.
アナライザは、メッセージ識別子の生成をサポートする場合2.アラートおよびハートビート・メッセージ(セクション4.2.2、4.2.3)が一意に、カップル(analyzerid、メッセージID)によって識別されなければなりません。
3. The Classification, Source, Target, Node, User, Process, Service, File, Address, and UserId classes' (Sections 4.2.4.2, 4.2.4.3, 4.2.4.4, 4.2.7.2, 4.2.7.3, 4.2.7.4, 4.2.7.5, 4.2.7.6, 4.2.7.2.1, and 4.2.7.3.1) "ident" attribute, if specified, MUST have a value that is unique across all messages sent by the individual analyzer.
3.分類、ソース、ターゲット、ノード、ユーザー、プロセス、サービス、ファイル、アドレス、およびユーザーIDのクラス(セクション4.2.4.2、4.2.4.3、4.2.4.4、4.2.7.2、4.2.7.3、4.2.7.4 、4.2.7.5、4.2.7.6、4.2.7.2.1、及び4.2.7.3.1)「のident」属性は、指定された場合、個々の解析によって送信されたすべてのメッセージ全体で一意である値を持つ必要があります。
The "ident" attribute value MUST be unique for each particular
combination of data identifying an object, not for each object.
Objects may have more than one "ident" value associated with
them. For example, an identification of a host by name would
have one value, while an identification of that host by address
would have another value, and an identification of that host by
both name and address would have still another value.
Furthermore, different analyzers may produce different values for
the same information.
The "ident" attribute by itself provides a unique identifier only among all the "ident" values sent by a particular analyzer. But when combined with the "analyzerid" value for the analyzer, a value that is unique across the intrusion detection environment is created. Again, there is no requirement for global uniqueness.
単独で「IDENT」属性は、特定の分析装置から送信されたすべての「IDENT」値のうちの一意の識別子を提供します。アナライザの「analyzerid」値と組み合わせたときしかし、侵入検知環境全体で一意の値が作成されます。ここでも、グローバル一意性のための必要はありません。
The default value is "0", which indicates that the analyzer cannot generate unique identifiers.
デフォルト値はアナライザが一意の識別子を生成することができないことを示しており、「0」です。
The specification of methods for creating the unique values contained in these attributes is outside the scope of this document.
これらの属性に含まれる一意の値を作成するための方法の仕様は、この文書の範囲外です。
In this section, the individual components of the IDMEF data model are explained in detail. Unified Modeling Language (UML) diagrams of the model are provided to show how the components are related to each other, and relevant sections of the IDMEF DTD are presented to show how the model is translated into XML.
このセクションでは、IDMEFデータ・モデルの個々の構成要素について詳細に説明します。モデルの統一モデリング言語(UML)の図は、構成要素が互いにどのように関連しているかを示すために提供され、そしてIDMEF DTDの関連セクションは、モデルをXMLに変換される方法を示すために提示されています。
The relationship between the principal components of the data model is shown in Figure 1 (occurrence indicators and attributes are omitted).
データモデルの主成分との関係は図1に示されている(発生指標と属性が省略されています)。
The top-level class for all IDMEF messages is IDMEF-Message; each type of message is a subclass of this top-level class. There are presently two types of messages defined: Alerts and Heartbeats. Within each message, subclasses of the message class are used to provide the detailed information carried in the message.
すべてIDMEFメッセージのトップレベルのクラスがIDMEF-のメッセージです。メッセージの各タイプは、このトップレベルクラスのサブクラスです。アラートやハートビート:定義されたメッセージの2種類が現在あります。各メッセージ内で、メッセージクラスのサブクラスは、メッセージで運ばれた詳細情報を提供するために使用されます。
It is important to note that the data model does not specify how an alert should be classified or identified. For example, a port scan may be identified by one analyzer as a single attack against multiple targets, while another analyzer might identify it as multiple attacks from a single source. However, once an analyzer has determined the type of alert it plans to send, the data model dictates how that alert should be formatted.
データモデルは、アラートが分類や識別方法を指定しないことに注意することが重要です。別の分析は、単一のソースから複数の攻撃としてそれを識別するかもしれないが、例えば、ポートスキャンは、複数の標的に対する単一の攻撃のような1つ分析によって同定することができます。アナライザは、それがお送りする予定アラートのタイプを決定した後ただし、データ・モデルは、そのアラートをフォーマットする方法を決定します。
IDMEF-Message
/_\
|
+--------------------+-------------+
| |
+-------+ +--------------+ +-----------+ +----------------+
| Alert |<>-| Analyzer | | Heartbeat |<>-| Analyzer |
+-------+ +--------------+ +-----------+ +----------------+
| | +--------------+ | | +----------------+
| |<>-| CreateTime | | |<>-| CreateTime |
| | +--------------+ | | +----------------+
| | +--------------+ | | +----------------+
| |<>-| DetectTime | | |<>-| AdditionalData |
| | +--------------+ +-----------+ +----------------+
| | +--------------+
| |<>-| AnalyzerTime |
| | +--------------+
| | +--------+ +----------+
| |<>-| Source |<>-| Node |
| | +--------+ +----------+
| | | | +----------+
| | | |<>-| User |
| | | | +----------+
| | | | +----------+
| | | |<>-| Process |
| | | | +----------+
| | | | +----------+
| | | |<>-| Service |
| | +--------+ +----------+
| | +--------+ +----------+
| |<>-| Target |<>-| Node |
| | +--------+ +----------+
| | | | +----------+
| | | |<>-| User |
| | | | +----------+
| | | | +----------+
| | | |<>-| Process |
| | | | +----------+
| | | | +----------+
| | | |<>-| Service | +----------------+
| | | | +----------+ +----| Classification |
| | | | +----------+ | +----------------+
| | | |<>-| File | | +----------------+
| | +--------+ +----------+ | +--| Assessment |
| |<>----------------------------+ | +----------------+
| |<>------------------------------+ +----------------+
| |<>---------------------------------| AdditionalData |
+-------+ +----------------+
Figure 1: Data Model Overview
図1:データ・モデルの概要
The individual classes are described in the following sections.
個々のクラスは、次のセクションで説明されています。
All IDMEF messages are instances of the IDMEF-Message class; it is the top-level class of the IDMEF data model, as well as the IDMEF DTD. There are currently two types (subclasses) of IDMEF-Message: Alert and Heartbeat.
すべてIDMEFメッセージはIDMEF-Messageクラスのインスタンスです。それはIDMEFデータモデル、ならびにIDMEF DTDのトップレベルクラスです。アラートやハートビート:IDMEF - メッセージの二つのタイプ(サブクラス)は現在ありません。
The IDMEF-Message class has a single attribute:
IDMEF-Messageクラスは、単一の属性があります。
version
版
The version of the IDMEF-Message specification (this document) this message conforms to. Applications specifying a value for this attribute MUST specify the value "1.0".
IDMEF・メッセージ仕様のバージョン(この文書)このメッセージは、に準拠しています。この属性の値を指定するアプリケーションは、値「1.0」を指定する必要があります。
Generally, every time an analyzer detects an event that it has been configured to look for, it sends an Alert message to its manager(s). Depending on the analyzer, an Alert message may correspond to a single detected event or multiple detected events. Alerts occur asynchronously in response to outside events.
一般的に、アナライザはそれを探すために設定されていることをイベントを検出するたびに、それはそのマネージャー(複数可)に警告メッセージを送信します。分析に応じて、警告メッセージは、単一の検出されたイベントまたは複数の検出されたイベントに対応することができます。アラートは、外部のイベントに応答して非同期に発生します。
An Alert message is composed of several aggregate classes, as shown in Figure 2. The aggregate classes themselves are described in Section 4.2.4, Section 4.2.5, and Section 4.2.6.
集約クラス自体は、セクション4.2.4、セクション4.2.5および4.2.6に記載されている図2に示すように、警告メッセージは、いくつかの集計クラスで構成されています。
+-------------------+
| Alert |
+-------------------+ +------------------+
| STRING messageid |<>----------| Analyzer |
| | +------------------+
| | +------------------+
| |<>----------| CreateTime |
| | +------------------+
| | +------------------+
| |<>----------| Classification |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| DetectTime |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| AnalyzerTime |
| | +------------------+
| | 0..* +------------------+
| |<>----------| Source |
| | +------------------+
| | 0..* +------------------+
| |<>----------| Target |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| Assessment |
| | +------------------+
| | 0..* +------------------+
| |<>----------| AdditionalData |
| | +------------------+
+-------------------+
/_\
|
+----+------------+-------------+
| | |
+-------------------+ | +-------------------+
| ToolAlert | | | CorrelationAlert |
+-------------------+ | +-------------------+
|
+-------------------+
| OverflowAlert |
+-------------------+
Figure 2: The Alert Class
図2:アラートのクラス
The aggregate classes that make up Alert are:
アラートを構成する集約クラスは次のとおりです。
Analyzer
アナライザ
Exactly one. Identification information for the analyzer that originated the alert.
正確に一つ。アラートを発しアナライザの識別情報。
CreateTime
CREATETIME
Exactly one. The time the alert was created. Of the three times that may be provided with an Alert, this is the only one that is required.
正確に一つ。時間は、アラートが作成されました。アラートが設けられていてもよい3回、これが必要になるだけです。
Classification
分類
Exactly one. The "name" of the alert, or other information allowing the manager to determine what it is.
正確に一つ。警告の「名前」、または管理者は、それが何であるかを判断することができ、他の情報。
DetectTime
DetectTime
Zero or one. The time the event(s) leading up to the alert was detected. In the case of more than one event, the time the first event was detected. In some circumstances, this may not be the same value as CreateTime.
ゼロまたは1つ。アラートに至るまでのイベント(s)が検出された時刻。複数のイベントの場合、時間は、最初のイベントが検出されました。いくつかの状況では、これはCREATETIMEと同じ値でなくてもよいです。
AnalyzerTime
AnalyzerTime
Zero or one. The current time on the analyzer (see Section 6.3).
ゼロまたは1つ。アナライザの現在の時刻(第6.3節を参照してください)。
Source
ソース
Zero or more. The source(s) of the event(s) leading up to the alert.
ゼロ以上。警告に至るまでのイベント(複数可)のソース(S)。
Target
ターゲット
Zero or more. The target(s) of the event(s) leading up to the alert.
ゼロ以上。イベント(複数可)アラートに至るまでのターゲット(複数可)。
Assessment
評価
Zero or one. Information about the impact of the event, actions taken by the analyzer in response to it, and the analyzer's confidence in its evaluation.
ゼロまたは1つ。イベントの影響、それに応じて解析が実行したアクション、およびその評価における解析の信頼に関する情報。
AdditionalData
追加データ
Zero or more. Information included by the analyzer that does not fit into the data model. This may be an atomic piece of data, or a large amount of data provided through an extension to the IDMEF (see Section 5).
ゼロ以上。データモデルに適合しないアナライザによって含まれている情報。これはデータの原子断片、又はIDMEFへの拡張を介して提供されるデータが大量であってもよい(セクション5を参照)。
Alert is represented in the IDMEF DTD as follows:
次のように警告をIDMEF DTDで表現されています。
<!ELEMENT Alert ( Analyzer, CreateTime, DetectTime?, AnalyzerTime?, Source*, Target*, Classification, Assessment?, (ToolAlert | OverflowAlert | CorrelationAlert)?, AdditionalData* )> <!ATTLIST Alert messageid CDATA '0' %attlist.global; >
<!ELEMENTアラート(アナライザ、CREATETIME、DetectTime?、?、AnalyzerTimeソース*、ターゲット*、分類、評価?,(ToolAlert | OverflowAlert | CorrelationAlert)?, AdditionalData *)> <!ATTLISTアラートは、CDATA '0' %のATTLISTをMESSAGEID 。グローバル; >
The Alert class has one attribute:
Alertクラスは、1つの属性があります。
messageid
メッセージID
Optional. A unique identifier for the alert; see Section 3.2.9.
オプション。アラートの一意の識別子。 3.2.9項を参照してください。
The ToolAlert class carries additional information related to the use of attack tools or malevolent programs such as Trojan horses and can be used by the analyzer when it is able to identify these tools. It is intended to group one or more previously-sent alerts together, to say "these alerts were all the result of someone using this tool".
ToolAlertクラスは、攻撃ツール又はトロイの木馬などの悪意のあるプログラムの使用に関連する追加情報を運び、これらのツールを識別することができる場合アナライザによって使用することができます。 「これらのアラートは、このツールを使用して誰かのすべての結果だった」と言って、一緒にグループ一つ以上の以前に送られたアラートに意図されます。
The ToolAlert class is composed of three aggregate classes, as shown in Figure 3.
図3に示すようにToolAlertクラスは3つの集合体のクラスから構成されています。
+------------------+
| Alert |
+------------------+
/_\
|
+------------------+
| ToolAlert |
+------------------+ +-------------------+
| |<>----------| name |
| | +-------------------+
| | 0..1 +-------------------+
| |<>----------| command |
| | +-------------------+
| | 1..* +-------------------+
| |<>----------| alertident |
| | +-------------------+
| | | STRING analyzerid |
| | +-------------------+
+------------------+
Figure 3: The ToolAlert Class
図3:ToolAlertクラス
The aggregate classes that make up ToolAlert are:
ToolAlertを構成する集約クラスは次のとおりです。
name
名前
Exactly one. STRING. The reason for grouping the alerts together, for example, the name of a particular tool.
正確に一つ。 STRING。例えば一緒にアラートをグループ化する理由は、特定のツールの名前。
command
コマンド
Zero or one. STRING. The command or operation that the tool was asked to perform, for example, a BackOrifice ping.
ゼロまたは1つ。 STRING。ツールは、例えば、BackOrificeピングを実行するように頼まれたコマンドまたは操作。
alertident
alertident
One or more. STRING. The list of alert identifiers that are related to this alert. Because alert identifiers are only unique across the alerts sent by a single analyzer, the optional "analyzerid" attribute of "alertident" should be used to identify the analyzer that a particular alert came from. If the "analyzerid" is not provided, the alert is assumed to have come from the same analyzer that is sending the ToolAlert.
一つ以上。 STRING。このアラートに関連するアラートの識別子のリスト。アラートの識別子は、単一の解析によって送られたアラート間でのみ一意であるため、「alertident」のオプション「analyzerid」属性は、特定のアラートがどこから来たアナライザーを識別するために使用する必要があります。 「analyzerid」が提供されていない場合、アラートがToolAlertを送信しているのと同じアナライザから来ていると想定されます。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT ToolAlert ( name, command?, alertident+ )> <!ATTLIST ToolAlert %attlist.global; >
<!ELEMENT ToolAlert(名前、コマンド?alertidentの+)> <!ATTLIST ToolAlert%attlist.global。 >
The CorrelationAlert class carries additional information related to the correlation of alert information. It is intended to group one or more previously-sent alerts together, to say "these alerts are all related".
CorrelationAlertクラスは、アラート情報の相関関係に関連する追加情報を運びます。 「これらのアラートはすべて関連している」と言って、一緒にグループ一つ以上の以前に送られたアラートに意図されます。
The CorrelationAlert class is composed of two aggregate classes, as shown in Figure 4.
図4に示すようにCorrelationAlertクラスは、2クラス集合体から構成されています。
+------------------+
| Alert |
+------------------+
/_\
|
+------------------+
| CorrelationAlert |
+------------------+ +-------------------+
| |<>----------| name |
| | +-------------------+
| | 1..* +-------------------+
| |<>----------| alertident |
| | +-------------------+
| | | STRING analyzerid |
| | +-------------------+
+------------------+
Figure 4: The CorrelationAlert Class
図4:CorrelationAlertクラス
The aggregate classes that make up CorrelationAlert are:
CorrelationAlertを構成する集約クラスは次のとおりです。
name
名前
Exactly one. STRING. The reason for grouping the alerts together, for example, a particular correlation method.
正確に一つ。 STRING。例えば、特定の相関法のために、一緒にアラートをグループ化するための理由。
alertident
alertident
One or more. STRING. The list of alert identifiers that are related to this alert. Because alert identifiers are only unique across the alerts sent by a single analyzer, the optional "analyzerid" attribute of "alertident" should be used to identify the analyzer that a particular alert came from. If the "analyzerid" is not provided, the alert is assumed to have come from the same analyzer that is sending the CorrelationAlert.
一つ以上。 STRING。このアラートに関連するアラートの識別子のリスト。アラートの識別子は、単一の解析によって送られたアラート間でのみ一意であるため、「alertident」のオプション「analyzerid」属性は、特定のアラートがどこから来たアナライザーを識別するために使用する必要があります。 「analyzerid」が提供されていない場合、アラートがCorrelationAlertを送信しているのと同じアナライザから来ていると想定されます。
This is represented in the IDMEF DTD as follows.
これは、次のようにIDMEF DTDで表現されます。
<!ELEMENT CorrelationAlert ( name, alertident+ )> <!ATTLIST CorrelationAlert %attlist.global; >
<!ELEMENT CorrelationAlert(名前、alertidentの+)> <!ATTLIST CorrelationAlert%attlist.global。 >
The OverflowAlert carries additional information related to buffer overflow attacks. It is intended to enable an analyzer to provide the details of the overflow attack itself.
OverflowAlertオーバーフロー攻撃をバッファに関連する追加情報を搬送します。オーバーフロー攻撃自体の詳細を提供するために、分析を可能にするために意図されています。
The OverflowAlert class is composed of three aggregate classes, as shown in Figure 5.
図5に示すようにOverflowAlertクラスは3つの集合体のクラスから構成されています。
+------------------+
| Alert |
+------------------+
/_\
|
+------------------+
| OverflowAlert |
+------------------+ +---------+
| |<>----------| program |
| | +---------+
| | 0..1 +---------+
| |<>----------| size |
| | +---------+
| | 0..1 +---------+
| |<>----------| buffer |
| | +---------+
+------------------+
Figure 5: The OverflowAlert Class
図5:OverflowAlertクラス
The aggregate classes that make up OverflowAlert are:
OverflowAlertを構成する集約クラスは次のとおりです。
program
プログラム
Exactly one. STRING. The program that the overflow attack attempted to run (NOTE: this is not the program that was attacked).
正確に一つ。 STRING。オーバーフロー攻撃を実行しようとしたプログラム(注:これは、攻撃されたプログラムではありません)。
size
サイズ
Zero or one. INTEGER. The size, in bytes, of the overflow (i.e., the number of bytes the attacker sent).
ゼロまたは1つ。整数。オーバーフローのバイト単位のサイズ(すなわち、バイト数送信攻撃)。
buffer
バッファ
Zero or one. BYTE[]. Some or all of the overflow data itself (dependent on how much the analyzer can capture).
ゼロまたは1つ。バイト[]。 (アナライザが取り込むことができますどのくらいに依存)オーバーフローデータ自体の一部または全部。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT OverflowAlert ( program, size?, buffer? )> <!ATTLIST OverflowAlert %attlist.global; >
<!ELEMENT OverflowAlert(プログラム、サイズ?バッファ?)> <ATTLIST OverflowAlert%attlist.global!。 >
Analyzers use Heartbeat messages to indicate their current status to managers. Heartbeats are intended to be sent in a regular period, say, every ten minutes or every hour. The receipt of a Heartbeat message from an analyzer indicates to the manager that the analyzer is up and running; lack of a Heartbeat message (or more likely, lack of some number of consecutive Heartbeat messages) indicates that the analyzer or its network connection has failed.
アナライザは、管理職に彼らの現在の状態を示すために、ハートビートメッセージを使用しています。ハートビートが定期的な期間内に送信されることが意図されている、10分毎または1時間ごと、と言います。アナライザからのハートビートメッセージの受信は、分析装置が稼働中であることを管理者に知らせます。ハートビートメッセージ(または可能性が高い、連続したハートビートメッセージのいくつかの数の不足)の欠如は、アナライザまたはそのネットワーク接続が失敗したことを示しています。
All managers MUST support the receipt of Heartbeat messages; however, the use of these messages by analyzers is OPTIONAL. Developers of manager software SHOULD permit the software to be configured on a per-analyzer basis to use/not use Heartbeat messages.
すべての管理者は、ハートビートメッセージの受信をサポートしなければなりません。しかし、アナライザーによってこれらのメッセージの使用はオプションです。マネージャソフトウェアの開発者は、ソフトウェアがハートビートメッセージを使用しない/使用するごとアナライザベースで設定することが可能にすべきです。
A Heartbeat message is composed of several aggregate classes, as shown in Figure 6. The aggregate classes themselves are described in Sections 4.2.4 and 4.2.5.
集約クラス自体は、セクション4.2.4および4.2.5に記載されている図6に示すように、ハートビートメッセージは、いくつかの集計クラスで構成されています。
+------------------+
| Heartbeat |
+------------------+ +------------------+
| STRING messageid |<>----------| Analyzer |
| | +------------------+
| | +------------------+
| |<>----------| CreateTime |
| | +------------------+
| | 0..1 +------------------+
| |<>----------| HeartbeatInterval|
| | +------------------+
| | 0..1 +------------------+
| |<>----------| AnalyzerTime |
| | +------------------+
| | 0..* +------------------+
| |<>----------| AdditionalData |
| | +------------------+
+------------------+
Figure 6: The Heartbeat Class
図6:ハートビートクラス
The aggregate classes that make up Heartbeat are:
ハートビートを構成する集約クラスは次のとおりです。
Analyzer
アナライザ
Exactly one. Identification information for the analyzer that originated the heartbeat.
正確に一つ。ハートビートを発信分析するための識別情報。
CreateTime
CREATETIME
Exactly one. The time the heartbeat was created.
正確に一つ。時間は、ハートビートが作成されました。
HeartbeatInterval
HeartbeatInterval
Zero or one. The interval in seconds at which heartbeats are generated.
ゼロまたは1つ。ハートビートが生成される間隔(秒)。
AnalyzerTime
AnalyzerTime
Zero or one. The current time on the analyzer (see Section 6.3).
ゼロまたは1つ。アナライザの現在の時刻(第6.3節を参照してください)。
AdditionalData
追加データ
Zero or more. Information included by the analyzer that does not fit into the data model. This may be an atomic piece of data or a large amount of data provided through an extension to the IDMEF (see Section 5).
ゼロ以上。データモデルに適合しないアナライザによって含まれている情報。これはデータの原子ピースまたはIDMEFへの拡張を通じて提供されるデータが大量であってもよい(セクション5を参照)。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Heartbeat ( Analyzer, CreateTime, HeartbeatInterval?, AnalyzerTime?, AdditionalData* )> <!ATTLIST Heartbeat messageid CDATA '0' %attlist.global; >
<!ELEMENTハートビート(Analyzerは、CREATETIMEは、HeartbeatInterval?AnalyzerTime ?, AdditionalData *)> <!ATTLISTハートビートがMESSAGEID CDATA '0' %attlist.global。 >
The Heartbeat class has one attribute:
ハートビートのクラスは、1つの属性があります。
messageid
メッセージID
Optional. A unique identifier for the heartbeat; see Section 3.2.9.
オプション。ハートビートのためのユニークな識別子。 3.2.9項を参照してください。
The core classes -- Analyzer, Source, Target, Classification, and AdditionalData -- are the main parts of Alerts and Heartbeats, as shown in Figure 7.
コアクラス - アナライザ、ソース、ターゲット、分類、及びAdditionalData - は、図7に示すように、アラートおよびハートビートの主要部分です。
+-----------+ +----------------+
| Heartbeat | +-------| Analyzer |
+-----------+ | +----------------+
| |<>---+--+
+-----------+ | | 0..* +----------------+
| +-------| AdditionalData |
| +----------------+
+-----------+ |
| Alert | | 0..* +----------------+
+-----------+ | +-------| Source |
| |<>---+ | +----------------+
| | | 0..* +----------------+
| | +-------| Target |
| | | +----------------+
| |<>------+
+-----------+ | +----------------+
+-------| Classification |
+----------------+
Figure 7: The Core Classes
図7:コアクラス
The Analyzer class identifies the analyzer from which the Alert or Heartbeat message originates. Only one analyzer may be encoded for each alert or heartbeat, and that MUST be the analyzer at which the alert or heartbeat originated. Although the IDMEF data model does not prevent the use of hierarchical intrusion detection systems (where alerts get relayed up the tree), it does not provide any way to record the identity of the "relay" analyzers along the path from the originating analyzer to the manager that ultimately receives the alert.
アナライザクラスは、警告またはハートビートメッセージは、発信元の分析を識別する。唯一のアナライザは、各アラートまたはハートビートのために符号化することができる、そしてそれは、アラートまたはハートビートの発信元で分析していなければなりません。 IDMEFデータモデルは、(アラートツリーを中継します)階層侵入検知システムの使用を防ぐことはできませんが、それはに起点アナライザからの経路に沿って「リレー」のアナライザの身元を記録する方法を提供していません最終的にアラートを受け取るマネージャー。
The Analyzer class is composed of three aggregate classes, as shown in Figure 8.
図8に示すようにアナライザクラスは3つの集合体のクラスから構成されています。
+---------------------+
| Analyzer |
+---------------------+ 0..1 +----------+
| STRING analyzerid |<>----------| Node |
| STRING name | +----------+
| STRING manufacturer |
| STRING model | 0..1 +----------+
| STRING version |<>----------| Process |
| STRING class | +----------+
| STRING ostype | 0..1 +----------+
| STRING osversion |<>----------| Analyzer |
+---------------------+ +----------+
Figure 8: The Analyzer Class
図8:アナライザクラス
The aggregate classes that make up Analyzer are:
Analyzerを構成する集約クラスは次のとおりです。
Node
ので
Zero or one. Information about the host or device on which the analyzer resides (network address, network name, etc.).
ゼロまたは1つ。ホストまたはデバイスアナライザが存在する(ネットワークアドレス、ネットワーク名、等)に関する情報。
Process
処理する
Zero or one. Information about the process in which the analyzer is executing.
ゼロまたは1つ。アナライザが実行されているプロセスに関する情報。
Analyzer
アナライザ
Zero or one. Information about the analyzer from which the message may have gone through. The idea behind this mechanism is that when a manager receives an alert and wants to forward it to another analyzer, it needs to substitute the original analyzer information with its own. To preserve the original analyzer information, it may be included in the new analyzer definition. This will allow analyzer path tracking.
ゼロまたは1つ。メッセージが通過したことがあり、そこから解析に関する情報。このメカニズムの背後にある考え方は、管理者がアラートを受信して、別のアナライザに転送したい場合、それは自身の持つ本来の解析情報を代用する必要があるということです。元の分析情報を保存するためには、新しい分析の定義に含まれていてもよいです。これは、解析パスの追跡を可能にします。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Analyzer ( Node?, Process?, Analyzer? )> <!ATTLIST Analyzer analyzerid CDATA '0' name CDATA #IMPLIED manufacturer CDATA #IMPLIED model CDATA #IMPLIED version CDATA #IMPLIED class CDATA #IMPLIED ostype CDATA #IMPLIED osversion CDATA #IMPLIED %attlist.global; >
<!ELEMENTアナライザ(ノード?,プロセス?,アナライザ?)> <!ATTLIST Analyzerは、CDATA '0' 名前CDATA #IMPLIEDメーカーCDATA #IMPLIEDモデルCDATA #IMPLIEDバージョンCDATA #IMPLIEDクラスCDATA #IMPLIEDのOSTYPE CDATA #IMPLIEDのOSVERSION CDATAをanalyzerid #IMPLIED%attlist.global。 >
The Analyzer class has eight attributes:
アナライザクラスは8つの属性があります。
analyzerid
analyzerid
Optional (but see below). A unique identifier for the analyzer; see Section 3.2.9.
オプション(ただし、下記を参照)。分析のための一意の識別子。 3.2.9項を参照してください。
This attribute is only "partially" optional. If the analyzer makes use of the "ident" attributes on other classes to provide unique identifiers for those objects, then it MUST also provide a valid "analyzerid" attribute. This requirement is dictated by the uniqueness requirements of the "ident" attribute (they are unique only within the context of a particular "analyzerid"). If the analyzer does not make use of the "ident" attributes, however, it may also omit the "analyzerid" attribute.
この属性は、「部分的に」はオプションです。アナライザは、「IDENT」の使用は、それらのオブジェクトの一意の識別子を提供するために、他のクラスの属性行った場合、それはまた、有効な「analyzerid」属性を提供しなければなりません。この要件は、「IDENT」属性(彼らは唯一の特定の「analyzerid」のコンテキスト内で一意である)の一意性要件によって決定されます。アナライザは、「IDENT」属性を使用しない場合は、しかし、それはまた、「analyzerid」属性を省略することができます。
name
名前
Optional. An explicit name for the analyzer that may be easier to understand than the analyzerid.
オプション。 analyzeridより理解しやすいかもしれアナライザの明示的な名前。
manufacturer
メーカー
Optional. The manufacturer of the analyzer software and/or hardware.
オプション。アナライザソフトウェア及び/又はハードウェアの製造元。
model
型
Optional. The model name/number of the analyzer software and/or hardware.
オプション。モデル名/アナライザソフトウェアおよび/またはハードウェアの数。
version
版
Optional. The version number of the analyzer software and/or hardware.
オプション。アナライザソフトウェア及び/又はハードウェアのバージョン番号。
class
クラス
Optional. The class of analyzer software and/or hardware.
オプション。アナライザ・ソフトウェアおよび/またはハードウェアのクラス。
ostype
OSTYPE
Optional. Operating system name. On POSIX 1003.1 compliant systems, this is the value returned in utsname.sysname by the uname() system call, or the output of the "uname -s" command.
オプション。オペレーティングシステム名。 POSIX 1003.1準拠のシステムでは、これはのuname()システムコール、または「のuname -s」コマンドの出力によってutsname.sysnameに返された値です。
osversion
OSVERSION
Optional. Operating system version. On POSIX 1003.1 compliant systems, this is the value returned in utsname.release by the uname() system call, or the output of the "uname -r" command.
オプション。オペレーティングシステムのバージョン。 POSIX 1003.1準拠のシステムでは、これはのuname()システムコール、または「のuname -r」コマンドの出力によってutsname.releaseに返された値です。
The "manufacturer", "model", "version", and "class" attributes' contents are vendor-specific, but may be used together to identify different types of analyzers (and perhaps make determinations about the contents to expect in other vendor-specific fields of IDMEF messages).
「メーカー」、「モデル」、「バージョン」、および「クラス」属性の内容は、ベンダ固有であるが、分析装置の種類を識別(およびおそらく他のベンダーに期待する内容について決定を行うために一緒に使用することができますIDMEFメッセージの特定のフィールド)。
The Classification class provides the "name" of an alert, or other information allowing the manager to determine what it is. This name is chosen by the alert provider.
分類クラスには、アラートの「名前」、または管理者は、それが何であるかを判断できるようにする他の情報を提供します。この名前は、アラートプロバイダによって選択されています。
The Classification class is composed of one aggregate class, as shown in Figure 9.
図9に示すように、分類クラスは、1つの集約クラスで構成されています。
+----------------+
| Classification |
+----------------+ 0..* +-----------+
| STRING ident |<>----------| Reference |
| STRING text | +-----------+
+----------------+
Figure 9: The Classification Class
図9:分類クラス
The aggregate class that makes up Classification is:
分類を構成する集約クラスは以下のとおりです。
Reference
参照
Zero or more. Information about the message, pointing to external documentation sites, that will provide background information about the alert.
ゼロ以上。アラートに関する背景情報を提供する外部のドキュメントサイトを指し示すメッセージ、に関する情報。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Classification ( Reference* )> <!ATTLIST Classification ident CDATA '0' text CDATA #REQUIRED >
<!ELEMENT分類(参考*)> <!ATTLIST分類identをCDATA '0' テキストCDATA #REQUIRED>
The Classification class has two attributes:
分類クラスには2つの属性があります。
ident
IDENT
Optional. A unique identifier for this classification; see Section 3.2.9.
オプション。この分類のためのユニークな識別子。 3.2.9項を参照してください。
text
テキスト
Required. A vendor-provided string identifying the Alert message.
必須。アラートメッセージを特定のベンダーが提供する文字列。
The Source class contains information about the possible source(s) of the event(s) that generated an alert. An event may have more than one source (e.g., in a distributed denial-of-service attack).
Sourceクラスには、アラートを生成したイベント(複数可)の可能性源(複数可)に関する情報が含まれています。イベント(例えば、分散サービス拒否攻撃で)複数のソースを有することができます。
The Source class is composed of four aggregate classes, as shown in Figure 10.
図10に示すように、ソースクラスは4つの集合体のクラスから構成されています。
+------------------+
| Source |
+------------------+ 0..1 +---------+
| STRING ident |<>----------| Node |
| ENUM spoofed | +---------+
| STRING interface | 0..1 +---------+
| |<>----------| User |
| | +---------+
| | 0..1 +---------+
| |<>----------| Process |
| | +---------+
| | 0..1 +---------+
| |<>----------| Service |
| | +---------+
+------------------+
Figure 10: The Source Class
図10:ソース・クラス
The aggregate classes that make up Source are:
ソースを作る集約クラスは次のとおりです。
Node
ので
Zero or one. Information about the host or device that appears to be causing the events (network address, network name, etc.).
ゼロまたは1つ。イベント(ネットワークアドレス、ネットワーク名など)を引き起こすように見えるホストまたはデバイスに関する情報。
User
ユーザー
Zero or one. Information about the user that appears to be causing the event(s).
ゼロまたは1つ。イベント(複数可)を引き起こしていると表示されるユーザーに関する情報。
Process
処理する
Zero or one. Information about the process that appears to be causing the event(s).
ゼロまたは1つ。イベント(複数可)を引き起こしているように見えるプロセスに関する情報。
Service
サービス
Zero or one. Information about the network service involved in the event(s).
ゼロまたは1つ。イベント(複数可)に関連するネットワーク・サービスに関する情報。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Source ( Node?, User?, Process?, Service? )> <!ATTLIST Source ident CDATA '0' spoofed %attvals.yesno; 'unknown' interface CDATA #IMPLIED %attlist.global; >
<!ELEMENTソース(ノード?ユーザー?、?、プロセスサービス?)> <ATTLISTソースのident CDATA '0' %のattvals.yesnoを詐称!。 '不明' のインタフェースCDATA #IMPLIED%attlist.global。 >
The Source class has three attributes:
Sourceクラスには、3つの属性があります。
ident
IDENT
Optional. A unique identifier for this source; see Section 3.2.9.
オプション。このソースの一意の識別子。 3.2.9項を参照してください。
spoofed
偽装されました
Optional. An indication of whether the source is, as far as the analyzer can determine, a spoofed address used for hiding the real origin of the attack. The permitted values for this attribute are shown below. The default value is "unknown". (See also Section 10.)
オプション。ソースがあるかどうかの指示は、限りアナライザを決定することができるように、スプーフィングされたアドレスは、攻撃の本当の起源を隠すために使用されます。この属性の許可された値は以下のとおりです。デフォルト値は「不明」です。 (セクション10を参照してください)
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of source information unknown |
| | | |
| 1 | yes | Source is believed to be a decoy |
| | | |
| 2 | no | Source is believed to be "real" |
+------+---------+----------------------------------------+
interface
インタフェース
Optional. May be used by a network-based analyzer with multiple interfaces to indicate which interface this source was seen on.
オプション。このソースは、上で見たインターフェイスを示すために、複数のインタフェースを有するネットワークベースのアナライザで使用されてもよいです。
The Target class contains information about the possible target(s) of the event(s) that generated an alert. An event may have more than one target (e.g., in the case of a port sweep).
ターゲットクラスは、アラートを生成したイベント(複数可)の可能なターゲット(複数可)に関する情報が含まれています。イベント(例えば、ポート掃引の場合に)複数のターゲットを有することができます。
The Target class is composed of four aggregate classes, as shown in Figure 11.
図11に示すように、ターゲットクラスは4つの集合体のクラスから構成されています。
+------------------+
| Target |
+------------------+ 0..1 +----------+
| STRING ident |<>----------| Node |
| ENUM decoy | +----------+
| STRING interface | 0..1 +----------+
| |<>----------| User |
| | +----------+
| | 0..1 +----------+
| |<>----------| Process |
| | +----------+
| | 0..1 +----------+
| |<>----------| Service |
| | +----------+
| | 0..n +----------+
| |<>----------| File |
| | +----------+
+------------------+
Figure 11: The Target Class
図11:ターゲットクラス
The aggregate classes that make up Target are:
ターゲットを構成する集約クラスは次のとおりです。
Node
ので
Zero or one. Information about the host or device at which the event(s) (network address, network name, etc.) is being directed.
ゼロまたは1つ。イベント(単数または複数)(ネットワークアドレス、ネットワーク名など)方向付けされている時、ホストまたはデバイスに関する情報。
User
ユーザー
Zero or one. Information about the user at which the event(s) is being directed.
ゼロまたは1つ。イベント(単数または複数)が方向付けされている時にユーザに関する情報。
Process
処理する
Zero or one. Information about the process at which the event(s) is being directed.
ゼロまたは1つ。イベント(単数または複数)が向けられているれるプロセスに関する情報。
Service
サービス
Zero or one. Information about the network service involved in the event(s).
ゼロまたは1つ。イベント(複数可)に関連するネットワーク・サービスに関する情報。
File
ファイル
Optional. Information about file(s) involved in the event(s).
オプション。イベント(複数可)に関連するファイル(複数可)に関する情報。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Target ( Node?, User?, Process?, Service?, File* )> <!ATTLIST Target ident CDATA '0' decoy %attvals.yesno; 'unknown' interface CDATA #IMPLIED %attlist.global; >
<!ELEMENTターゲット(ノード?ユーザー?、?、プロセスサービス?,ファイル*)> <!ATTLISTターゲットのident CDATA '0' おとり%のattvals.yesno。 '不明' のインタフェースCDATA #IMPLIED%attlist.global。 >
The Target class has three attributes:
ターゲットクラスには3つの属性があります。
ident
IDENT
Optional. A unique identifier for this target, see Section 3.2.9.
オプション。このターゲットの一意の識別子は、3.2.9項を参照してください。
decoy
デコイ
Optional. An indication of whether the target is, as far as the analyzer can determine, a decoy. The permitted values for this attribute are shown below. The default value is "unknown". (See also Section 10.)
オプション。ターゲットであるかどうかの指示は、限りアナライザは、デコイを決定することができるように。この属性の許可された値は以下のとおりです。デフォルト値は「不明」です。 (セクション10を参照してください)
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of target information unknown |
| | | |
| 1 | yes | Target is believed to be a decoy |
| | | |
| 2 | no | Target is believed to be "real" |
+------+---------+----------------------------------------+
interface
インタフェース
Optional. May be used by a network-based analyzer with multiple interfaces to indicate which interface this target was seen on.
オプション。このターゲットは、上で見たインターフェイスを示すために、複数のインタフェースを有するネットワークベースのアナライザで使用されてもよいです。
The Assessment class is used to provide the analyzer's assessment of an event -- its impact, actions taken in response, and confidence.
その影響、対応して取られた措置、と自信 - アセスメントのクラスは、イベントのアナライザの評価を提供するために使用されます。
The Assessment class is composed of three aggregate classes, as shown in Figure 12.
図12に示すように、評価クラスは3つの集合体のクラスから構成されています。
+------------------+
| Assessment |
+------------------+ 0..1 +------------+
| |<>----------| Impact |
| | +------------+
| | 0..* +------------+
| |<>----------| Action |
| | +------------+
| | 0..1 +------------+
| |<>----------| Confidence |
| | +------------+
+------------------+
Figure 12: The Assessment Class
図12:アセスメントクラス
The aggregate classes that make up Assessment are:
アセスメントを構成する集約クラスは次のとおりです。
Impact
影響
Zero or one. The analyzer's assessment of the impact of the event on the target(s).
ゼロまたは1つ。ターゲット(複数可)上のイベントの影響の解析の評価。
Action
アクション
Zero or more. The action(s) taken by the analyzer in response to the event.
ゼロ以上。イベントに応答して分析装置によるアクション(複数可)。
Confidence
信頼
Zero or one. A measurement of the confidence the analyzer has in its evaluation of the event.
ゼロまたは1つ。自信の測定は、アナライザは、イベントのその評価にあります。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Assessment ( Impact?, Action*, Confidence? )> <!ATTLIST Assessment %attlist.global; >
<!ELEMENTアセスメント(影響?,アクション*、自信?)> <ATTLISTアセスメント%attlist.global!。 >
The AdditionalData class is used to provide information that cannot be represented by the data model. AdditionalData can be used to provide atomic data (integers, strings, etc.) in cases where only small amounts of additional information need to be sent; it can also be used to extend the data model and the DTD to support the transmission of complex data (such as packet headers). Detailed instructions for extending the data model and the DTD are provided in Section 5.
AdditionalDataクラスは、データモデルで表すことができない情報を提供するために使用されます。 AdditionalDataは、追加情報の少量のみを送信する必要がある場合の原子データ(整数、文字列など)を提供するために使用することができます。また、(例えば、パケットヘッダのような)複雑なデータの送信をサポートするデータモデルとDTDを拡張するために使用することができます。データモデルとDTDを拡張するための詳細な手順はセクション5に設けられています。
+------+-------------+----------------------------------------------+
| Rank | Keyword | Description |
+------+-------------+----------------------------------------------+
| 0 | boolean | The element contains a boolean value, i.e., |
| | | the strings "true" or "false" |
| | | |
| 1 | byte | The element content is a single 8-bit byte |
| | | (see Section 3.2.4) |
| | | |
| 2 | character | The element content is a single character |
| | | (see Section 3.2.3) |
| | | |
| 3 | date-time | The element content is a date-time string |
| | | (see Section 3.2.6) |
| | | |
| 4 | integer | The element content is an integer (see |
| | | Section 3.2.1) |
| | | |
| 5 | ntpstamp | The element content is an NTP timestamp (see |
| | | Section 3.2.7) |
| | | |
| 6 | portlist | The element content is a list of ports (see |
| | | Section 3.2.8) |
| | | |
| 7 | real | The element content is a real number (see |
| | | Section 3.2.2) |
| | | |
| 8 | string | The element content is a string (see |
| | | Section 3.2.3) |
| | | |
| 9 | byte-string | The element is a byte[] (see Section 3.2.4) |
| | | |
| 10 | xmltext | The element content is XML-tagged data (see |
| | | Section 5.2) |
+------+-------------+----------------------------------------------+
The AdditionalData element is declared in the IDMEF DTD as follows:
次のようにAdditionalData要素がIDMEF DTDで宣言されています。
<!ENTITY % attvals.adtype " ( boolean | byte | character | date-time | integer | ntpstamp | portlist | real | string | byte-string | xmltext ) ">
<!ENTITY%以下のattvals.adtype "(ブール|バイト|文字|日時|整数| ntpstamp |ポートリスト|本物|文字列|バイト列| XMLTEXT)">
<!ELEMENT AdditionalData ( (boolean | byte | character | date-time | integer | ntpstamp | portlist | real | string | byte-string | xmltext ) )>
<!ELEMENT AdditionalData((ブール|バイト|文字|日時|整数| ntpstamp |ポートリスト|本物|文字列|バイト列| XMLTEXT))>
<!ATTLIST AdditionalData type %attvals.adtype; 'string' meaning CDATA #IMPLIED %attlist.global; >
<!ATTLIST AdditionalDataタイプ%attvals.adtype。 CDATA #IMPLIED%attlist.globalを意味する '文字列'; >
The AdditionalData class has one attribute:
AdditionalDataクラスは、1つの属性があります。
meaning
意味
Optional. A string describing the meaning of the element content. These values will be vendor/implementation dependent; the method for ensuring that managers understand the strings sent by analyzers is outside the scope of this specification. A list of acceptable meaning keywords is not within the scope of the document, although later versions may undertake to establish such a list.
オプション。要素の内容の意味を説明する文字列。これらの値は、ベンダー/実装依存となります。管理者が分析装置によって送信された文字列を理解することを確実にするための方法は、本明細書の範囲外です。それ以降のバージョンは、このようなリストを確立することを約束するかもしれないが許容可能な意味のキーワードのリストには、ドキュメントの範囲内ではありません。
The data model provides three classes for representing time. These classes are elements of the Alert and Heartbeat classes.
データモデルは、時間を表現するための3つのクラスを提供します。これらのクラスは、アラートやハートビートのクラスの要素です。
The time classes are represented in the IDMEF DTD as follows:
次のように時間のクラスはIDMEF DTDで表現されています。
<!ELEMENT ntpstamp (#PCDATA) > <!ATTLIST ntpstamp %attlist.global; >
<!ELEMENT ntpstamp(#PCDATA)> <ATTLIST ntpstamp%attlist.global!。 >
<!ELEMENT CreateTime (#PCDATA) > <!ATTLIST CreateTime ntpstamp CDATA #REQUIRED %attlist.global; >
<!ELEMENT CREATETIME(#PCDATA)> <ATTLIST CREATETIME ntpstamp CDATA #REQUIRED%attlist.global!。 >
<!ELEMENT DetectTime (#PCDATA) > <!ATTLIST DetectTime ntpstamp CDATA #REQUIRED %attlist.global; >
<!ELEMENT DetectTime(#PCDATA)> <ATTLIST DetectTime ntpstamp CDATA #REQUIRED%attlist.global!。 >
<!ELEMENT AnalyzerTime (#PCDATA) > <!ATTLIST AnalyzerTime ntpstamp CDATA #REQUIRED %attlist.global; >
<!ELEMENT AnalyzerTime(#PCDATA)> <ATTLIST AnalyzerTime ntpstamp CDATA #REQUIRED%attlist.global!。 >
The DATETIME format of the <CreateTime> element content is described in Section 3.2.6.
<CREATETIME>要素のコンテンツのDATETIMEフォーマットは、セクション3.2.6に記載されています。
If the date and time represented by the element content and the NTP timestamp differ (should "never" happen), the value in the NTP timestamp MUST be used.
日付と時刻の要素の内容によって表されるとNTPタイムスタンプが(起こらない「絶対」必要があります)と異なる場合は、NTPタイムスタンプの値を使用しなければなりません。
The CreateTime class is used to indicate the date and time the alert or heartbeat was created by the analyzer.
CREATETIMEクラスは、アラートやハートビートがアナライザによって作成された日付と時刻を示すために使用されます。
The DetectTime class is used to indicate the date and time that the event(s) producing an alert was detected by the analyzer. In the case of more than one event, it is the time that the first event was detected. (This may or may not be the same time as CreateTime; analyzers are not required to send alerts immediately upon detection).
DetectTimeクラスは、アラートを生成するイベント(複数可)を分析することによって検出された日時を示すために使用されます。複数のイベントの場合には、最初のイベントが検出された時刻です。 (これは、またはCREATETIME同じ時間であってもなくてもよい。アナライザは、検出時に即座に警告を送信する必要はありません)。
The AnalyzerTime class is used to indicate the current date and time on the analyzer. Its values should be filled in as late as possible in the message transmission process, ideally immediately before placing the message "on the wire".
AnalyzerTimeクラスは、アナライザの現在の日付と時刻を示すために使用されます。その値は、理想的には、すぐに「ワイヤー上」というメッセージを配置する前に、メッセージの送信処理にできるだけ遅くに充填する必要があります。
The use of <AnalyzerTime> to perform rudimentary time synchronization between analyzers and managers is discussed in Section 6.3.
分析装置と管理者との間の基本的な時間同期を実行する<AnalyzerTime>の使用は、セクション6.3で議論されています。
The data model provides three types of "assessments" that an analyzer can make about an event. These classes are aggregates of the Assessment class.
データモデルは、アナライザはイベントについて作ることができる「評価」の3種類を提供します。これらのクラスは、評価クラスの集合体です。
The Impact class is used to provide the analyzer's assessment of the impact of the event on the target(s). It is represented in the IDMEF DTD as follows:
インパクトのクラスは、ターゲット(複数可)上のイベントの影響の解析の評価を提供するために使用されます。それは次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.severity " ( info | low | medium | high ) "> <!ENTITY % attvals.completion " ( failed | succeeded ) "> <!ENTITY % attvals.impacttype " ( admin | dos | file | recon | user | other ) ">
<!ENTITY%以下のattvals.severity」(情報|ロー|中|ハイ) ">!| <ENTITY%以下のattvals.impacttype "<!ENTITY%以下のattvals.completion"(失敗は成功しました)">(管理者|楽しむ|ファイル|偵察|ユーザー|その他)「>
<!ELEMENT Impact (#PCDATA) > <!ATTLIST Impact severity %attvals.severity; #IMPLIED completion %attvals.completion; #IMPLIED type %attvals.impacttype; 'other' %attlist.global; >
<!ELEMENTインパクト(#PCDATA)> <ATTLIST影響の重大度%のattvals.severity!; #IMPLIED完了%のattvals.completion。 #IMPLIED型%attvals.impacttype。 「その他」の%のattlist.global。 >
The Impact class has three attributes:
インパクトのクラスには、3つの属性があります。
severity
過酷
An estimate of the relative severity of the event. The permitted values are shown below. There is no default value. (See also Section 10.)
イベントの相対的な重要度の推定値。許容値は以下の通りです。デフォルト値はありません。 (セクション10を参照してください)
+------+---------+-----------------------------------------+
| Rank | Keyword | Description |
+------+---------+-----------------------------------------+
| 0 | info | Alert represents informational activity |
| | | |
| 1 | low | Low severity |
| | | |
| 2 | medium | Medium severity |
| | | |
| 3 | high | High severity |
+------+---------+-----------------------------------------+
completion
完了
An indication of whether the analyzer believes the attempt that the event describes was successful or not. The permitted values are shown below. There is no default value. (See also Section 10.)
アナライザはイベントが記述する試みが成功したかではないと考えているかどうかの表示。許容値は以下の通りです。デフォルト値はありません。 (セクション10を参照してください)
+------+-----------+--------------------------------+
| Rank | Keyword | Description |
+------+-----------+--------------------------------+
| 0 | failed | The attempt was not successful |
| | | |
| 1 | succeeded | The attempt succeeded |
+------+-----------+--------------------------------+
type
タイプ
The type of attempt represented by this event, in relatively broad categories. The permitted values are shown below. The default value is "other". (See also Section 10.)
比較的広いカテゴリーで、このイベントによって表される試みの種類。許容値は以下の通りです。デフォルト値は、「その他」です。 (セクション10を参照してください)
+------+---------+--------------------------------------------------+
| Rank | Keyword | Description |
+------+---------+--------------------------------------------------+
| 0 | admin | Administrative privileges were attempted or |
| | | obtained |
| | | |
| 1 | dos | A denial of service was attempted or completed |
| | | |
| 2 | file | An action on a file was attempted or completed |
| | | |
| 3 | recon | A reconnaissance probe was attempted or |
| | | completed |
| | | |
| 4 | user | User privileges were attempted or obtained |
| | | |
| 5 | other | Anything not in one of the above categories |
+------+---------+--------------------------------------------------+
All three attributes are optional. The element itself may be empty, or may contain a textual description of the impact, if the analyzer is able to provide additional details.
すべての3つの属性はオプションです。要素自体は空であってもよいし、アナライザは、追加の詳細を提供することができる場合、衝撃のテキスト記述を含んでいてもよいです。
The Action class is used to describe any actions taken by the analyzer in response to the event. Is is represented in the IDMEF DTD as follows:
Actionクラスは、イベントに応答してアナライザで撮影したすべてのアクションを記述するために使用されます。次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.actioncat " ( block-installed | notification-sent | taken-offline | other ) ">
<!ENTITY%以下のattvals.actioncat "(ブロック-インストール|通知送ら|取られ、オフライン|他)">
<!ELEMENT Action (#PCDATA) > <!ATTLIST Action category %attvals.actioncat; 'other' %attlist.global; >
<!ELEMENTアクション(#PCDATA)> <!ATTLISTアクションカテゴリ%attvals.actioncat。 「その他」の%のattlist.global。 >
Action has one attribute:
アクションは、一つの属性があります。
category
カテゴリー
The type of action taken. The permitted values are shown below. The default value is "other". (See also Section 10.)
アクションの種類は、撮影しました。許容値は以下の通りです。デフォルト値は、「その他」です。 (セクション10を参照してください)
+------+-------------------+----------------------------------------+
| Rank | Keyword | Description |
+------+-------------------+----------------------------------------+
| 0 | block-installed | A block of some sort was installed to |
| | | prevent an attack from reaching its |
| | | destination. The block could be a |
| | | port block, address block, etc., or |
| | | disabling a user account. |
| | | |
| 1 | notification-sent | A notification message of some sort |
| | | was sent out-of-band (via pager, |
| | | e-mail, etc.). Does not include the |
| | | transmission of this alert. |
| | | |
| 2 | taken-offline | A system, computer, or user was taken |
| | | offline, as when the computer is shut |
| | | down or a user is logged off. |
| | | |
| 3 | other | Anything not in one of the above |
| | | categories. |
+------+-------------------+----------------------------------------+
The element itself may be empty, or may contain a textual description of the action, if the analyzer is able to provide additional details.
要素自体は空であってもよいし、アナライザは、追加の詳細を提供することができる場合、アクションのテキスト記述を含んでいてもよいです。
The Confidence class is used to represent the analyzer's best estimate of the validity of its analysis. It is represented in the IDMEF DTD as follows:
信頼クラスは、その分析の妥当性のアナライザの最良推定値を表すために使用されます。それは次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.rating " ( low | medium | high | numeric ) ">
<!ENTITY%以下のattvals.rating "(低|中|高い|数値)">
<!ELEMENT Confidence (#PCDATA) > <!ATTLIST Confidence rating %attvals.rating; 'numeric' %attlist.global; >
!<!ELEMENTコンフィデンス(#PCDATA)> <ATTLISTの信頼格付け%のattvals.rating。 「数字の」%のattlist.global。 >
The Confidence class has one attribute:
自信クラスは、1つの属性があります。
rating
格付け
The analyzer's rating of its analytical validity. The permitted values are shown below. The default value is "numeric". (See also Section 10.)
その分析的妥当性のアナライザの評価。許容値は以下の通りです。デフォルト値は「数値」です。 (セクション10を参照してください)
+------+---------+--------------------------------------------------+
| Rank | Keyword | Description |
+------+---------+--------------------------------------------------+
| 0 | low | The analyzer has little confidence in its |
| | | validity |
| | | |
| 1 | medium | The analyzer has average confidence in its |
| | | validity |
| | | |
| 2 | high | The analyzer has high confidence in its validity |
| | | |
| 3 | numeric | The analyzer has provided a posterior |
| | | probability value indicating its confidence in |
| | | its validity |
+------+---------+--------------------------------------------------+
This element should be used only when the analyzer can produce meaningful information. Systems that can output only a rough heuristic should use "low", "medium", or "high" as the rating value. In this case, the element content should be omitted.
この要素は、アナライザは意味のある情報を生成することができる場合にのみ使用されるべきです。出力のみラフヒューリスティックは、評価値として、「低」、「中」、または「高」を使用する必要がありますすることができますシステム。この場合には、要素の内容は省略されなければなりません。
Systems capable of producing reasonable probability estimates should use "numeric" as the rating value and include a numeric confidence value in the element content. This numeric value should reflect a posterior probability (the probability that an attack has occurred given the data seen by the detection system and the model used by the system). It is a floating point number between 0.0 and 1.0, inclusive. The number of digits should be limited to those representable by a single precision floating point value, and may be represented as described in Section 3.2.2.
合理的な確率推定値を生成することが可能なシステムでは、評価値として「数値」を使用して、要素コンテンツ内の数値の信頼値を含める必要があります。この数値は、事後確率(攻撃検出システムとシステムによって使用されるモデルで見られるデータを所定の発生した確率)を反映すべきです。これは、0.0と1.0までの間の浮動小数点数です。桁数は、浮動小数点値を単精度によってそれらの表現に限定されるべきであり、セクション3.2.2に記載のように表すことができます。
NOTE: It should be noted that different types of analyzers may compute confidence values in different ways and that in many cases, confidence values from different analyzers should not be compared (for example, if the analyzers use different methods of computing or representing confidence, or are of different types or configurations). Care should be taken when implementing systems that process confidence values (such as event correlators) not to make comparisons or assumptions that cannot be supported by the system's knowledge of the environment in which it is working.
注:これは、分析装置の異なるタイプが異なる方法で信頼値を計算することができることは、多くの場合、異なる分析器から信頼値を比較すべきではないことに留意すべきである(例えば、分析器は、コンピューティングや自信を表現する別の方法を使用している場合、又は異なる種類または構成)です。それが働いている環境のシステムの知識でサポートすることはできません比較や仮定をしないように(このようなイベントの相関器など)信頼値を処理するシステムを実装する際には注意が必要です。
The support classes make up the major parts of the core classes, and are shared between them.
サポートクラスはコアクラスの主要部分を構成し、それらの間で共有されています。
The Reference class provides the "name" of an alert, or other information allowing the manager to determine what it is.
リファレンスクラスには、アラートの「名前」、または管理者は、それが何であるかを判断できるようにする他の情報を提供します。
The Reference class is composed of two aggregate classes, as shown in Figure 13.
図13に示すように、基準クラスは二つの集合体クラスから構成されています。
+----------------+
| Reference |
+----------------+ +------+
| STRING origin |<>----------| name |
| STRING meaning | +------+
| | +------+
| |<>----------| url |
| | +------+
+----------------+
Figure 13: The Reference Class
図13:参照クラス
The aggregate classes that make up Reference are:
リファレンスを構成する集約クラスは次のとおりです。
name
名前
Exactly one. STRING. The name of the alert, from one of the origins listed below.
正確に一つ。 STRING。以下に挙げるの起源のいずれかからアラートの名前、。
url
URL
Exactly one. STRING. A URL at which the manager (or the human operator of the manager) can find additional information about the alert. The document pointed to by the URL may include an in-depth description of the attack, appropriate countermeasures, or other information deemed relevant by the vendor.
正確に一つ。 STRING。 URLはこれで、管理者(または管理者の人間のオペレータ)は、アラートに関する追加情報を見つけることができます。文書は、深い攻撃の説明、適切な対策、またはベンダーによって関連するとみなされる他の情報を含むことができるURLによって指し示さ。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.origin " ( unknown | vendor-specific | user-specific | bugtraqid | cve | osvdb ) ">
<!ENTITY%以下のattvals.origin "(不明|ベンダー固有|ユーザー固有| bugtraqid | CVE | osvdb)">
<!ELEMENT Reference ( name, url )> <!ATTLIST Reference origin %attvals.origin; 'unknown' meaning CDATA #IMPLIED >
<!ELEMENTリファレンス(名前、URL)> <!ATTLISTリファレンス原点%のattvals.origin。 '不明' という意味CDATA #IMPLIED>
The Reference class has two attributes:
リファレンスクラスには2つの属性があります。
origin
原点
Required. The source from which the name of the alert originates. The permitted values for this attribute are shown below. The default value is "unknown". (See also Section 10.)
必須。アラートの名前が元となるソース。この属性の許可された値は以下のとおりです。デフォルト値は「不明」です。 (セクション10を参照してください)
+------+-----------------+------------------------------------------+
| Rank | Keyword | Description |
+------+-----------------+------------------------------------------+
| 0 | unknown | Origin of the name is not known |
| | | |
| 1 | vendor-specific | A vendor-specific name (and hence, URL); |
| | | this can be used to provide |
| | | product-specific information |
| | | |
| 2 | user-specific | A user-specific name (and hence, URL); |
| | | this can be used to provide |
| | | installation-specific information |
| | | |
| 3 | bugtraqid | The SecurityFocus ("Bugtraq") |
| | | vulnerability database identifier |
| | | (http://www.securityfocus.com/bid) |
| | | |
| 4 | cve | The Common Vulnerabilities and Exposures |
| | | (CVE) name (http://www.cve.mitre.org/) |
| | | |
| 5 | osvdb | The Open Source Vulnerability Database |
| | | (http://www.osvdb.org) |
+------+-----------------+------------------------------------------+ meaning
Optional. The meaning of the reference, as understood by the alert provider. This field is only valid if the value of the <origin> attribute is set to "vendor-specific" or "user-specific".
オプション。警告プロバイダによって理解されるように参照の意味は、。 <起源>属性の値が「特定のベンダー」または「ユーザー固有」に設定されている場合、このフィールドにのみ有効です。
The Node class is used to identify hosts and other network devices (routers, switches, etc.).
Nodeクラスは、ホストと他のネットワークデバイス(ルータ、スイッチなど)を識別するために使用されます。
The Node class is composed of three aggregate classes, as shown in Figure 14.
図14に示すように、ノードクラスは3つの集合体のクラスから構成されています。
+---------------+
| Node |
+---------------+ 0..1 +----------+
| STRING ident |<>----------| location |
| ENUM category | +----------+
| | 0..1 +----------+
| |<>----------| name |
| | +----------+
| | 0..* +----------+
| |<>----------| Address |
| | +----------+
+---------------+
Figure 14: The Node Class
図14:ノードクラス
The aggregate classes that make up Node are:
ノードを構成する集約クラスは次のとおりです。
location
ロケーション
Zero or one. STRING. The location of the equipment.
ゼロまたは1つ。 STRING。機器の場所。
name
名前
Zero or one. STRING. The name of the equipment. This information MUST be provided if no Address information is given.
ゼロまたは1つ。 STRING。機器の名前。何のアドレス情報が指定されていない場合は、この情報が提供されなければなりません。
Address
住所
Zero or more. The network or hardware address of the equipment. Unless a name (above) is provided, at least one address must be specified.
ゼロ以上。機器のネットワークやハードウェアアドレス。名前は(上記)に提供されていない限り、少なくとも1つのアドレスを指定する必要があります。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.nodecat " ( unknown | ads | afs | coda | dfs | dns | hosts | kerberos | nds | nis | nisplus | nt | wfw ) ">
<!ENTITY%以下のattvals.nodecat "(不明|広告| AFS |コーダ| DFS | DNS |ホスト|ケルベロス| NDS | NIS | nisplusという| NT | WFW)">
<!ELEMENT Node ( location?, (name | Address), Address* )> <!ATTLIST Node ident CDATA '0' category %attvals.nodecat; 'unknown' %attlist.global; >
<!ELEMENTノード(場所?(名前|住所)、アドレス*)> <!ATTLISTノードのident CDATA '0' カテゴリ%attvals.nodecat。 「不明」%のattlist.global。 >
The Node class has two attributes:
Nodeクラスは、2つの属性があります。
ident
IDENT
Optional. A unique identifier for the node; see Section 3.2.9.
オプション。ノードの一意の識別子。 3.2.9項を参照してください。
category
カテゴリー
Optional. The "domain" from which the name information was obtained, if relevant. The permitted values for this attribute are shown in the table below. The default value is "unknown". (See also Section 10 for extensions to the table.)
オプション。該当する場合、名前情報は、取得された「ドメイン」。この属性の許容値は、以下の表に示します。デフォルト値は「不明」です。 (また、テーブルへの拡張については、セクション10を参照してください。)
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | unknown | Domain unknown or not relevant |
| | | |
| 1 | ads | Windows 2000 Advanced Directory Services |
| | | |
| 2 | afs | Andrew File System (Transarc) |
| | | |
| 3 | coda | Coda Distributed File System |
| | | |
| 4 | dfs | Distributed File System (IBM) |
| | | |
| 5 | dns | Domain Name System |
| | | |
| 6 | hosts | Local hosts file |
| | | |
| 7 | kerberos | Kerberos realm |
| | | |
| 8 | nds | Novell Directory Services |
| | | |
| 9 | nis | Network Information Services (Sun) |
| | | |
| 10 | nisplus | Network Information Services Plus (Sun) |
| | | |
| 11 | nt | Windows NT domain |
| | | |
| 12 | wfw | Windows for Workgroups |
+------+----------+------------------------------------------+
The Address class is used to represent network, hardware, and application addresses.
Addressクラスは、ネットワーク、ハードウェア、およびアプリケーションのアドレスを表すために使用されます。
The Address class is composed of two aggregate classes, as shown in Figure 15.
図15に示すように、アドレス・クラスは、2つの集約クラスで構成されています。
+------------------+
| Address |
+------------------+ +---------+
| STRING ident |<>----------| address |
| ENUM category | +---------+
| STRING vlan-name | 0..1 +---------+
| INTEGER vlan-num |<>----------| netmask |
| | +---------+
+------------------+
Figure 15: The Address Class
図15:アドレスクラス
The aggregate classes that make up Address are:
アドレスを構成する集約クラスは次のとおりです。
address
住所
Exactly one. STRING. The address information. The format of this data is governed by the category attribute.
正確に一つ。 STRING。アドレス情報。このデータの形式は、カテゴリ属性によって支配されています。
netmask
ネットマスク
Zero or one. STRING. The network mask for the address, if appropriate.
ゼロまたは1つ。 STRING。アドレスのネットワークマスク、適切な場合。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.addrcat " ( unknown | atm | e-mail | lotus-notes | mac | sna | vm | ipv4-addr | ipv4-addr-hex | ipv4-net | ipv4-net-mask | ipv6-addr | ipv6-addr-hex | ipv6-net | ipv6-net-mask ) ">
<!ENTITY%以下のattvals.addrcat」(不明| ATM |電子メール|蓮 - ノート| MAC | SNA | VM |のIPv4-addrに|のIPv4-addrに-進| IPv4のネット| IPv4のネットマスク|のIPv6-addrに| IPv6の-addrに-進| IPv6のネット| IPv6のネットマスク)「>
<!ELEMENT Address ( address, netmask? )> <!ATTLIST Address ident CDATA '0' category %attvals.addrcat; 'unknown' vlan-name CDATA #IMPLIED vlan-num CDATA #IMPLIED %attlist.global; >
!<!ELEMENT住所(?アドレス、ネットマスク)> <ATTLISTアドレスのident CDATA '0' カテゴリ%attvals.addrcat。 '不明' VLAN名CDATA #IMPLIED VLAN-numがCDATA #IMPLIED%attlist.global。 >
The Address class has four attributes:
Addressクラスには4つの属性があります。
ident
IDENT
Optional. A unique identifier for the address; see Section 3.2.9.
オプション。アドレスの一意の識別子。 3.2.9項を参照してください。
category
カテゴリー
Optional. The type of address represented. The permitted values for this attribute are shown below. The default value is "unknown". (See also Section 10.)
オプション。アドレスの種類が表さ。この属性の許可された値は以下のとおりです。デフォルト値は「不明」です。 (セクション10を参照してください)
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | unknown | Address type unknown |
| | | |
| 1 | atm | Asynchronous Transfer Mode network address |
| | | |
| 2 | e-mail | Electronic mail address (RFC 2822 [12]) |
| | | |
| 3 | lotus-notes | Lotus Notes e-mail address |
| | | |
| 4 | mac | Media Access Control (MAC) address |
| | | |
| 5 | sna | IBM Shared Network Architecture (SNA) |
| | | address |
| | | |
| 6 | vm | IBM VM ("PROFS") e-mail address |
| | | |
| 7 | ipv4-addr | IPv4 host address in dotted-decimal |
| | | notation (a.b.c.d) |
| | | |
| 8 | ipv4-addr-hex | IPv4 host address in hexadecimal notation |
| | | |
| 9 | ipv4-net | IPv4 network address in dotted-decimal |
| | | notation, slash, significant bits |
| | | (a.b.c.d/nn) |
| | | |
| 10 | ipv4-net-mask | IPv4 network address in dotted-decimal |
| | | notation, slash, network mask in |
| | | dotted-decimal notation (a.b.c.d/w.x.y.z) |
| | | |
| 11 | ipv6-addr | IPv6 host address |
| | | |
| 12 | ipv6-addr-hex | IPv6 host address in hexadecimal notation |
| | | |
| 13 | ipv6-net | IPv6 network address, slash, significant |
| | | bits |
| | | |
| 14 | ipv6-net-mask | IPv6 network address, slash, network mask |
+------+---------------+--------------------------------------------+
vlan-name
VLAN名
Optional. The name of the Virtual LAN to which the address belongs.
オプション。アドレスが属する仮想LANの名前。
vlan-num
VLAN-NUM
Optional. The number of the Virtual LAN to which the address belongs.
オプション。アドレスが属する仮想LANの数。
The User class is used to describe users. It is primarily used as a "container" class for the UserId aggregate class, as shown in Figure 16.
Userクラスは、ユーザーを記述するために使用されます。図16に示すように、これは主に、ユーザーID、集約クラスのための「コンテナ」クラスとして使用されます。
+---------------+
| User |
+---------------+ 1..* +--------+
| STRING ident |<>----------| UserId |
| ENUM category | +--------+
+---------------+
Figure 16: The User Class
図16:ユーザクラス
The aggregate class contained in User is:
ユーザーに含まれている集約クラスは以下のとおりです。
UserId
ユーザーID
One or more. Identification of a user, as indicated by its type attribute (see Section 4.2.7.3.1).
一つ以上。そのtype属性によって示されるように、ユーザの識別、(セクション4.2.7.3.1参照)。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.usercat " ( unknown | application | os-device ) ">
<!ENTITY%以下のattvals.usercat "(不明|アプリケーション| OSデバイス)">
<!ELEMENT User ( UserId+ )> <!ATTLIST User ident CDATA '0' category %attvals.usercat; 'unknown' %attlist.global; >
<!ELEMENTユーザ(ユーザID +)> <ATTLIST CDATA '0' カテゴリ%attvals.usercatのidentユーザー!。 「不明」%のattlist.global。 >
The User class has two attributes:
Userクラスは、2つの属性があります。
ident
IDENT
Optional. A unique identifier for the user; see Section 3.2.9.
オプション。ユーザーの一意の識別子。 3.2.9項を参照してください。
category
カテゴリー
Optional. The type of user represented. The permitted values for this attribute are shown below. The default value is "unknown". (See also Section 10.)
オプション。ユーザーのタイプは表現します。この属性の許可された値は以下のとおりです。デフォルト値は「不明」です。 (セクション10を参照してください)
+------+-------------+------------------------------------+
| Rank | Keyword | Description |
+------+-------------+------------------------------------+
| 0 | unknown | User type unknown |
| | | |
| 1 | application | An application user |
| | | |
| 2 | os-device | An operating system or device user |
+------+-------------+------------------------------------+
The UserId class provides specific information about a user. More than one UserId can be used within the User class to indicate attempts to transition from one user to another, or to provide complete information about a user's (or process') privileges.
ユーザーIDのクラスは、ユーザーに関する特定の情報を提供します。複数のuseridは一人のユーザから別のものに移行する試みを示すために、またはユーザの(またはプロセス)権限に関する完全な情報を提供するために、Userクラス内で使用することができます。
The UserId class is composed of two aggregate classes, as shown in Figure 17.
図17に示すように、ユーザーIDのクラスは二つの集合体クラスから構成されています。
+--------------+
| UserId |
+--------------+ 0..1 +--------+
| STRING ident |<>----------| name |
| ENUM type | +--------+
| STRING tty | 0..1 +--------+
| |<>----------| number |
| | +--------+
+--------------+
Figure 17: The UserId Class
図17:ユーザーIDクラス
The aggregate classes that make up UserId are:
ユーザーIDを構成する集約クラスは次のとおりです。
name
名前
Zero or one. STRING. A user or group name.
ゼロまたは1つ。 STRING。ユーザー名またはグループ名。
number
数
Zero or one. INTEGER. A user or group number.
ゼロまたは1つ。整数。ユーザまたはグループ番号。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.idtype " ( current-user | original-user | target-user | user-privs | current-group | group-privs | other-privs ) ">
<!ENTITY%以下のattvals.idtype "(現在のユーザー|オリジナル・ユーザー|ターゲット・ユーザ|ユーザーPRIVS |現在のグループ|グループPRIVS |その他-PRIVS)">
<!ELEMENT UserId ( (name, number?) | (number, name?) )> <!ATTLIST UserId ident CDATA '0' type %attvals.idtype; 'original-user' tty CDATA #IMPLIED %attlist.global; >
<!ELEMENTユーザーID((名前、番号)|(番号、名前)?)> <ATTLISTユーザーID identをCDATA '0' をタイプ%attvals.idtype!; '元のユーザー' TTY CDATA #IMPLIED%attlist.global。 >
The UserId class has three attributes:
ユーザーIDのクラスには、3つの属性があります。
ident
IDENT
Optional. A unique identifier for the user id, see Section 3.2.9.
オプション。ユーザーIDの一意の識別子は、3.2.9項を参照してください。
type
タイプ
Optional. The type of user information represented. The permitted values for this attribute are shown below. The default value is "original-user". (See also Section 10.)
オプション。ユーザ情報の種類が示されます。この属性の許可された値は以下のとおりです。デフォルト値は「オリジナル・ユーザー」です。 (セクション10を参照してください)
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | current-user | The current user id being used by the user |
| | | or process. On Unix systems, this would |
| | | be the "real" user id, in general. |
| | | |
| 1 | original-user | The actual identity of the user or process |
| | | being reported on. On those systems that |
| | | (a) do some type of auditing and (b) |
| | | support extracting a user id from the |
| | | "audit id" token, that value should be |
| | | used. On those systems that do not |
| | | support this, and where the user has |
| | | logged into the system, the "login id" |
| | | should be used. |
| | | |
| 2 | target-user | The user id the user or process is |
| | | attempting to become. This would apply, |
| | | on Unix systems for example, when the user |
| | | attempts to use "su", "rlogin", "telnet", |
| | | etc. |
| | | |
| 3 | user-privs | Another user id the user or process has |
| | | the ability to use, or a user id |
| | | associated with a file permission. On |
| | | Unix systems, this would be the |
| | | "effective" user id in a user or process |
| | | context, and the owner permissions in a |
| | | file context. Multiple UserId elements of |
| | | this type may be used to specify a list of |
| | | privileges. |
| | | |
| 4 | current-group | The current group id (if applicable) being |
| | | used by the user or process. On Unix |
| | | systems, this would be the "real" group |
| | | id, in general. |
| | | |
| 5 | group-privs | Another group id the group or process has |
| | | the ability to use, or a group id |
| | | associated with a file permission. On |
| | | Unix systems, this would be the |
| | | "effective" group id in a group or process |
| | | context, and the group permissions in a |
| | | file context. On BSD-derived Unix |
| | | systems, multiple UserId elements of this |
| | | type would be used to include all the |
| | | group ids on the "group list". |
| 6 | other-privs | Not used in a user, group, or process |
| | | context, only used in the file context. |
| | | The file permissions assigned to users who |
| | | do not match either the user or group |
| | | permissions on the file. On Unix systems, |
| | | this would be the "world" permissions. |
+------+---------------+--------------------------------------------+
tty
TTY
Optional. STRING. The tty the user is using.
オプション。 STRING。ユーザーが使用しているTTY。
The Process class is used to describe processes being executed on sources, targets, and analyzers.
Processクラスは、ソース、ターゲット、および分析装置上で実行される処理を説明するために使用されます。
The Process class is composed of five aggregate classes, as shown in Figure 18.
図18に示すように、プロセス・クラスは、5つの集約クラスで構成されています。
+--------------+
| Process |
+--------------+ +------+
| STRING ident |<>----------| name |
| | +------+
| | 0..1 +------+
| |<>----------| pid |
| | +------+
| | 0..1 +------+
| |<>----------| path |
| | +------+
| | 0..* +------+
| |<>----------| arg |
| | +------+
| | 0..* +------+
| |<>----------| env |
| | +------+
+--------------+
Figure 18: The Process Class
図18:Processクラス
The aggregate classes that make up Process are:
プロセスを構成する集約クラスは次のとおりです。
name
名前
Exactly one. STRING. The name of the program being executed. This is a short name; path and argument information are provided elsewhere.
正確に一つ。 STRING。実行中のプログラムの名前。これは、短い名前です。パスと引数情報は、他の場所で提供されています。
pid
PID
Zero or one. INTEGER. The process identifier of the process.
ゼロまたは1つ。整数。プロセスのプロセス識別子。
path
道
Zero or one. STRING. The full path of the program being executed.
ゼロまたは1つ。 STRING。実行中のプログラムの完全なパス。
arg
引数
Zero or more. STRING. A command-line argument to the program. Multiple arguments may be specified (they are assumed to have occurred in the same order they are provided) with multiple uses of arg.
ゼロ以上。 STRING。プログラムにコマンドライン引数。複数の引数は、引数の複数の用途を有する(それらは、それらが設けられているのと同じ順序で発生しているものとする)に指定されてもよいです。
env
約
Zero or more. STRING. An environment string associated with the process; generally of the format "VARIABLE=value". Multiple environment strings may be specified with multiple uses of env.
ゼロ以上。 STRING。プロセスに関連付けられた環境文字列。一般形式「VARIABLE =値」という。複数の環境文字列はENVの複数の用途で指定することができます。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Process ( name, pid?, path?, arg*, env* )> <!ATTLIST Process ident CDATA '0' %attlist.global; >
<!ELEMENTプロセス(名、PID?、?、パスのarg *、ENV *)> <ATTLISTプロセスのident CDATA '0' %attlist.global!。 >
The Process class has one attribute:
Processクラスは、1つの属性があります。
ident
IDENT
Optional. A unique identifier for the process; see Section 3.2.9.
オプション。プロセスの一意の識別子。 3.2.9項を参照してください。
The Service class describes network services on sources and targets. It can identify services by name, port, and protocol. When Service occurs as an aggregate class of Source, it is understood that the service is one from which activity of interest is originating; and that the service is "attached" to the Node, Process, and User information also contained in Source. Likewise, when Service occurs as an aggregate class of Target, it is understood that the service is one to which activity of interest is being directed; and that the service is "attached" to the Node, Process, and User information also contained in Target. If Service occurs in both Source and Target, then information in both locations should be the same. If information is the same in both locations and implementers wish to carry it in only one location, they should specify it as an aggregate of the Target class.
サービスクラスは、ソースとターゲットのネットワークサービスについて説明します。これは、名前、ポート、およびプロトコルによりサービスを識別することができます。サービスは、ソースの集約クラスとして発生した場合は、サービスが関心の活動が発信され、そこから1であることが理解されます。そしてサービスもソースに含まれるノード、プロセス、およびユーザ情報に「添付」されていること。サービスは、ターゲットの集合体クラスとして発生した場合も同様に、サービスが目的の活性が向けられているれたものであることが理解されます。そのサービスは、ターゲットに含まれるノード、プロセス、およびユーザ情報に「添付」されます。サービスは、ソースとターゲットの両方で発生した場合、両方の場所の情報は同じでなければなりません。情報は、場所や実装の両方で同じであるが、一つだけの場所でそれを運ぶしたい場合は、ターゲットクラスの集合体として、それを指定する必要があります。
The Service class is composed of four aggregate classes, as shown in Figure 19.
図19に示すように、サービスクラスは4つの集合体のクラスから構成されています。
+-----------------------------+
| Service |
+-----------------------------+ 0..1 +----------+
| STRING ident |<>----------| name |
| INTEGER ip_version | +----------+
| INTEGER iana_protocol_number| 0..1 +----------+
| STRING iana_protocol_name |<>----------| port |
| | +----------+
| | 0..1 +----------+
| |<>----------| portlist |
| | +----------+
| | 0..1 +----------+
| |<>----------| protocol |
| | +----------+
+-----------------------------+
/_\
|
+---------+--------+
| |
+-------------+ +-------------+
| SNMPService | | WebService |
+-------------+ +-------------+
Figure 19: The Service Class
図19:サービスクラス
The aggregate classes that make up Service are:
サービスを構成する集約クラスは次のとおりです。
name
名前
Zero or one. STRING. The name of the service. Whenever possible, the name from the IANA list of well-known ports SHOULD be used.
ゼロまたは1つ。 STRING。サービスの名前。可能な限り、well-knownポートのIANAリストから名前を使用する必要があります。
port
港
Zero or one. INTEGER. The port number being used.
ゼロまたは1つ。整数。ポート番号が使用されています。
portlist
ポートリスト
Zero or one. PORTLIST. A list of port numbers being used; see Section 3.2.8 for formatting rules. If a portlist is given, the iana_protocol_number and iana_protocol_name MUST apply to all the elements of the list.
ゼロまたは1つ。ポートリスト。使用されているポート番号のリスト。フォーマット規則については、セクション3.2.8を参照してください。ポートリストが与えられた場合、iana_protocol_numberとiana_protocol_nameは、リストのすべての要素に適用する必要があります。
protocol
プロトコル
Zero or one. STRING. Additional information about the protocol being used. The intent of the protocol field is to carry additional information related to the protocol being used when the <Service> attributes iana_protocol_number or/and iana_protocol_name are filed.
ゼロまたは1つ。 STRING。プロトコルに関する追加情報が使用されています。プロトコルフィールドの意図は、<サービス>がiana_protocol_number属性または/およびiana_protocol_nameが提出されているときに使用されているプロトコルに関連する追加情報を運ぶことです。
A Service MUST be specified as either (a) a name or a port or (b) a portlist. The protocol is optional in all cases, but no other combinations are permitted.
サービスは、(a)は、名前またはポート、または(b)のポートリストのいずれかとして指定されなければなりません。プロトコルは、すべての場合において任意であるが、他の組み合わせが許可されていません。
Service is represented in the IDMEF DTD as follows:
次のようにサービスがIDMEF DTDで表現されています。
<!ELEMENT Service ( (((name, port?) | (port, name?)) | portlist), protocol?, SNMPService?, WebService? )> <!ATTLIST Service ident CDATA '0' ip_version CDATA #IMPLIED iana_protocol_number CDATA #IMPLIED iana_protocol_name CDATA #IMPLIED %attlist.global; >
<!ELEMENTサービス((((名、ポート)|?(ポート、名前))|?ポートリスト)、プロトコル?、?、SNMPService WebServiceの?)> <ATTLISTサービスのident CDATA '0' CDATA #IMPLIED ip_version CDATA iana_protocol_number! #IMPLIED iana_protocol_name CDATA #IMPLIED%attlist.global。 >
The Service class has four attributes:
Serviceクラスには4つの属性があります。
ident
IDENT
Optional. A unique identifier for the service; see Section 3.2.9.
オプション。サービスのためのユニークな識別子。 3.2.9項を参照してください。
ip_version
ip_version
Optional. INTEGER. The IP version number.
オプション。整数。 IPバージョン番号。
iana_protocol_number
iana_protocol_number
Optional. INTEGER. The IANA protocol number.
オプション。整数。 IANAプロトコル番号。
iana_protocol_name
iana_protocol_name
Optional. STRING. The IANA protocol name.
オプション。 STRING。 IANAのプロトコル名。
The WebService class carries additional information related to web traffic.
WebServiceクラスは、Webトラフィックに関連する追加情報を運びます。
The WebService class is composed of four aggregate classes, as shown in Figure 20.
図20に示すように、WebServiceクラスは4つの集合体のクラスから構成されています。
+-------------+
| Service |
+-------------+
/_\
|
+-------------+
| WebService |
+-------------+ +-------------+
| |<>----------| url |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| cgi |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| http-method |
| | +-------------+
| | 0..* +-------------+
| |<>----------| arg |
| | +-------------+
+-------------+
Figure 20: The WebService Class
図20:WebServiceクラス
The aggregate classes that make up WebService are:
Webサービスを構成する集約クラスは次のとおりです。
url
URL
Exactly one. STRING. The URL in the request.
正確に一つ。 STRING。リクエスト内のURL。
cgi
CGI
Zero or one. STRING. The CGI script in the request, without arguments.
ゼロまたは1つ。 STRING。引数なしのリクエストでCGIスクリプト、。
http-method
HTTP-方法
Zero or one. STRING. The HTTP method (PUT, GET) used in the request.
ゼロまたは1つ。 STRING。 HTTPメソッドは、要求に使用される(PUT、GET)。
arg
引数
Zero or more. STRING. The arguments to the CGI script.
ゼロ以上。 STRING。 CGIスクリプトへの引数。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT WebService ( url, cgi?, http-method?, arg* )> <!ATTLIST WebService %attlist.global; >
<!ELEMENT Webサービス(URL、CGI?HTTP-方法?,引数*)> <!ATTLISTのWebサービス%attlist.global。 >
The SNMPService class carries additional information related to SNMP traffic. The aggregate classes composing SNMPService must be interpreted as described in RFC 3411 [15] and RFC 3584 [16].
SNMPServiceクラスは、SNMPトラフィックに関連する追加情報を運びます。 RFC 3411 [15]およびRFC 3584 [16]に記載されているようにSNMPServiceを構成する集合体のクラスは解釈されなければなりません。
The SNMPService class is composed of eight aggregate classes, as shown in Figure 21.
図21に示すようにSNMPServiceクラスは8つの集約クラスで構成されています。
+-------------+
| Service |
+-------------+
/_\
|
+-------------+
| SNMPService |
+-------------+ 0..1 +----------------------+
| |<>----------| oid |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------|messageProcessingModel|
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| securityModel |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| securityName |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| securityLevel |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| contextName |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| contextEngineID |
| | +----------------------+
| | 0..1 +----------------------+
| |<>----------| command |
| | +----------------------+
+-------------+
Figure 21: The SNMPService Class
図21:SNMPServiceクラス
The aggregate classes that make up SNMPService are:
SNMPServiceを構成する集約クラスは次のとおりです。
oid
関連
Zero or one. STRING. The object identifier in the request.
ゼロまたは1つ。 STRING。要求のオブジェクト識別子。
messageProcessingModel
messageProcessingModel
Zero or one. INTEGER. The SNMP version, typically 0 for SNMPv1, 1 for SNMPv2c, 2 for SNMPv2u and SNMPv2*, and 3 for SNMPv3; see RFC 3411 [15] Section 5 for appropriate values.
ゼロまたは1つ。整数。 SNMPバージョン、SNMPv3のためのSNMPv1、SNMPv2cのための1、SNMPv2uおよびSNMPv2 * 2、および3のための典型的には0。適切な値は、RFC 3411 [15]第5節を参照。
securityModel
securityModel
Zero or one. INTEGER. The identification of the security model in use, typically 0 for any, 1 for SNMPv1, 2 for SNMPv2c, and 3 for USM; see RFC 3411 [15] Section 5 for appropriate values.
ゼロまたは1つ。整数。使用中のセキュリティモデルの同定、典型的には、任意の0、SNMPv1のための1、SNMPv2cのための2、およびUSM 3。適切な値は、RFC 3411 [15]第5節を参照。
securityName
セキュリティ名
Zero or one. STRING. The object's security name; see RFC 3411 [15] Section 3.2.2.
ゼロまたは1つ。 STRING。オブジェクトのセキュリティ名。 RFC 3411 [15]セクション3.2.2を参照してください。
securityLevel
セキュリティレベル
Zero or one. INTEGER. The security level of the SNMP request; see RFC 3411 [15] Section 3.4.3.
ゼロまたは1つ。整数。 SNMP要求のセキュリティレベル。 RFC 3411 [15]セクション3.4.3を参照してください。
contextName
contextNameは
Zero or one. STRING. The object's context name; see RFC 3411 [15] Section 3.3.3.
ゼロまたは1つ。 STRING。オブジェクトのコンテキスト名。 RFC 3411 [15]セクション3.3.3を参照してください。
contextEngineID
contextEngineID
Zero or one. STRING. The object's context engine identifier; see RFC 3411 [15] Section 3.3.2.
ゼロまたは1つ。 STRING。オブジェクトのコンテキストエンジンの識別子。 RFC 3411 [15]セクション3.3.2を参照してください。
command
コマンド
Zero or one. STRING. The command sent to the SNMP server (GET, SET, etc.).
ゼロまたは1つ。 STRING。 SNMPサーバ(GET、SET、など)に送信されるコマンド。
If other fields of an SNMP message are available and should be incorporated in the IDMEF alert, they must be located in the additionaldata structure with the meaning being an object definition defined in RFC 3411 [15] Section 5 and the value located within the additionaldata payload.
SNMPメッセージの他のフィールドが利用可能であり、IDMEFアラートに組み込まれるべきである場合、それらは意味RFC 3411で定義されたオブジェクト定義である[15]第5及びadditionaldataペイロード内に位置する値でadditionaldata構造内に配置されなければなりません。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT SNMPService ( oid?, messageProcessingModel?, securityModel?, securityName?, securityLevel?, contextName?, contextEngineID?, command? )> <!ATTLIST SNMPService %attlist.global; >
<!ELEMENT SNMPService(?OID ?, messageProcessingModel?、?、securityModelのsecurityName ?,たsecurityLevel?、?、contextNameはcontextEngineID ?,コマンド)> <!ATTLIST SNMPService%attlist.global。 >
The File class provides specific information about a file or other file-like object that has been created, deleted, or modified on the target. The description can provide either the file settings prior to the event or the file settings at the time of the event, as specified using the "category" attribute.
Fileクラスは、ターゲット上で、作成、削除、または変更されたファイルや他のファイルのようなオブジェクトに関する具体的な情報を提供します。説明は「カテゴリ」属性を使用して、指定されたとして、イベントやイベント時のファイルの設定に先立って、ファイルの設定のいずれかを提供することができます。
The File class is composed of eleven aggregate classes, as shown in
Figure 22.
+--------------+
| File |
+--------------+ +-------------+
| |<>----------| name |
| | +-------------+
| | +-------------+
| |<>----------| path |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| create-time |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| modify-time |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| access-time |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| data-size |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| disk-size |
| | +-------------+
| | 0..* +-------------+
| |<>----------| FileAccess |
| | +-------------+
| | 0..* +-------------+
| |<>----------| Linkage |
| | +-------------+
| | 0..1 +-------------+
| |<>----------| Inode |
| | +-------------+
| | 0..* +-------------+
| |<>----------| Checksum |
| | +-------------+
+--------------+
Figure 22: The File Class
図22:ファイルクラス
The aggregate classes that make up File are:
ファイルを構成する集約クラスは次のとおりです。
name
名前
Exactly one. STRING. The name of the file to which the alert applies, not including the path to the file.
正確に一つ。 STRING。アラートが、ファイルへのパスを含めないで、適用されるファイルの名前。
path
道
Exactly one. STRING. The full path to the file, including the name. The path name should be represented in as "universal" a manner as possible, to facilitate processing of the alert.
正確に一つ。 STRING。名を含むファイルへのフルパス、。パス名は、アラートの処理を容易にするために、可能な限りの方法「ユニバーサル」として表現されなければなりません。
For Windows systems, the path should be specified using the Universal Naming Convention (UNC) for remote files, and using a drive letter for local files (e.g., "C:\boot.ini"). For Unix systems, paths on network file systems should use the name of the mounted resource instead of the local mount point (e.g., "fileserver:/usr/local/bin/foo"). The mount point can be provided using the <Linkage> element.
Windowsシステムの場合、パスはリモートのファイルの汎用名前付け規則(UNC)を使用して、ローカルファイルのドライブ文字を使用して指定する必要があります(例えば、「C:\ boot.iniファイル」)。 UNIXシステムでは、ネットワークファイルシステム上のパスではなく、ローカルマウントポイントの取り付けられたリソースの名前を使用する必要があり(例えば、「ファイルサーバ:は/ usr / local / binに/ foo」という)。マウント・ポイントは、<リンク>要素を使用して提供することができます。
create-time
作成時
Zero or one. DATETIME. Time the file was created. Note that this is *not* the Unix "st_ctime" file attribute (which is not file creation time). The Unix "st_ctime" attribute is contained in the "Inode" class.
ゼロまたは1つ。日付時刻。時間は、ファイルが作成されました。これは、(ファイル作成日時ではありません)Unixの「ファイルのst_ctime」ファイル属性* *ではないことに注意してください。 Unixの「ファイルのst_ctime」属性が「iノード」クラスに含まれています。
modify-time
変更時
Zero or one. DATETIME. Time the file was last modified.
ゼロまたは1つ。日付時刻。時間ファイルが最後に変更されました。
access-time
アクセス時間
Zero or one. DATETIME. Time the file was last accessed.
ゼロまたは1つ。日付時刻。時刻ファイルが最後にアクセスされました。
data-size
データサイズ
Zero or one. INTEGER. The size of the data, in bytes. Typically what is meant when referring to file size. On Unix UFS file systems, this value corresponds to stat.st_size. On Windows NTFS, this value corresponds to Valid Data Length (VDL).
ゼロまたは1つ。整数。バイト単位でデータのサイズ、。サイズをファイルを参照する際に一般的に何を意味しています。 UnixのUFSファイルシステムでは、この値はstat.st_sizeに対応しています。 WindowsのNTFSでは、この値は有効データ長(VDL)に対応しています。
disk-size
ディスクサイズ
Zero or one. INTEGER. The physical space on disk consumed by the file, in bytes. On Unix UFS file systems, this value corresponds to 512 * stat.st_blocks. On Windows NTFS, this value corresponds to End of File (EOF).
ゼロまたは1つ。整数。バイト単位でファイルが消費するディスク上の物理的な空間、。 UnixのUFSファイルシステムでは、この値は512 * stat.st_blocksに対応しています。 WindowsのNTFSでは、この値は、ファイルの終わり(EOF)に対応しています。
FileAccess
FileAccessの
Zero or more. Access permissions on the file.
ゼロ以上。ファイルのアクセス許可。
Linkage
リンケージ
Zero or more. File system objects to which this file is linked (other references for the file).
ゼロ以上。このファイルは、(ファイルの他の文献)リンクされているファイルシステムオブジェクト。
Inode
iノード
Zero or one. Inode information for this file (relevant to Unix).
ゼロまたは1つ。このファイルのiノード情報(Unixのに関連します)。
Checksum
チェックサム
Zero or more. Checksum information for this file.
ゼロ以上。このファイルのチェックサム情報。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.filecat " ( current | original ) ">
<!ENTITY%以下のattvals.filecat "(現在|元)">
<!ELEMENT File ( name, path, create-time?, modify-time?, access-time?, data-size?, disk-size?, FileAccess*, Linkage*, Inode?, Checksum* )> <!ATTLIST File ident CDATA '0' category %attvals.filecat; #REQUIRED fstype CDATA #IMPLIED file-type CDATA #IMPLIED %attlist.global; >
<!ELEMENTファイル(名前、パス、作成時?,変更時?,アクセス時間?,データサイズ?,ディスクサイズ?, FileAccessの*、リンケージ*、iノード?,チェックサム*)> <!ATTLIST identをCDATA '0' カテゴリ%attvals.filecatファイル。 #REQUIRED FSTypeにCDATA #IMPLIEDファイル型CDATA #IMPLIED%attlist.global。 >
The File class has four attributes (one required and three optional):
Fileクラスには、4つの属性(必須1と3つのオプションを)持っています:
ident
IDENT
Optional. A unique identifier for this file; see Section 3.2.9.
オプション。このファイルの一意の識別子。 3.2.9項を参照してください。
category
カテゴリー
Required. The context for the information being provided. The permitted values are shown below. There is no default value. (See also Section 10.)
必須。提供される情報のコンテキスト。許容値は以下の通りです。デフォルト値はありません。 (セクション10を参照してください)
+------+----------+-------------------------------------------------+
| Rank | Keyword | Description |
+------+----------+-------------------------------------------------+
| 0 | current | The file information is from after the reported |
| | | change |
| | | |
| 1 | original | The file information is from before the |
| | | reported change |
+------+----------+-------------------------------------------------+
fstype
FSTypeに
Optional. The type of file system the file resides on. This attribute governs how path names and other attributes are interpreted.
オプション。ファイルシステムの種類は、ファイルが常駐します。この属性は、パス名とその他の属性をどのように解釈するかを決定します。
+------+---------+-------------------------------------+
| Rank | Keyword | Description |
+------+---------+-------------------------------------+
| 0 | ufs | Berkeley Unix Fast File System |
| 1 | efs | Linux "efs" file system |
| 2 | nfs | Network File System |
| 3 | afs | Andrew File System |
| 4 | ntfs | Windows NT File System |
| 5 | fat16 | 16-bit Windows FAT File System |
| 6 | fat32 | 32-bit Windows FAT File System |
| 7 | pcfs | "PC" (MS-DOS) file system on CD-ROM |
| 8 | joliet | Joliet CD-ROM file system |
| 9 | iso9660 | ISO 9660 CD-ROM file system |
+------+---------+-------------------------------------+
file-type
ファイルの種類
Optional. The type of file, as a mime-type.
オプション。 MIMEタイプなど、ファイルの種類、。
The FileAccess class represents the access permissions on a file. The representation is intended to be useful across operating systems.
FileAccessのクラスは、ファイルのアクセス権限を表します。表現は、オペレーティングシステム間で有用であることが意図されます。
The FileAccess class is composed of two aggregate classes, as shown in Figure 23.
図23に示すようにFileAccessのクラスは、2つの集約クラスで構成されています。
+--------------+
| FileAccess |
+--------------+ +------------+
| |<>----------| UserId |
| | +------------+
| | 1..* +------------+
| |<>----------| Permission |
| | +------------+
+--------------+
Figure 23: The FileAccess Class
図23:FileAccessのクラス
The aggregate classes that make up FileAccess are:
FileAccessのを構成する集約クラスは次のとおりです。
UserId
ユーザーID
Exactly one. The user (or group) to which these permissions apply. The value of the "type" attribute must be "user-privs", "group-privs", or "other-privs" as appropriate. Other values for "type" MUST NOT be used in this context.
正確に一つ。これらのアクセス許可が適用されるユーザ(またはグループ)。 「タイプ」属性の値が「ユーザPRIVS」、「グループPRIVS」、または必要に応じて「他PRIVS」でなければなりません。 「タイプ」の他の値は、この文脈で使用してはいけません。
Permission
許可
One or more. ENUM. Level of access allowed. The permitted values are shown below. There is no default value. (See also Section 10.)
一つ以上。 ENUM。許可されるアクセスのレベル。許容値は以下の通りです。デフォルト値はありません。 (セクション10を参照してください)
+------+-------------------+----------------------------------------+
| Rank | Keyword | Description |
+------+-------------------+----------------------------------------+
| 0 | noAccess | No access at all is allowed for this |
| | | user |
| | | |
| 1 | read | This user has read access to the file |
| | | |
| 2 | write | This user has write access to the file |
| | | |
| 3 | execute | This user has the ability to execute |
| | | the file |
| | | |
| 4 | search | This user has the ability to search |
| | | this file (applies to "execute" |
| | | permission on directories in Unix) |
| | | |
| 5 | delete | This user has the ability to delete |
| | | this file |
| | | |
| 6 | executeAs | This user has the ability to execute |
| | | this file as another user |
| | | |
| 7 | changePermissions | This user has the ability to change |
| | | the access permissions on this file |
| | | |
| 8 | takeOwnership | This user has the ability to take |
| | | ownership of this file |
+------+-------------------+----------------------------------------+
The "changePermissions" and "takeOwnership" strings represent those concepts in Windows. On Unix, the owner of the file always has "changePermissions" access, even if no other access is allowed for that user. "Full Control" in Windows is represented by enumerating the permissions it contains. The "executeAs" string represents the set-user-id and set-group-id features in Unix.
「changePermissions」と「takeOwnership」の文字列は、Windowsでこれらの概念を表しています。 Unixでは、ファイルの所有者は、常に他のアクセスは、そのユーザーに許可されていない場合でも、「changePermissions」アクセス権を持っています。 Windowsでの「フルコントロール」は、それが含まれている権限を列挙することによって表されます。 "executeAs" 文字列は、UnixにセットユーザIDとset-group-ID機能を表します。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Permission EMPTY > <!ATTLIST Permission perms %attvals.fileperm; #REQUIRED %attlist.global; >
<!ELEMENT許可EMPTY> <!ATTLIST許可パーマの%のattvals.fileperm。 #REQUIRED%attlist.global。 >
<!ENTITY % attvals.fileperm "( noAccess | read | write | execute | search | delete | executeAs | changePermissions | takeOwnership)" >
<ENTITY%のattvals.fileperm! "(NOACCESS |読む|書き込み|実行|検索|削除| executeAs | changePermissions | takeOwnership)">
The Linkage class represents file system connections between the file described in the <File> element and other objects in the file system. For example, if the <File> element is a symbolic link or shortcut, then the <Linkage> element should contain the name of the object the link points to. Further information can be provided about the object in the <Linkage> element with another <File> element, if appropriate.
リンケージクラスは、ファイルシステム内の<ファイル>要素と他のオブジェクトに記述されたファイル間でファイル・システムの接続を表します。例えば、<ファイル>場合要素は、シンボリックリンクまたはショートカット、その後<リンク>要素は、リンクポイントにオブジェクトの名前を含むべきです。適切であればさらなる情報は、別の<ファイル>要素と<リンク>要素のオブジェクトについて提供することができます。
The Linkage class is composed of three aggregate classes, as shown in Figure 24.
図24に示すように、リンケージクラスは3つの集合体のクラスから構成されています。
+--------------+
| Linkage |
+--------------+ +------+
| |<>----------| name |
| | +------+
| | +------+
| |<>----------| path |
| | +------+
| | +------+
| |<>----------| File |
| | +------+
+--------------+
Figure 24: The Linkage Class
図24:リンケージクラス
The aggregate classes that make up Linkage are:
リンケージを構成する集約クラスは次のとおりです。
name
名前
Exactly one. STRING. The name of the file system object, not including the path.
正確に一つ。 STRING。パスを含まないファイル・システム・オブジェクトの名前。
path
道
Exactly one. STRING. The full path to the file system object, including the name. The path name should be represented in as "universal" a manner as possible, to facilitate processing of the alert.
正確に一つ。 STRING。名を含むファイル・システム・オブジェクトへの完全なパス。パス名は、アラートの処理を容易にするために、可能な限りの方法「ユニバーサル」として表現されなければなりません。
File
ファイル
Exactly one. A <File> element may be used in place of the <name> and <path> elements if additional information about the file is to be included.
正確に一つ。ファイルに関する追加情報が含まれるようにする場合は、<ファイル>要素は、<name>と<パス>要素の代わりに使用することができます。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.linkcat " ( hard-link | mount-point | reparse-point | shortcut | stream | symbolic-link ) ">
<!ENTITY%以下のattvals.linkcat「(ハードリンク|マウントポイント|再解析ポイント|ショートカット|ストリーム|シンボリック・リンク)」>
<!ELEMENT Linkage ( (name, path) | File )> <!ATTLIST Linkage category %attvals.linkcat; #REQUIRED %attlist.global; >
<!ELEMENTリンケージ((名前、パス)|ファイル)> <ATTLISTリンケージカテゴリ%attvals.linkcat!; #REQUIRED%attlist.global。 >
The Linkage class has one attribute:
リンケージクラスは、1つの属性があります。
category
カテゴリー
The type of object that the link describes. The permitted values are shown below. There is no default value. (See also Section 10.)
リンクが記述するオブジェクトのタイプ。許容値は以下の通りです。デフォルト値はありません。 (セクション10を参照してください)
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | hard-link | The <name> element represents another name |
| | | for this file. This information may be |
| | | more easily obtainable on NTFS file |
| | | systems than others. |
| | | |
| 1 | mount-point | An alias for the directory specified by |
| | | the parent's <name> and <path> elements. |
| | | |
| 2 | reparse-point | Applies only to Windows; excludes symbolic |
| | | links and mount points, which are specific |
| | | types of reparse points. |
| | | |
| 3 | shortcut | The file represented by a Windows |
| | | "shortcut". A shortcut is distinguished |
| | | from a symbolic link because of the |
| | | difference in their contents, which may be |
| | | of importance to the manager. |
| | | |
| 4 | stream | An Alternate Data Stream (ADS) in Windows; |
| | | a fork on MacOS. Separate file system |
| | | entity that is considered an extension of |
| | | the main <File>. |
| 5 | symbolic-link | The <name> element represents the file to |
| | | which the link points. |
+------+---------------+--------------------------------------------+
The Inode class is used to represent the additional information contained in a Unix file system i-node.
iノードクラスは、UNIXファイル・システムのiノードに含まれる付加情報を表すために使用されます。
The Inode class is composed of six aggregate classes, as shown in Figure 25.
図25に示すように、iノードクラスは、6つの集約クラスで構成されています。
+--------------+
| Inode |
+--------------+ +----------------+
| |<>----------| change-time |
| | +----------------+
| | +----------------+
| |<>----------| number |
| | +----------------+
| | +----------------+
| |<>----------| major-device |
| | +----------------+
| | +----------------+
| |<>----------| minor-device |
| | +----------------+
| | +----------------+
| |<>----------| c-major-device |
| | +----------------+
| | +----------------+
| |<>----------| c-minor-device |
| | +----------------+
+--------------+
Figure 25: The Inode Class
図25:iノードクラス
The aggregate classes that make up Inode are:
iノードを構成する集約クラスは次のとおりです。
change-time
変更時
Zero or one. DATETIME. The time of the last inode change, given by the st_ctime element of "struct stat".
ゼロまたは1つ。日付時刻。 「構造体スタット」のファイルのst_ctime要素によって与えられた最後のinode変更時刻、。
number
数
Zero or one. INTEGER. The inode number.
ゼロまたは1つ。整数。 iノード番号。
major-device
主要な機器
Zero or one. INTEGER. The major device number of the device the file resides on.
ゼロまたは1つ。整数。デバイスのメジャーデバイス番号は、ファイルが常駐します。
minor-device
マイナーデバイス
Zero or one. INTEGER. The minor device number of the device the file resides on.
ゼロまたは1つ。整数。デバイスのマイナーデバイス番号は、ファイルが常駐します。
c-major-device
C-主要な機器
Zero or one. INTEGER. The major device of the file itself, if it is a character special device.
ゼロまたは1つ。整数。ファイル自体の主要なデバイスは、場合には、文字型特殊デバイスです。
c-minor-device
C-マイナーデバイス
Zero or one. INTEGER. The minor device of the file itself, if it is a character special device.
ゼロまたは1つ。整数。ファイル自体のマイナーデバイスは、場合には、文字型特殊デバイスです。
Note that <number>, <major-device>, and <minor-device> must be given together, and the <c-major-device> and <c-minor-device> must be given together.
<番号>、<主要なデバイス>ことに注意してください、そして、<マイナー装置>一緒に与えられなければならない、そして、<C-メジャーデバイス>と<C-マイナー装置>一緒に与えられなければなりません。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ELEMENT Inode ( change-time?, (number, major-device, minor-device)?, (c-major-device, c-minor-device)? )> <!ATTLIST Inode %attlist.global; >
<!ELEMENT iノード(変更時?(番号、主要な機器、マイナー・デバイス)?(C-主要なデバイス、C-マイナーデバイス)?)> <ATTLIST iノード%attlist.global!。 >
The Checksum class represents checksum information associated with the file. This checksum information can be provided by file integrity checkers, among others.
チェックサムのクラスは、ファイルに関連付けられたチェックサム情報を表します。このチェックサム情報は、とりわけ、ファイルの整合性チェッカーによって提供することができます。
The checksum class is composed of two aggregate classes, as shown in Figure 26.
図26に示すように、チェックサムクラスは二つの集合体のクラスから構成されています。
+--------------+
| Checksum |
+--------------+ +-------+
| algorithm |<>----------| value |
| | +-------+
| | 0..1+-------+
| |<>----------| key |
| | +-------+
+--------------+
Figure 26: The Checksum Class
図26:チェックサムクラス
The aggregate classes that make up Checksum are:
チェックサムを構成する集約クラスは次のとおりです。
value
値
Exactly one. STRING. The value of the checksum.
正確に一つ。 STRING。チェックサムの値。
key
キー
Zero or one. STRING. The key to the checksum, if appropriate.
ゼロまたは1つ。 STRING。チェックサムの鍵、適切な場合。
This is represented in the IDMEF DTD as follows:
これは、次のようにIDMEF DTDで表現されています。
<!ENTITY % attvals.checksumalgos " ( MD4 | MD5 | SHA1 | SHA2-256 | SHA2-384 | SHA2-512 | CRC-32 | Haval | Tiger | Gost ) ">
<!Ntat%Tvels.hkasmljs "(D-4 | Mdech |沙1 | Haekht | SHA -384 |喜ん-512 | Hrkaai |コンサート|ティガー| Joostの)">
<!ELEMENT Checksum ( value, key? )> <!ATTLIST Checksum algorithm %attvals.checksumalgos; #REQUIRED %attlist.global; >
!<!ELEMENTチェックサム(?値、キー)> <ATTLISTチェックサムアルゴリズム%のattvals.checksumalgos。 #REQUIRED%attlist.global。 >
The Checksum class has one attribute:
チェックサムクラスは、1つの属性があります。
algorithm
アルゴリズム
The cryptographic algorithm used for the computation of the checksum. The permitted values are shown below. There is no default value. (See also Section 10.)
チェックサムの計算に使用する暗号アルゴリズム。許容値は以下の通りです。デフォルト値はありません。 (セクション10を参照してください)
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | MD4 | The MD4 algorithm. |
| | | |
| 1 | MD5 | The MD5 algorithm. |
| | | |
| 2 | SHA1 | The SHA1 algorithm. |
| | | |
| 3 | SHA2-256 | The SHA2 algorithm with 256 bits length. |
| | | |
| 4 | SHA2-384 | The SHA2 algorithm with 384 bits length. |
| | | |
| 5 | SHA2-512 | The SHA2 algorithm with 512 bits length. |
| | | |
| 6 | CRC-32 | The CRC algorithm with 32 bits length. |
| | | |
| 7 | Haval | The Haval algorithm. |
| | | |
| 8 | Tiger | The Tiger algorithm. |
| | | |
| 9 | Gost | The Gost algorithm. |
+------+----------+------------------------------------------+
As intrusion detection systems evolve, the IDMEF data model and DTD will have to evolve along with them. To allow new features to be added as they are developed, both the data model and the DTD can be extended as described in this section. As these extensions mature, they can then be incorporated into future versions of the specification.
侵入検知システムが進化するにつれ、IDMEFデータモデルとDTDは、彼らと一緒に進化する必要があります。このセクションで説明するように、彼らが開発される新しい機能を追加することができるようにするには、データモデルとDTDの両方を拡張することができます。これらの拡張機能が成熟するにつれ、彼らはその後、仕様の将来のバージョンに組み込むことができます。
There are two mechanisms for extending the IDMEF data model, inheritance and aggregation:
IDMEFデータモデル、継承と集約を拡張するための2つのメカニズムがあります。
o Inheritance denotes a superclass/subclass type of relationship where the subclass inherits all the attributes, operations, and relationships of the superclass. This type of relationship is also called a "is-a" or "kind-of" relationship. Subclasses may have additional attributes or operations that apply only to the subclass and not to the superclass.
O継承サブクラスは、スーパークラスのすべての属性、操作、および関係を継承関係のスーパークラス/サブクラスの種類を表します。このタイプの関係も、「ある-A」または「種類-の」関係と呼ばれています。サブクラスはサブクラスにしていないスーパークラスに適用される追加の属性や操作を有することができます。
o Aggregation is a form of association in which the whole is related to its parts. This type of relationship is also referred to as a "part-of" relationship. In this case, the aggregate class contains all of its own attributes and as many of the attributes associated with its parts as required and specified by occurrence indicators.
O凝集は全体がその部分に関連した関連付けの一形態です。このタイプの関係は、「パートの」関係と呼ばれています。この場合、集約クラスは、それ自身のすべての属性、および必要と発生インジケータによって指定されるように、その部分に関連付けられた属性の多くを含んでいます。
Of the two mechanisms, inheritance is preferred, because it preserves the existing data model structure and also preserves the operations (methods) executed on the classes of the structure.
それは、既存のデータモデル構造を保存し、また、構造のクラスで実行されるオペレーション(メソッド)を保存するための二つのメカニズムのうち、継承が好ましいです。
Note that the rules for extending the IDMEF DTD (see below) set limits on the places where extensions to the data model may be made.
IDMEF DTD(下記参照)を拡張するためのルールは、データ・モデルへの拡張を行うことができる場所に制限を設定することに留意されたいです。
There are two ways to extend the IDMEF DTD:
IDMEF DTDを拡張する2つの方法があります。
1. The AdditionalData class (see Section 4.2.4.6) allows implementors to include arbitrary "atomic" data items (integers, strings, etc.) in an Alert or Heartbeat message. This approach SHOULD be used whenever possible. See Section 7.4 and Section 7.5.
1. AdditionalDataクラス(セクション4.2.4.6を参照)を実装アラートまたはハートビートメッセージの任意の「アトミック」のデータ項目(整数、文字列など)を含めることができます。このアプローチは、可能な限り使用されるべきです。 7.4節および7.5節を参照してください。
2. The AdditionalData class allows implementors to extend the IDMEF DTD with additional DTD "modules" that describe arbitrarily complex data types and relationships. The remainder of this section describes this extension method.
2. AdditionalDataクラスは、実装が任意の複雑なデータ型との関係を記述する追加のDTD「モジュール」とIDMEF DTDを拡張することを可能にします。このセクションの残りは、この拡張方法について説明します。
To extend the IDMEF DTD with a new DTD "module", the following steps MUST be followed:
新しいDTD「モジュール」とIDMEF DTDを拡張するには、次の手順に従う必要があります。
1. The document declaration MUST define a DTD location that defines the namespace and contains the location of the extension DTD, and then reference that namespace.
1.文書宣言は、名前空間を定義し、拡張DTDの場所が含まれているDTDの場所を定義し、その名前空間を参照する必要があります。
2. Multiple extensions may be included by defining multiple namespaces and DTD locations, and referencing them.
2.複数の拡張子は、複数の名前空間とDTDの位置を定義し、それらを参照することにより含まれてもよいです。
3. Extension DTDs MUST declare all of their elements and attributes in a separate XML namespace. Extension DTDs MUST NOT declare any elements or attributes in the "idmef" or default namespaces.
3.拡張DTDは別のXML名前空間にその要素と属性のすべてを宣言する必要があります。拡張DTDは「IDMEF」またはデフォルトの名前空間内の任意の要素や属性を宣言してはなりません。
4. Extensions MUST only be included in IDMEF Alert and Heartbeat messages under an <AdditionalData> element whose "type" attribute contains the value "xml". For example:
4.拡張は、唯一の「type」属性の値が「XML」を含んで<AdditionalData>要素の下IDMEFアラートやハートビートメッセージに含まれなければなりません。例えば:
In this example, the "vendorco" namespace is defined and then referenced, causing the DTD for the extension to be read by the XML parser.
この例では、「vendorco」名前空間は、XMLパーサーによって読み取られる拡張のためのDTDを引き起こし、定義され、参照されています。
<idmef:IDMEF-Message version="1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:idmef="http://iana.org/idmef" xmlns:vendorco="http://vendor.com/idmef" xsi:schemaLocation="http://vendor.com/idmef http://v.com/vidmef.xsd">
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:XSI = "http://www.w3.org/2001/XMLSchema-instance" のxmlns:IDMEF = "http://iana.org/idmef" のxmlns:vendorco = "http://vendor.com/idmef" のxsi:schemaLocationの= "http://vendor.com/idmef http://v.com/vidmef.xsd">
<idmef:Alert messageid="..."> ... <idmef:AdditionalData type="xml" meaning="VendorExtension"> <idmef:xml> <vendorco:TestVendor a="attribute of example" xmlns:vendorco="http://vendor.com/idmef" xsi:schemaLocation="http://vendor.com/idmef http://v.com/vidmef.xsd"> <vendorco:content>content element of example</vendorco:content> </vendorco:TestVendor> </idmef:xml> </idmef:AdditionalData> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:警告イベントID = "... "> ... <IDMEF:AdditionalDataタイプ=" XML" の意味= "VendorExtension"> <IDMEF:XML> <vendorco:TestVendor = "属性の例の" のxmlns:vendorco = "http://vendor.com/idmef" XSI:のschemaLocation = "http://vendor.com/idmef http://v.com/vidmef.xsd"> <vendorco:例のコンテンツ>コンテンツ要素</ vendorco :コンテンツ> </ vendorco:TestVendor> </ IDMEF:XML> </ IDMEF:AdditionalData> </ IDMEF:アラート> </ IDMEF:IDMEF、メッセージ>
See Section 7.8 for another example of extending the IDMEF DTD.
IDMEF DTDを拡張する別の例については、セクション7.8を参照してください。
This section discusses some of the special considerations that must be taken into account by implementors of the IDMEF.
このセクションでは、IDMEFの実装者によって考慮されなければならない特別な考慮事項のいくつかについて説明します。
It is expected that IDMEF-compliant applications will not normally include the IDMEF DTD itself in their communications. Instead, the DTD will be referenced in the document type definition in the IDMEF message. Such IDMEF documents will be well-formed and valid as defined in [3].
IDMEF準拠のアプリケーションは通常、彼らのコミュニケーションにIDMEF DTD自体は含まれないと予想されます。代わりに、DTDはIDMEFメッセージに文書型定義で参照されます。 [3]で定義されるようなIDMEF文書は整形式と有効であろう。
Other IDMEF documents will be specified that do not include the document prolog (e.g., entries in an IDMEF-format database). Such IDMEF documents will be well-formed but not valid.
その他IDMEF文書は、文書のプロローグ(IDMEF形式のデータベースでは、例えば、エントリ)が含まれないように指定します。このようなIDMEF文書は整形式が、有効ではありませんになります。
Generally, well-formedness implies that a document has a single element that contains everything else (e.g., "<Book>") and that all the other elements nest nicely within each other without any overlapping (e.g., a "chapter" does not start in the middle of another "chapter").
一般的に、整形式は、任意の重複せずにうまくお互い内の文書は他のすべてを含む単一の要素(例えば、「<ブック>」)を有し、他のすべての要素の巣ということを意味し(例えば、「章」起動しません別の「章」)の真ん中インチ
Validity further implies that not only is the document well-formed, but it also follows specific rules (contained in the Document Type Definition) about which elements are "legal" in the document, how those elements nest within other elements, and so on (e.g., a "chapter" does not begin in the middle of a "title"). A document cannot be valid unless it references a DTD.
(さらに妥当性は、文書が整形されていないことを意味し、それはまた、どのようにそれらの他の要素内の要素をネスト、というように、要素は文書で「法的」されているかについて(文書型定義に含まれる)は、特定のルールに従います例えば、「章」、「タイトル」の途中で開始されません)。それはDTDを参照しない限り、文書が有効であることはできません。
XML processors are required to be able to parse any well-formed document, valid or not. The purpose of validation is to make the processing of that document (what's done with the data after it's parsed) easier. Without validation, a document may contain elements in nonsense order, elements "invented" by the author that the processing application doesn't understand, and so forth.
XMLプロセッサが有効かどうか、任意の整形式文書を解析することができるように要求されています。検証の目的は、その文書の処理は、(それが解析されています後のデータで行われているもの)容易にするためです。検証なしで、文書はナンセンス順序で要素を含むことができ、処理アプリケーションなどを理解せず、作者の要素「考案」。
IDMEF documents MUST be well-formed. IDMEF documents SHOULD be valid whenever both possible and practical.
IDMEF文書は整形式でなければなりません。可能かつ実用的たびIDMEF文書が有効である必要があります。
On occasion, an IDMEF-compliant application may receive a well-formed, or even well-formed and valid, IDMEF message containing tags that it does not understand. The tags may be either:
機会に、IDMEF準拠のアプリケーションは、整形、あるいは、よく形成され、有効なIDMEFメッセージが、それは理解していないタグを含む受け取ることができます。タグはいずれであってもよいです。
o Recognized as "legitimate" (a valid document), but the application does not know the semantic meaning of the element's content; or
O(有効な文書)「合法的」として認識が、アプリケーションは、要素の内容の意味論的な意味を知りません。または
o Not recognized at all.
O全く認められません。
IDMEF-compliant applications MUST continue to process IDMEF messages that contain unknown tags, provided that such messages meet the well-formedness requirement of Section 6.1. It is up to the individual application to decide how to process (or ignore) any content from the unknown elements(s).
IDMEF準拠のアプリケーションでは、このようなメッセージは、セクション6.1の整形式の要件を満たしていなければならない未知のタグを含むメッセージを、IDMEF処理を継続しなければなりません。これは、未知の要素(複数可)から任意のコンテンツを処理する(または無視)する方法を決定するために、個々のアプリケーションに任されています。
Synchronization of time-of-day clocks between analyzers and managers is outside the scope of this document. However, the following comments and suggestions are offered:
アナライザとマネージャ間の時刻クロックの同期は、この文書の範囲外です。ただし、以下のコメントや提案が提供されています。
1. Whenever possible, all analyzers and managers should have their time-of-day clocks synchronized to an external source such as NTP [7] or SNTP [8] Global Positioning System (GPS), Geosynchronous Operational Environmental Satellite (GOES), NIST radio station WWV clocks, or some other reliable time standard.
1.可能な限り、すべての分析装置と管理者は、NTPなどの外部ソースと同期その時刻クロックを有するべきである[7]またはSNTP [8]全地球測位システム(GPS)、静止軌道運用環境衛星(GOES)、NISTラジオ局WWVクロック、または他のいくつかの信頼できる時刻標準。
2. When external time synchronization is not possible, the IDMEF provides the <AnalyzerTime> element, which may be used to perform rudimentary time synchronization (see below).
外部時刻同期が可能でない場合、IDMEFは、初歩的な時間同期を実行するために使用することができる<AnalyzerTime>要素を、(下記参照)を提供する2。
3. IDMEF-compliant applications SHOULD permit the user to enable/ disable the <AnalyzerTime> method of time synchronization as a configuration option.
3. IDMEF準拠のアプリケーションは、設定オプションとして、時刻同期の<AnalyzerTime>メソッドを有効/無効をユーザーに許可すべきです。
A number of caveats apply to the use of <AnalyzerTime> for time synchronization:
警告の数は、時刻同期のための<AnalyzerTime>の使用に適用されます。
1. <AnalyzerTime> works best in a "flat" environment where analyzers report up to a single level of managers. When a tree topology of high-level managers, intermediate relays, and analyzers is used, the problem becomes more complex.
1. <AnalyzerTime>アナライザは、経営者の単一レベルまで報告「フラット」の環境で最適に動作します。高レベルの管理職、中間リレー、及びアナライザのツリートポロジーを使用する場合、問題はより複雑になります。
2. When intermediate message relays (managers or otherwise) are involved, two scenarios are possible:
中間メッセージ・リレー(管理者またはその他)が関与している2. 2つのシナリオが考えられます。
* The intermediaries may forward entire IDMEF messages, or may
perform aggregation or correlation, but MUST NOT inject delay.
In this case, time synchronization is end-to-end between the
analyzer and the highest-level manager.
* The intermediaries may inject delay, due to storage or additional processing. In this case, time synchronization MUST be performed at each hop. This means each intermediary must decompose the IDMEF message, adjust all time values, and then reconstruct the message before sending it on.
*媒体は貯蔵またはさらなる処理のために遅延を噴射することができます。この場合、時刻同期は、各ホップで行われなければなりません。これは、各仲介は、IDMEFメッセージを分解するすべての時間の値を調整して、それを送信する前にメッセージを再構築しなければならないことを意味します。
3. When the environment is mixed, with some analyzers and managers using external time synchronization and some not, all managers and intermediaries must perform <AnalyzerTime> synchronization. This is because determining whether or not compensation is actually needed between two parties rapidly becomes very complex, and requires knowledge of other parts of the topology.
3.環境が外部の時刻同期を使用して、いくつかのアナライザや管理者と、混合され、一部ではない場合は、すべての経営者や仲介業者は、<AnalyzerTime>同期を実行する必要があります。補償は、実際に急速に二者間で必要とされているかどうかを決定することは非常に複雑になり、トポロジーの他の部分の知識を必要とするからです。
4. If an alert can take alternate paths, or be stored in multiple locations, the recorded times may be different depending on the path taken.
4.アラートが代替パスを取ることができ、または複数の場所に格納される場合、記録された時間がとる経路に依存して異なっていてもよいです。
The above being said, <AnalyzerTime> synchronization is probably still better than nothing in many environments. To implement this type of synchronization, the following procedure is suggested:
上記は、<AnalyzerTime>同期はおそらくまだ多くの環境では何もないよりはましである、言われています。このタイプの同期を実装するには、以下の手順が推奨されます。
1. When an analyzer or manager sends an IDMEF message, it should place the current value of its time-of-day clock in an <AnalyzerTime> element. This should occur as late as possible in the message transmission process, ideally right before the message is "put on the wire".
アナライザまたはマネージャはIDMEFメッセージを送信する1は、それが<AnalyzerTime>要素にその時刻クロックの現在の値を置くべきです。これは、メッセージは「ワイヤの上に置く」で理想的に前に、メッセージの送信処理にできるだけ遅く起こるべきです。
2. When a manager receives an IDMEF message, it should compute the difference between its own time-of-day clock and the time in the <AnalyzerTime> element of the message. This difference should then be used to adjust the times in the <CreateTime> and <DetectTime> elements (NTP timestamps should also be adjusted).
マネージャはIDMEFメッセージを受信したとき2.、それはそれ自身の時刻クロックとメッセージの<AnalyzerTime>要素内の時刻の差を計算しなければなりません。この差は、次いで、<CREATETIME>に回<DetectTime>要素(NTPタイムスタンプも調整しなければならない)を調節するために使用されるべきです。
3. If the manager is an intermediary and sends the IDMEF message on to a higher-level manager, and hop-by-hop synchronization is in effect, it should regenerate the <AnalyzerTime> value to contain the value of its own time-of-day clock.
3.マネージャは、中間であり、高レベルのマネージャ上にIDMEFメッセージを送信し、ホップバイホップ同期が有効になっている、それはそれ自身の時間の値を格納する<AnalyzerTime>値を再生成する必要がある場合日間の時計。
From [8]:
:[8]から
Note that, since some time in 1968 (second 2,147,483,648) the most significant bit (bit 0 of the integer part) has been set and that the 64-bit field will overflow some time in 2036 (second 4,294,967,296). Should NTP or SNTP be in use in 2036, some external means will be necessary to qualify time relative to 1900 and time relative to 2036 (and other multiples of 136 years). There will exist a 200-picosecond interval, henceforth ignored, every 136 years when the 64-bit field will be 0, which by convention is interpreted as an invalid or unavailable timestamp.
1968年にいくつかの時間(秒2,147,483,648)の最上位ビット(整数部のビット0)が設定されているので、なお、64ビットのフィールドは、2036年にいくつかの時間(秒4,294,967,296)をオーバーフローすること。 NTPまたはSNTPは、2036年に使用にする必要があり、いくつかの外部手段は、2036年に1900年に比べて時間と時間の相対を修飾する必要がある(と136年の他の倍数)されます。 64ビットのフィールドは、慣例により無効または利用できないタイムスタンプとして解釈され、0になりときごとに136年、今後無視、200ピコ秒の間隔が存在します。
IDMEF-compliant applications MUST NOT send a zero-valued NTP timestamp unless they mean to indicate that it is invalid or unavailable. If an IDMEF-compliant application must send an IDMEF message at the time of rollover, the application should wait for 200 picoseconds until the timestamp will have a non-zero value.
彼らはそれが無効または使用できないことを示すために意味しない限り、IDMEF準拠のアプリケーションでは、ゼロ値のNTPタイムスタンプを送ってはいけません。 IDMEF準拠のアプリケーションは、ロールオーバー時にIDMEFメッセージを送信する必要がある場合は、タイムスタンプがゼロ以外の値を持つことになりますまで、アプリケーションが200ピコ秒待つ必要があります。
Also from [8]:
また、[8]から:
As the NTP timestamp format has been in use for the last 17 years, it remains a possibility that it will be in use 40 years from now when the seconds field overflows. As it is probably inappropriate to archive NTP timestamps before bit 0 was set in 1968, a convenient way to extend the useful life of NTP timestamps is the following convention:
NTPタイムスタンプ形式は、最後の17年間使用されているとおり、それは40年、今からの秒フィールドがオーバーフローし、使用中になる可能性のまま。ビット0が1968年に設定された前に、それはおそらく、NTPタイムスタンプをアーカイブすることは不適切であるとして、NTPタイムスタンプの耐用年数を延長するための便利な方法は、以下の規則です。
If bit 0 is set, the UTC time is in the range 1968-2036 and UTC time is reckoned from 0h 0m 0s UTC on 1 January 1900.
ビット0が設定されている場合は、UTC時間が範囲1968から2036とUTC時間である1900年1月1日にUTC 0 0Hの0メートルから起算されます。
If bit 0 is not set, the time is in the range 2036-2104 and UTC time is reckoned from 6h 28m 16s UTC on 7 February 2036.
ビット0が設定されていない場合、時間は2036年2月7日に6時間28メートルの16SのUTCから起算される範囲2036から2104とUTC時間です。
Note that when calculating the correspondence, 2000 is not a leap year. Note also that leap seconds are not counted in the reckoning.
対応を計算する際に、2000年がうるう年ではないことに注意してください。注意また、そのうるう秒は審判にカウントされません。
IDMEF-compliant applications in use after 2036-02-07T06:28:16Z MUST adhere to the above convention.
2036-02-07T06後に、使用中のIDMEFに準拠したアプリケーション:28:16Zは、上記の規則に従わなければなりません。
Standard XML digital signature processing rules and syntax are specified in [13]. XML Signatures provide integrity, message authentication, and/or signer authentication services for data of any type, whether located within the XML that includes the signature or elsewhere.
標準XMLデジタル署名処理ルールと構文は[13]で指定されています。 XML署名は他の場所で署名またはを含むXML内に位置するかどうか、任意のタイプのデータのための整合性、メッセージ認証、及び/又は署名者の認証サービスを提供します。
The IDMEF requirements document [2] assigns responsibility for message integrity and authentication to the communications protocol, not the message format. However, in situations where IDMEF messages are exchanged over other, less secure protocols, or in cases where the digital signatures must be archived for later use, the inclusion of digital signatures within an IDMEF message itself may be desirable.
IDMEF要件文書[2]通信プロトコルではなく、メッセージフォーマットにメッセージの完全性及び認証の責任を割り当てます。しかし、IDMEFメッセージは他の、あまり安全なプロトコルを介して交換される状況において、またはデジタル署名は、後の使用のためにアーカイブされなければならない場合には、IDMEFメッセージ自体の中のデジタル署名を含めることは望ましいかもしれません。
Specifications for the use of digital signatures within IDMEF messages are outside the scope of this document. However, if such functionality is needed, use of the XML Signature standard is RECOMMENDED.
IDMEFメッセージ内のデジタル署名の使用のための仕様は、この文書の範囲外です。このような機能が必要な場合は、XML署名標準の使用が推奨されます。
The examples shown in this section demonstrate how the IDMEF is used to encode alert data. These examples are for illustrative purposes only, and do not necessarily represent the only (or even the "best") way to encode these particular alerts. These examples should not be taken as guidelines on how alerts should be classified.
このセクションで示される例は、IDMEFアラートデータを符号化するために使用される方法を示します。これらの例は、説明のみを目的としており、必ずしもこれらの特定のアラートをエンコードする唯一の(あるいは「最善」)の方法を表すものではありません。これらの例は、アラートが分類されるべき方法のガイドラインとして取られるべきではありません。
The following examples show how some common denial-of-service attacks could be represented in the IDMEF.
次の例では、いくつかの一般的なサービス拒否攻撃がIDMEFで表すことができる方法を示しています。
Network-based detection of the "teardrop" attack. This shows the basic format of an alert.
「ティアドロップ」攻撃のネットワークベースの検出。これは、アラートの基本的な形式を示しています。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message xmlns:idmef="http://iana.org/idmef" version="1.0"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer01"> <idmef:Node category="dns"> <idmef:location>Headquarters DMZ Network</idmef:location> <idmef:name>analyzer01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc723b45.0xef449129"> 2000-03-09T10:01:25.93464-05:00 </idmef:CreateTime> <idmef:Source ident="a1b2c3d4"> <idmef:Node ident="a1b2c3d4-001" category="dns"> <idmef:name>badguy.example.net</idmef:name> <idmef:Address ident="a1b2c3d4-002" category="ipv4-net-mask"> <idmef:address>192.0.2.50</idmef:address> <idmef:netmask>255.255.255.255</idmef:netmask> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="d1c2b3a4"> <idmef:Node ident="d1c2b3a4-001" category="dns"> <idmef:Address category="ipv4-addr-hex"> <idmef:address>0xde796f70</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Classification text="Teardrop detected"> <idmef:Reference origin="bugtraqid"> <idmef:name>124</idmef:name> <idmef:url>http://www.securityfocus.com/bid/124</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert>
<IDMEF:IDMEF-のメッセージのxmlns:IDMEF = "http://iana.org/idmef" バージョン= "1.0"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "HQ-DMZ-analyzer01" > <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:場所>本社DMZネットワーク</ IDMEF:場所> <IDMEF:名> analyzer01.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF :分析> <IDMEF:CREATETIME ntpstamp = "0xbc723b45.0xef449129"> 2000-03-09T10:01:25.93464から05:00 </ IDMEF:CREATETIME> <IDMEF:ソースIDENT = "a1b2c3d4"> <IDMEF:ノードIDENT = "a1b2c3d4-001" カテゴリ= "DNS"> <IDMEF:名> badguy.example.net </ IDMEF:名> <IDMEF:住所IDENT = "a1b2c3d4-002" カテゴリ= "IPv4のネットマスク"> <IDMEF :アドレス> 192.0.2.50 </ IDMEF:アドレス> <IDMEF:ネットマスク> 255.255.255.255 </ IDMEF:ネットマスク> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:ソース> <IDMEF:目標IDENT = "d1c2b3a4"> <IDMEF:ノードのident = "d1c2b3a4-001" カテゴリ= "DNS"> <IDMEF:住所カテゴリ= "のIPv4-addrに-進"> <IDMEF:アドレス> 0xde796f70 </ IDMEF:アドレス> </ IDMEF :アドレス> </ IDMEF:ノード> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "ティアドロップ検出された "> <IDMEF:基準原点=" bugtraqid "> <IDMEF:名前> 124 </ IDMEF:名> <IDMEF:URL> http://www.securityfocus.com/bid/124 </ IDMEF:URL> < / IDMEF:リファレンス> </ IDMEF:分類> </ IDMEF:アラート>
</idmef:IDMEF-Message>
</ IDMEF:IDMEF-のメッセージ>
Network-based detection of the "ping of death" attack. Note the identification of multiple targets, and the identification of the source as a spoofed address.
「ピング死の」攻撃のネットワークベースの検出。複数のターゲットの同定、およびスプーフィングされたアドレスとソースの識別に注意してください。
NOTE: The URL has been cut to fit the IETF formating requirements.
注:URLは、IETF整形要件に合わせてカットされています。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-sensor01"> <idmef:Node category="dns"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc71f4f5.0xef449129"> 2000-03-09T10:01:25.93464Z </idmef:CreateTime> <idmef:Source ident="a1a2" spoofed="yes"> <idmef:Node ident="a1a2-1"> <idmef:Address ident="a1a2-2" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="b3b4"> <idmef:Node> <idmef:Address ident="b3b4-1" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Target ident="c5c6"> <idmef:Node ident="c5c6-1" category="nisplus"> <idmef:name>lollipop</idmef:name> </idmef:Node> </idmef:Target> <idmef:Target ident="d7d8"> <idmef:Node ident="d7d8-1"> <idmef:location>Cabinet B10</idmef:location> <idmef:name>Cisco.router.b10</idmef:name> </idmef:Node> </idmef:Target>
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "BC-sensor01"> < IDMEF:ノードカテゴリ= "DNS"> <IDMEF:名> sensor.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc71f4f5.0xef449129"> 2000 01::-03-09T10 25.93464Z </ IDMEF:CREATETIME> <IDMEF:ソースIDENT = "A1A2" 詐称= "はい"> <IDMEF:ノードのident = "a1a2-1"> <IDMEF:アドレスIDENT = "A1A2 -2" カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0.2.200 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:ソース> <IDMEF:目標IDENT =」 B3B4 "> <IDMEF:ノード> <IDMEF:アドレスIDENT =" b3b4-1" カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0.2.50 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF :ノード> </ IDMEF:ターゲット> <IDMEF:目標IDENT = "C5C6"> <IDMEF:ノードのident = "c5c6-1" カテゴリ= "nisplusという"> <IDMEF:名>ロリポップ</ IDMEF:名> </ IDMEF:ノード> </ IDMEF:対象> <IDMEF:ターゲットIDENT = "d7d8"> <IDMEF:ノードIDENT = "d7d8-1"> <IDMEF:位置>キャビネットB10 </ IDMEF:場所> <IDMEF:ナムE> Cisco.router.b10 </ IDMEF:名> </ IDMEF:ノード> </ IDMEF:ターゲット>
<idmef:Classification text="Ping-of-death detected"> <idmef:Reference origin="cve"> <idmef:name>CVE-1999-128</idmef:name> <idmef:url>http://www.cve.mitre.org/cgi-bin/ cvename.cgi?name=CVE-1999-128</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:分類テキスト= "ピンポンの死検出"> <IDMEF:基準原点= "CVE"> <IDMEF:名> CVE-1999から128 </ IDMEF:名> <IDMEF:URL>のhttp:// ?www.cve.mitre.org/cgi-bin/ cvename.cgi名= CVE-1999-128 </ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> </ IDMEF:アラート> </ IDMEF :IDMEF-のメッセージ>
The following examples show how some common port scanning attacks could be represented in the IDMEF.
次の例では、いくつかの一般的なポートスキャン攻撃がIDMEFで表すことができる方法を示しています。
Host-based detection of a policy violation (attempt to obtain information via "finger"). Note the identification of the target service, as well as the originating user (obtained, e.g., through RFC 1413 [11]).
ポリシー違反(「指」を介して情報を取得しようとする)のホストベースの検出。ターゲットサービスの識別、ならびに発信ユーザ注(RFC 1413を介して、例えば、得られたが、[11])。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-sensor01"> <idmef:Node category="dns"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72541d.0x00000000"> 2000-03-09T18:47:25+02:00 </idmef:CreateTime> <idmef:Source ident="a123"> <idmef:Node ident="a123-01"> <idmef:Address ident="a123-02" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> <idmef:User ident="q987-03" category="os-device"> <idmef:UserId ident="q987-04" type="target-user"> <idmef:name>badguy</idmef:name> </idmef:UserId> </idmef:User> <idmef:Service ident="a123-03"> <idmef:port>31532</idmef:port>
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "BC-sensor01"> < IDMEF:ノードカテゴリ= "DNS"> <IDMEF:名> sensor.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc72541d.0x00000000"> 2000 -03-09T18:47:25 + 02:00 </ IDMEF:CREATETIME> <IDMEF:ソースIDENT = "A123"> <IDMEF:ノードのident = "a123-01"> <IDMEF:住所IDENT = "a123-02 "カテゴリ=" のIPv4-addrに "> <IDMEF:アドレス> 192.0.2.200 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:ユーザーIDENT =" q987-03" カテゴリ= "OS -device "> <IDMEF:ユーザーID IDENT =" q987-04" タイプ= "ターゲットユーザ"> <IDMEF:名> BadGuyの</ IDMEF:名前> </ IDMEF:ユーザーID> </ IDMEF:ユーザー> <IDMEF。サービスIDENT = "a123-03"> <IDMEF:ポート> 31532 </ IDMEF:ポート>
</idmef:Service> </idmef:Source> <idmef:Target ident="z456"> <idmef:Node ident="z456-01" category="nis"> <idmef:name>myhost</idmef:name> <idmef:Address ident="z456-02" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="z456-03"> <idmef:name>finger</idmef:name> <idmef:port>79</idmef:port> </idmef:Service> </idmef:Target> <idmef:Classification text="Portscan"> <idmef:Reference origin="vendor-specific"> <idmef:name>finger</idmef:name> <idmef:url>http://www.vendor.com/finger</idmef:url> </idmef:Reference> <idmef:Reference origin="vendor-specific" meaning="general documentation"> <idmef:name>Distributed attack</idmef:name> <idmef:url>http://www.vendor.com/distributed</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
</ IDMEF:サービス> </ IDMEF:ソース> <IDMEF:目標IDENT = "z456"> <IDMEF:ノードのident = "z456-01" カテゴリ= "NIS"> <IDMEF:名前>のmyhost </ IDMEF:名前> <IDMEF:アドレスIDENT = "z456-02" カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0.2.50 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:サービスIDENT = "z456-03"> <IDMEF:名>指</ IDMEF:名> <IDMEF:ポート> 79 </ IDMEF:ポート> </ IDMEF:サービス> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "ポートスキャン"> <IDMEF:基準原点= "ベンダー固有の"> <IDMEF:名>指</ IDMEF:名> <IDMEF:URL> http://www.vendor.com/finger </ IDMEF:URL> </ IDMEF:リファレンス> <IDMEF:基準原点= "ベンダー固有の" 意味= "一般的なドキュメント"> <IDMEF:名>分散型攻撃</ IDMEF:名> <IDMEF:URL>のhttp://www.vendor。 COM /分散</ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> </ IDMEF:アラート> </ IDMEF:IDMEF-のメッセージ>
Network-based detection of a port scan. This shows detection by a single analyzer; see Section 7.5 for the same attack as detected by a correlation engine. Note the use of <portlist> to show the ports that were scanned.
ポートスキャンのネットワークベースの検出。これは、単一の分析による検出を示す図です。相関エンジンによって検出されたのと同じ攻撃の7.5節を参照。スキャンされたポートを示す説明<portlist>の使用に注意してください。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer62"> <idmef:Node category="dns"> <idmef:location>Headquarters Web Server</idmef:location> <idmef:name>analyzer62.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72b2b4.0x00000000"> 2000-03-09T15:31:00-08:00
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "HQ-DMZ-analyzer62" > <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:場所>本社Webサーバー</ IDMEF:場所> <IDMEF:名> analyzer62.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF :分析> <IDMEF:CREATETIME ntpstamp = "0xbc72b2b4.0x00000000"> 2000-03-09T15:31:00-08:00
</idmef:CreateTime> <idmef:Source ident="abc01"> <idmef:Node ident="abc01-01"> <idmef:Address ident="abc01-02" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="def01"> <idmef:Node ident="def01-01" category="dns"> <idmef:name>www.example.com</idmef:name> <idmef:Address ident="def01-02" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="def01-03"> <idmef:portlist>5-25,37,42,43,53,69-119,123-514 </idmef:portlist> </idmef:Service> </idmef:Target> <idmef:Classification text="simple portscan"> <idmef:Reference origin="vendor-specific"> <idmef:name>portscan</idmef:name> <idmef:url>http://www.vendor.com/portscan</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
</ IDMEF:CREATETIME> <IDMEF:ソースのident = "abc01"> <IDMEF:ノードのident = "abc01-01"> <IDMEF:アドレスIDENT = "abc01-02" カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0.2.200 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:ソース> <IDMEF:目標のident = "def01"> <IDMEF:ノードのident = "def01-01"カテゴリ= "DNS"> <IDMEF:名> www.example.com </ IDMEF:名> <IDMEF:住所IDENT = "def01-02" カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0.2.50 < / IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:サービスIDENT = "def01-03"> <IDMEF:ポートリスト> 5-25,37,42,43,53,69-119,123- 514 </ IDMEF:ポートリスト> </ IDMEF:サービス> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "シンプルポートスキャン"> <IDMEF:基準原点= "ベンダー固有の"> <IDMEF:名前>ポートスキャン</ IDMEF:名> <IDMEF:URL> http://www.vendor.com/portscan </ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> </ IDMEF:アラート> </ IDMEF:IDMEF-メッセージ>
The following examples show how some common local host attacks could be represented in the IDMEF.
次の例では、いくつかの一般的なローカルホストの攻撃はIDMEFで表すことができる方法を示しています。
Host-based detection of the "loadmodule" exploit. This attack involves tricking the "loadmodule" program into running another program; since "loadmodule" is set-user-id "root", the executed program runs with super-user privileges. Note the use of <User> and <Process> to identify the user attempting the exploit and how he's doing it.
「LoadModuleの」エクスプロイトのホストベースの検出。この攻撃は、別のプログラムを実行しているに「LoadModuleの」プログラムをだまし含まれます。 「LoadModuleのは、」「ルート」ユーザIDを設定されているため、実行されるプログラムは、スーパーユーザー権限で実行されます。ユーザーが活用しようとするとどのように彼はそれをやっている識別するために、<ユーザ>と<プロセス>の使用を注意してください。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789">
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789">
<idmef:Analyzer analyzerid="bc-fs-sensor13"> <idmef:Node category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> <idmef:Process> <idmef:name>monitor</idmef:name> <idmef:pid>8956</idmef:pid> <idmef:arg>monitor</idmef:arg> <idmef:arg>-d</idmef:arg> <idmef:arg>-m</idmef:arg> <idmef:arg>idmanager.example.com</idmef:arg> <idmef:arg>-l</idmef:arg> <idmef:arg>/var/logs/idlog</idmef:arg> </idmef:Process> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc7221c0.0x4ccccccc"> 2000-03-09T08:12:32.3-05:00 </idmef:CreateTime> <idmef:Source ident="a1a2"> <idmef:User ident="a1a2-01" category="os-device"> <idmef:UserId ident="a1a2-02" type="original-user"> <idmef:name>joe</idmef:name> <idmef:number>13243</idmef:number> </idmef:UserId> </idmef:User> <idmef:Process ident="a1a2-03"> <idmef:name>loadmodule</idmef:name> <idmef:path>/usr/openwin/bin</idmef:path> </idmef:Process> </idmef:Source> <idmef:Target ident="z3z4"> <idmef:Node ident="z3z4-01" category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> </idmef:Target> <idmef:Classification text="Loadmodule attack" ident="loadmodule"> <idmef:Reference origin="bugtraqid"> <idmef:name>33</idmef:name> <idmef:url>http://www.securityfocus.com</idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:アナライザanalyzerid = "BC-FS-sensor13"> <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:名> fileserver.example.com </ IDMEF:名> </ IDMEF:ノード> <IDMEF:プロセス> <IDMEF:名>モニター</ IDMEF:名> <IDMEF:PID> 8956 </ IDMEF:PID> <IDMEF:引数> </ IDMEFモニター:引数> <IDMEF:引数> -d </ IDMEF:引数> <IDMEF:引数> -m </ IDMEF:引数> <IDMEF:引数> idmanager.example.com </ IDMEF:引数> <IDMEF:引数> -l </ IDMEF:引数> <IDMEF:引数>は/ var /ログ/ idlog </ IDMEF:引数> </ IDMEF:プロセス> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc7221c0.0x4ccccccc"> 2000-03-09T08:12:32.3から05:00 </ IDMEF。 CREATETIME> <IDMEF:ソースのident = "A1A2"> <IDMEF:ユーザーIDENT = "a1a2-01" カテゴリ= "OSデバイス"> <IDMEF:ユーザーID identを= "a1a2-02" タイプ= "オリジナル・ユーザー"> <IDMEF:名>ジョー</ IDMEF:名> <IDMEF:数> 13243 </ IDMEF:番号> </ IDMEF:ユーザーID> </ IDMEF:ユーザー> <IDMEF:プロセスIDENT = "a1a2-03"> <IDMEF :名前>のLoadModule </ IDMEF:名> <IDMEF:パス>は/ usr / openwinを/ binに</ IDMEF:パス> </ IDMEF:プロセス> </ IDMEF:ソース> <IDMEF:目標のident = "z3z4"> < IDMEF:ノードのident = "z3z4-01" カテゴリ= "DNS"> <IDMEF:名> fileserve r.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "LoadModuleの攻撃" のident = "LoadModuleの">:<<IDMEF基準原点= "bugtraqid"> IDMEF:名> 33 </ IDMEF:名> <IDMEF:URL> http://www.securityfocus.com </ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> </ IDMEF:アラート> < / IDMEF:IDMEF-のメッセージ>
The Intrusion Detection System (IDS) could also indicate that the target user is the "root" user, and show the attempted command; the alert might then look like:
侵入検知システム(IDS)は、ターゲットユーザーは「ルート」ユーザーであることを示している、と試みたコマンドを示すことができました。警告は、次のようになります。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-fs-sensor13"> <idmef:Node category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> <idmef:Process> <idmef:name>monitor</idmef:name> <idmef:pid>8956</idmef:pid> <idmef:arg>monitor</idmef:arg> <idmef:arg>-d</idmef:arg> <idmef:arg>-m</idmef:arg> <idmef:arg>idmanager.example.com</idmef:arg> <idmef:arg>-l</idmef:arg> <idmef:arg>/var/logs/idlog</idmef:arg> </idmef:Process> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc7221c0.0x4ccccccc"> 2000-03-09T08:12:32.3-05:00 </idmef:CreateTime> <idmef:Source ident="a1a2"> <idmef:User ident="a1a2-01" category="os-device"> <idmef:UserId ident="a1a2-02" type="original-user"> <idmef:name>joe</idmef:name> <idmef:number>13243</idmef:number> </idmef:UserId> </idmef:User> <idmef:Process ident="a1a2-03"> <idmef:name>loadmodule</idmef:name> <idmef:path>/usr/openwin/bin</idmef:path> </idmef:Process> </idmef:Source> <idmef:Target ident="z3z4"> <idmef:Node ident="z3z4-01" category="dns"> <idmef:name>fileserver.example.com</idmef:name> </idmef:Node> <idmef:User ident="z3z4-02" category="os-device"> <idmef:UserId ident="z3z4-03" type="target-user"> <idmef:name>root</idmef:name> <idmef:number>0</idmef:number> </idmef:UserId>
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "BC-FS-sensor13" > <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:名> fileserver.example.com </ IDMEF:名> </ IDMEF:ノード> <IDMEF:プロセス> <IDMEF:名>モニター</ IDMEF:名> <IDMEF:PID> 8956 </ IDMEF:PID> <IDMEF:引数>監視</ IDMEF:引数> <IDMEF:引数> -d </ IDMEF:引数> <IDMEF:引数> -m </ IDMEF:引数> <IDMEF:引数> idmanager.example.com </ IDMEF:引数> <IDMEF:引数> -l </ IDMEF:引数> <IDMEF:引数>は/ var /ログ/ idlog </ IDMEF:引数> </ IDMEF:プロセス> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc7221c0.0x4ccccccc"> 2000-03-09T08:12:32.3から05:00 </ IDMEF:CREATETIME> <IDMEF:ソースIDENT = "A1A2"> < IDMEF:ユーザーのident = "a1a2-01" カテゴリ= "OSデバイス"> <IDMEF:ユーザーIDのident = "a1a2-02" タイプ= "オリジナル・ユーザ"> <IDMEF:名>ジョー</ IDMEF:名> < IDMEF:数> 13243 </ IDMEF:番号> </ IDMEF:ユーザーID> </ IDMEF:ユーザー> <IDMEF:プロセスIDENT = "a1a2-03"> <IDMEF:名前>のLoadModule </ IDMEF:名> <IDMEF。パス>は/ usr / openwinに/ binに</ IDMEF:パス> </ IDMEF:プロセス> </ IDMEF:ソース> <IDMEF:目標のident = "z3z4"> <IDMEF:ノードのident = "z3z4-01" カテゴリ= "DNS"> <IDMEF:名> fileserver.example.com </ IDMEF:名> </ IDMEF:ノード> <IDMEF:ユーザーIDENT = "z3z4-02" カテゴリ= "OSデバイス"> <IDMEF:ユーザーIDのident = "z3z4-03" タイプ= "対象ユーザー"> <IDMEF:名>ルート</ IDMEF:名> <IDMEF:数> 0 </ IDMEF:数> </ IDMEF:ユーザーID>
</idmef:User> <idmef:Process ident="z3z4-04"> <idmef:name>sh</idmef:name> <idmef:pid>25134</idmef:pid> <idmef:path>/bin/sh</idmef:path> </idmef:Process> </idmef:Target> <idmef:Classification text="Loadmodule attack" ident="loadmodule"> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
</ IDMEF:ユーザー> <IDMEF:プロセスIDENT = "z3z4-04"> <IDMEF:名> SH </ IDMEF:名> <IDMEF:PID> 25134 </ IDMEF:PID> <IDMEF:パス> / binに/ SH </ IDMEF:パス> </ IDMEF:プロセス> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "LoadModuleの攻撃" のident = "LoadModuleの"> </ IDMEF:分類> </ IDMEF:アラート> </ IDMEF :IDMEF-のメッセージ>
Note that the identification of the classification is used.
分類の識別が使用されることに留意されたいです。
Network-based detection of the "phf" attack. Note the use of the <WebService> element to provide more details about this particular attack.
「PHF」攻撃のネットワークベースの検出。この特定の攻撃の詳細を提供するために、<Webサービス>要素の使用に注意してください。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-sensor01"> <idmef:Node category="dns"> <idmef:name>sensor.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc71e980.0x00000000"> 2000-03-09T08:12:32-01:00 </idmef:CreateTime> <idmef:Source ident="abc123"> <idmef:Node ident="abc123-001"> <idmef:Address ident="abc123-002" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="abc123-003"> <idmef:port>21534</idmef:port> </idmef:Service> </idmef:Source> <idmef:Target ident="xyz789"> <idmef:Node ident="xyz789-001" category="dns"> <idmef:name>www.example.com</idmef:name>
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "BC-sensor01"> < IDMEF:ノードカテゴリ= "DNS"> <IDMEF:名> sensor.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc71e980.0x00000000"> 2000 -03-09T08:12:32から01:00 </ IDMEF:CREATETIME> <IDMEF:ソースのident = "ABC123"> <IDMEF:ノードのident = "abc123-001"> <IDMEF:住所IDENT = "abc123-002 "カテゴリ=" のIPv4-addrに "> <IDMEF:アドレス> 192.0.2.200 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:サービスIDENT =" abc123-003" > <IDMEF:ポート> 21534 </ IDMEF:ポート> </ IDMEF:サービス> </ IDMEF:ソース> <IDMEF:目標IDENT = "xyz789"> <IDMEF:ノードのident = "xyz789-001" カテゴリ= "DNS"> <IDMEF :名> www.example.com </ IDMEF:名>
<idmef:Address ident="xyz789-002" category="ipv4-addr"> <idmef:address>192.0.2.100</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service> <idmef:port>8080</idmef:port> <idmef:WebService> <idmef:url> http://www.example.com/cgi-bin/phf?/etc/group </idmef:url> <idmef:cgi>/cgi-bin/phf</idmef:cgi> <idmef:http-method>GET</idmef:http-method> </idmef:WebService> </idmef:Service> </idmef:Target> <idmef:Classification text="phf attack"> <idmef:Reference origin="bugtraqid"> <idmef:name>629</idmef:name> <idmef:url> http://www.securityfocus.com/bid/629 </idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:住所IDENT = "xyz789-002" カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0.2.100 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:サービス> <IDMEF:ポート> 8080 </ IDMEF:ポート> <IDMEF:WebServiceの> <IDMEF:URL> http://www.example.com/cgi-bin/phf?/etc/group </ IDMEF:URL> <IDMEF :CGI> / CGI-binに/ PHF </ IDMEF:CGI> <IDMEF:HTTPメソッド> GET </ IDMEF:HTTP-方法> </ IDMEF:WebServiceの> </ IDMEF:サービス> </ IDMEF:ターゲット> < IDMEF:分類テキスト= "PHF攻撃"> <IDMEF:基準原点= "bugtraqid"> <IDMEF:名前> 629 </ IDMEF:名> <IDMEF:URL> http://www.securityfocus.com/bid/629 </ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> </ IDMEF:アラート> </ IDMEF:IDMEF-のメッセージ>
Host-based detection of a race condition attack. Note the use of the <File> to provide information about the files that are used to perform the attack.
競合状態攻撃のホストベースの検出。攻撃を実行するために使用されているファイルに関する情報を提供するために、<ファイル>の使用を注意してください。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert> <idmef:Analyzer analyzerid="bids-192.0.2.1" ostype="Linux" osversion="2.2.16-3"> <idmef:Node category="hosts"> <idmef:name>etude</idmef:name> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> </idmef:Analyzer>
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:アラート> <IDMEF:アナライザanalyzerid = "入札-192.0.2.1" OSTYPE = "Linuxの" OSVERSION = "2.2.16-3"> <IDMEF:ノードカテゴリ= "ホスト"> <IDMEF:名>エチュード</ IDMEF:名> <IDMEF:住所カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0 .2.1 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:アナライザ>
<idmef:CreateTime ntpstamp="0xbc71e980.0x00000000">
2000-03-09T08:12:32-01:00
</idmef:CreateTime>
<idmef:Source spoofed="no">
<idmef:Node>
<idmef:location>console</idmef:location>
<idmef:Address category="ipv4-addr">
<idmef:address>192.0.2.1</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target decoy="no">
<idmef:Node>
<idmef:location>local</idmef:location>
<idmef:Address category="ipv4-addr">
<idmef:address>192.0.2.1</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:User category="os-device">
<idmef:UserId type="original-user">
<idmef:number>456</idmef:number>
</idmef:UserId>
<idmef:UserId type="current-user">
<idmef:name>fred</idmef:name>
<idmef:number>456</idmef:number>
</idmef:UserId>
<idmef:UserId type="user-privs">
<idmef:number>456</idmef:number>
</idmef:UserId>
</idmef:User>
<idmef:File category="current" fstype="tmpfs">
<idmef:name>xxx000238483</idmef:name>
<idmef:path>/tmp/xxx000238483</idmef:path>
<idmef:FileAccess>
<idmef:UserId type="user-privs">
<idmef:name>alice</idmef:name>
<idmef:number>777</idmef:number>
</idmef:UserId>
<idmef:permission perms="read" />
<idmef:permission perms="write" />
<idmef:permission perms="delete" />
<idmef:permission perms="changePermissions" />
</idmef:FileAccess>
<idmef:FileAccess>
<idmef:UserId type="group-privs">
<idmef:name>user</idmef:name>
<idmef:number>42</idmef:number>
</idmef:UserId>
<idmef:permission perms="read" /> <idmef:permission perms="write" /> <idmef:permission perms="delete" /> </idmef:FileAccess> <idmef:FileAccess> <idmef:UserId type="other-privs"> <idmef:name>world</idmef:name> </idmef:UserId> <idmef:permission perms="noAccess" /> </idmef:FileAccess> <idmef:Linkage category="symbolic-link"> <idmef:name>passwd</idmef:name> <idmef:path>/etc/passwd</idmef:path> </idmef:Linkage> </idmef:File> </idmef:Target> <idmef:Classification text="DOM race condition"> <idmef:Reference origin="vendor-specific"> <idmef:name>DOM race condition</idmef:name> <idmef:url>file://attack-info/race.html </idmef:url> </idmef:Reference> </idmef:Classification> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:許可パーマ= "読み" /> <IDMEF:許可パーマ= "書き込み" /> <IDMEF:許可パーマ= / "削除"> </ IDMEF:FileAccessの> <IDMEF:FileAccessの> <IDMEF:ユーザーIDタイプ= "他の-PRIVS"> <IDMEF:名>世界</ IDMEF:名> </ IDMEF:ユーザーID> <IDMEF:許可パーマ= "NOACCESS" /> </ IDMEF:FileAccessの> <IDMEF:リンケージカテゴリ= "symbolic-リンク "> <IDMEF:名> passwdの</ IDMEF:名> <IDMEF:パス> / etc / passwdファイル</ IDMEF:パス> </ IDMEF:リンケージ> </ IDMEF:ファイル> </ IDMEF:ターゲット> <IDMEF :分類テキスト= "DOMの競合状態"> <IDMEF:基準原点= "ベンダー固有の"> <IDMEF:名> DOMの競合状態</ IDMEF:名> <IDMEF:URL>ファイル://攻撃-情報/レース.htmlを</ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> </ IDMEF:アラート> </ IDMEF:IDMEF-のメッセージ>
In this example, logins are restricted to daytime hours. The alert reports a violation of this policy that occurs when a user logs in a little after 10:00 pm. Note the use of <AdditionalData> to provide information about the policy being violated.
この例では、ログインは昼間時間に制限されています。アラートは、午後10時の後少しでたときにユーザがログインを発生し、このポリシーの違反を報告します。違反しているポリシーに関する情報を提供するために、<AdditionalData>の使用を注意してください。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-ds-01"> <idmef:Node category="dns"> <idmef:name>dialserver.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72e7ef.0x00000000"> 2000-03-09T22:18:07-05:00 </idmef:CreateTime> <idmef:Source ident="s01"> <idmef:Node ident="s01-1">
<IDMEF:IDMEF-メッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "BC-DS-01" > <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:名> dialserver.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc72e7ef.0x00000000" > 2000-03-09T22:18:07から05:00 </ IDMEF:CREATETIME> <IDMEF:ソースIDENT = "S01"> <IDMEF:ノードIDENT = "s01-1">
<idmef:Address category="ipv4-addr"> <idmef:address>127.0.0.1</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="s01-2"> <idmef:port>4325</idmef:port> </idmef:Service> </idmef:Source> <idmef:Target ident="t01"> <idmef:Node ident="t01-1" category="dns"> <idmef:name>mainframe.example.com</idmef:name> </idmef:Node> <idmef:User ident="t01-2" category="os-device"> <idmef:UserId ident="t01-3" type="current-user"> <idmef:name>louis</idmef:name> <idmef:number>501</idmef:number> </idmef:UserId> </idmef:User> <idmef:Service ident="t01-4"> <idmef:name>login</idmef:name> <idmef:port>23</idmef:port> </idmef:Service> </idmef:Target> <idmef:Classification text="Login policy violation"> <idmef:Reference origin="user-specific"> <idmef:name>out-of-hours activity</idmef:name> <idmef:url>http://my.company.com/policies </idmef:url> </idmef:Reference> </idmef:Classification> <idmef:AdditionalData type="date-time" meaning="start-time"> <idmef:date-time>2000-03-09T07:00:00-05:00</idmef:date-time> </idmef:AdditionalData> <idmef:AdditionalData type="date-time" meaning="stop-time"> <idmef:date-time>2000-03-09T19:30:00-05:00</idmef:date-time> </idmef:AdditionalData> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:住所カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 127.0.0.1 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:サービスIDENT = "s01-2"> <IDMEF:ポート> 4325 </ IDMEF:ポート> </ IDMEF:サービス> </ IDMEF:ソース> <IDMEF:目標のident = "T01"> <IDMEF:ノードのident = "t01-1" カテゴリ= "DNS" > <IDMEF:名> mainframe.example.com </ IDMEF:名> </ IDMEF:ノード> <IDMEF:ユーザーIDENT = "t01-2" カテゴリ= "OSデバイス"> <IDMEF:ユーザーID identを= "T01 -3" タイプ= "現在のユーザ"> <IDMEF:名>ルイ</ IDMEF:名> <IDMEF:数> 501 </ IDMEF:番号> </ IDMEF:ユーザーID> </ IDMEF:ユーザー> <IDMEF。サービスIDENT = "t01-4"> <IDMEF:名>ログイン</ IDMEF:名> <IDMEF:ポート> 23 </ IDMEF:ポート> </ IDMEF:サービス> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "ログインポリシー違反"> <IDMEF:基準原点= "ユーザー固有の"> <IDMEF:名>外の時間の活動</ IDMEF:名> <IDMEF:URL> http://my.company.com /方針</ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> <IDMEF:AdditionalDataタイプ= "日付と時刻" の意味= "開始時刻"> <IDMEF:日時を> 2000-03- 09T07:00:00〜05:00 </ IDMEF:タのデータ時間> </ IDMEF:AdditionalData> <IDMEF:AdditionalDataタイプ= "日付と時刻" の意味= "停止時"> <IDMEF:日時> 2000-03-09T19:30:00〜05:00 </ IDMEF :日時> </ IDMEF:AdditionalData> </ IDMEF:アラート> </ IDMEF:IDMEF-のメッセージ>
The following example shows how the port scan alert from Section 7.2.2 could be represented if it had been detected and sent from a correlation engine, instead of a single analyzer.
次の例は、それが検出され、相関エンジンから送信された場合、セクション7.2.2からポートスキャン警告はなく、単一の分析で、表すことができる方法を示しています。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="bc-corr-01"> <idmef:Node category="dns"> <idmef:name>correlator01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc72423b.0x00000000"> 2000-03-09T15:31:07Z </idmef:CreateTime> <idmef:Source ident="a1"> <idmef:Node ident="a1-1"> <idmef:Address ident="a1-2" category="ipv4-addr"> <idmef:address>192.0.2.200</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="a2"> <idmef:Node ident="a2-1" category="dns"> <idmef:name>www.example.com</idmef:name> <idmef:Address ident="a2-2" category="ipv4-addr"> <idmef:address>192.0.2.50</idmef:address> </idmef:Address> </idmef:Node> <idmef:Service ident="a2-3"> <idmef:portlist>5-25,37,42,43,53,69-119,123-514 </idmef:portlist> </idmef:Service> </idmef:Target> <idmef:Classification text="Portscan"> <idmef:Reference origin="vendor-specific"> <idmef:name>portscan</idmef:name> <idmef:url>http://www.vendor.com/portscan</idmef:url> </idmef:Reference> </idmef:Classification> <idmef:CorrelationAlert> <idmef:name>multiple ports in short time</idmef:name> <idmef:alertident>123456781</idmef:alertident> <idmef:alertident>123456782</idmef:alertident>
<IDMEF:IDMEF-メッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "BC-CORR-01" > <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:名> correlator01.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc72423b.0x00000000" > 2000-03-09T15:31:07Z </ IDMEF:CREATETIME> <IDMEF:ソースのident = "A1"> <IDMEF:ノードのident = "A1-1"> <IDMEF:アドレスIDENT = "A1-2" カテゴリ= "IPv4の-addrに"> <IDMEF:アドレス> 192.0.2.200 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:ソース> <IDMEF:目標のident = "A2"> < IDMEF:ノードのident = "A2-1" カテゴリ= "DNS"> <IDMEF:名> www.example.com </ IDMEF:名> <IDMEF:住所IDENT = "A2-2" カテゴリ= "のIPv4-addrに" > <IDMEF:アドレス> 192.0.2.50 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:サービスIDENT = "A2-3"> <IDMEF:ポートリスト> 5-25,37、 42,43,53,69-119,123-514 </ IDMEF:ポートリスト> </ IDMEF:サービス> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "ポートスキャン"> <IDMEF:基準原点= "ベンダー固有の" > <IDMEF:名>ポートスキャン</ IDMEF:名> <IDMEF:URL> http://www.vendor.com/portscan </ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> <IDMEF:CorrelationAlert> <IDMEF:名前>短時間で複数のポート</ IDMEF:名> <IDMEF:alertident> 123456781 </ IDMEF:alertident> <IDMEF:alertident> 123456782 </ IDMEF:alertident>
<idmef:alertident>123456783</idmef:alertident> <idmef:alertident>123456784</idmef:alertident> <idmef:alertident>123456785</idmef:alertident> <idmef:alertident>123456786</idmef:alertident> <idmef:alertident analyzerid="a1b2c3d4">987654321 </idmef:alertident> <idmef:alertident analyzerid="a1b2c3d4">987654322 </idmef:alertident> </idmef:CorrelationAlert> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:alertident> 123456783 </ IDMEF:alertident> <IDMEF:alertident> 123456784 </ IDMEF:alertident> <IDMEF:alertident> 123456785 </ IDMEF:alertident> <IDMEF:alertident> 123456786 </ IDMEF:alertident> <IDMEF :alertident analyzerid = "a1b2c3d4"> 987654321 </ IDMEF:alertident> <IDMEF:alertident analyzerid = "a1b2c3d4"> 987654322 </ IDMEF:alertident> </ IDMEF:CorrelationAlert> </ IDMEF:アラート> </ IDMEF:IDMEF-メッセージ>
Host-based detection of a successful unauthorized acquisition of root access through the eject buffer overflow. Note the use of <Assessment> to provide information about the analyzer's evaluation of and reaction to the attack.
イジェクトバッファオーバーフローによるrootアクセスの成功不正取得のホストベースの検出。アナライザの評価や攻撃に対する反応についての情報を提供するために、<評価>の使用を注意してください。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Alert> <idmef:Analyzer analyzerid="bids-192.0.2.1"> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc71e980.0x00000000"> 2000-03-09T08:12:32-01:00 </idmef:CreateTime> <idmef:Source spoofed="no"> <idmef:Node> <idmef:location>console</idmef:location> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target decoy="no"> <idmef:Node> <idmef:location>local</idmef:location> <idmef:Address category="ipv4-addr"> <idmef:address>192.0.2.1</idmef:address> </idmef:Address> </idmef:Node> <idmef:User category="os-device"> <idmef:UserId type="original-user"> <idmef:number>456</idmef:number> </idmef:UserId>
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:アラート> <IDMEF:アナライザanalyzerid = "入札-192.0.2.1"> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc71e980.0x00000000"> 2000-03-09T08:12:32から01:00 </ IDMEF:CREATETIME> <IDMEF:ノード> <IDMEF:ソース= "なし"> <IDMEF詐称します:場所>コンソール</ IDMEF:場所> <IDMEF:住所カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0.2.1 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:ソース> <IDMEF:目標デコイ= "いいえ"> <IDMEF:ノード> <IDMEF:場所>ローカル</ IDMEF:場所> <IDMEF:住所カテゴリ= "のIPv4-addrに"> <IDMEF:アドレス> 192.0。 2.1 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> <IDMEF:ユーザーカテゴリ= "OSデバイス"> <IDMEF:ユーザーIDタイプ= "元のユーザ"> <IDMEF:数> 456 < / IDMEF:数> </ IDMEF:ユーザーID>
<idmef:UserId type="current-user"> <idmef:name>root</idmef:name> <idmef:number>0</idmef:number> </idmef:UserId> <idmef:UserId type="user-privs"> <idmef:number>0</idmef:number> </idmef:UserId> </idmef:User> <idmef:Process> <idmef:name>eject</idmef:name> <idmef:pid>32451</idmef:pid> <idmef:path>/usr/bin/eject</idmef:path> <idmef:arg>\x90\x80\x3f\xff...\x08/bin/sh</idmef:arg> </idmef:Process> </idmef:Target> <idmef:Classification text="Unauthorized administrative access"> <idmef:Reference origin="vendor-specific"> <idmef:name>Unauthorized user to superuser</idmef:name> <idmef:url>file://attack-info/u2s.html</idmef:url> </idmef:Reference> </idmef:Classification> <idmef:Assessment> <idmef:Impact severity="high" completion="succeeded" type="admin"/> <idmef:Action category="notification-sent"> page </idmef:Action> <idmef:Action category="block-installed"> disabled user (fred) </idmef:Action> <idmef:Action category="taken-offline"> logout user (fred) </idmef:Action> <idmef:Confidence rating="high"/> </idmef:Assessment> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:ユーザーIDタイプ= "現在のユーザ"> <IDMEF:名>ルート</ IDMEF:名> <IDMEF:数> 0 </ IDMEF:番号> </ IDMEF:ユーザーID> <IDMEF:ユーザーIDタイプ= "ユーザ-privs "> <IDMEF:数> 0 </ IDMEF:数> </ IDMEF:ユーザーID> </ IDMEF:ユーザー> <IDMEF:プロセス> <IDMEF:名>イジェクト</ IDMEF:名> <IDMEF:PID> 32451 </ IDMEF:PID> <IDMEF:パス>は/ usr / binに/イジェクト</ IDMEF:パス> <IDMEF:引数> \ X90 \ X80 \ X3F \ XFF ... \ X08 / binに/ SH </ IDMEF:引数> </ IDMEF:プロセス> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "不正な管理アクセス"> <IDMEF:基準原点は= "ベンダー固有の"> <IDMEF:スーパーユーザー名>の不正使用者</ IDMEF :名> <IDMEF:URL>ファイル://attack-info/u2s.html </ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> <IDMEF:評価> <IDMEF:衝撃の重大度=「高"完了="」タイプ= "管理者を成功しました" /> <IDMEF:アクションカテゴリ= "通知送ら">ページ</ IDMEF:アクション> <IDMEF:アクションカテゴリ= "ブロック-インストール">無効なユーザー(フレッド)< / IDMEF:アクション> <IDMEF:アクションカテゴリ= "とら-オフライン">ログアウトユーザー(フレッド)</ IDMEF:アクション> <IDMEF:信頼格付け= "H IGH "/> </ IDMEF:アセスメント> </ IDMEF:アラート> </ IDMEF:IDMEF-のメッセージ>
This example shows a Heartbeat message that provides "I'm alive and working" information to the manager. Note the use of <AdditionalData> elements, with "meaning" attributes, to provide some additional information.
この例では、「私が生きていると作業」管理者に情報を提供してハートビートメッセージを示しています。いくつかの追加情報を提供するために、「意味」の属性で、<AdditionalData>要素の使用に注意してください。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef"> <idmef:Heartbeat messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer01"> <idmef:Node category="dns"> <idmef:location>Headquarters DMZ Network</idmef:location> <idmef:name>analyzer01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc722ebe.0x00000000"> 2000-03-09T14:07:58Z </idmef:CreateTime> <idmef:AdditionalData type="real" meaning="%memused"> <idmef:real>62.5</idmef:real> </idmef:AdditionalData> <idmef:AdditionalData type="real" meaning="%diskused"> <idmef:real>87.1</idmef:real> </idmef:AdditionalData> </idmef:Heartbeat> </idmef:IDMEF-Message>
<IDMEF:IDMEF-メッセージバージョン= "1.0" のxmlns:IDMEF = "http://iana.org/idmef"> <IDMEF:ハートビートメッセージID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "HQ-DMZ-analyzer01" > <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:場所>本社DMZネットワーク</ IDMEF:場所> <IDMEF:名> analyzer01.example.com </ IDMEF:名> </ IDMEF:ノード> </ IDMEF :アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc722ebe.0x00000000"> 2000-03-09T14:07:58Z </ IDMEF:CREATETIME> <IDMEF:AdditionalDataタイプ= "本物" の意味は "%がmemused" => <IDMEF:本物> 62.5 </ IDMEF:リアル> </ IDMEF:AdditionalData> <IDMEF:= "本物" の意味は= "%はdiskused" AdditionalDataタイプ> <IDMEF:リアル> 87.1 </ IDMEF:リアル> </ IDMEF:AdditionalData> </ IDMEF:ハートビート> </ IDMEF:IDMEF-のメッセージ>
The following example shows how to extend the IDMEF DTD. In the example, the VendorCo company has decided it wants to add geographic information to the Node class. To do this, VendorCo creates a Document Type Definition or DTD that defines how their class will be formatted:
次の例では、IDMEF DTDを拡張する方法を示しています。例では、VendorCo会社は、Nodeクラスに地理情報を追加したいことを決定しました。これを行うには、VendorCoは、そのクラスがフォーマットされる方法を定義する文書型定義またはDTDを作成します。
<xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:vendorco="http://vendor.com/idmef" targetNamespace="http://vendor.com/idmef" elementFormDefault="qualified" >
<XSD:スキーマのxmlns:XSD = "http://www.w3.org/2001/XMLSchema" のxmlns:vendorco = "http://vendor.com/idmef" のtargetNamespace = "http://vendor.com/idmef "のelementFormDefault =" 資格」>
<xsd:annotation> <xsd:documentation> Intrusion Detection Message Exchange Format (IDMEF) Extension for geographic information </xsd:documentation> </xsd:annotation>
<XSD:注釈> <のxsd:ドキュメント>地理情報のための侵入検知メッセージ交換フォーマット(IDMEF)拡張</のxsd:ドキュメンテーション> </のxsd:注釈>
<xsd:complexType name="NodeGeoType"> <xsd:sequence> <xsd:element name="latitude" type="xsd:string" /> <xsd:element name="longitude"
<XSD:complexTypeの名前= "NodeGeoType"> <XSD:配列> <XSD:要素名= "緯度" タイプ= "XSD:文字列" /> <XSD:要素名= "経度"
type="xsd:string" />
タイプ= "のxsd:文字列" />
<xsd:element name="elevation" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="node-ident" type="xsd:integer" use="required"/> </xsd:complexType>
<XSD:要素名= "上昇" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> </ XSD:配列> <XSD:属性名= "ノードIDENT" タイプ= "XSD。整数」使用= "必須" /> </のxsd:complexTypeの>
<xsd:element name="NodeGeography" type="vendorco:NodeGeoType" />
ます。<xsd:要素名= "NodeGeography" タイプ= "vendorco:NodeGeoType" />
</xsd:schema>
</ XSD:スキーマ>
The VendorCo:NodeGeography class will contain the geographic data in three aggregate classes, VendorCo:latitude, VendorCo:longitude, and VendorCo:elevation. To associate the information in this class with a particular node, the "VendorCo:node-ident" attribute is provided; it must contain the same value as the "ident" attribute on the relevant Node element.
VendorCo:緯度、VendorCo:経度、及びVendorCo:標高NodeGeographyクラスは、三集約クラス、VendorCoに地理データを含むであろう。特定のノードで、このクラスの情報を関連付けるために、「VendorCo:ノードIDENT」属性が提供されます。それは、関連するNode要素の「IDENT」属性と同じ値を含まなければなりません。
To make use of this DTD now, VendorCo follows the rules in Section 5.2 and defines a parameter entity called "x-vendorco" within the Document Type Definition, and then references this entity. In the alert, the VendorCo elements are included under the AdditionalData element, with a "type" attribute of "xml", as shown below.
今、このDTDを使用するには、VendorCoは5.2節でルールに従うと、文書型定義の中に「X-vendorco」と呼ばれるパラメータ実体を定義し、このエンティティを参照します。以下に示すようにアラートに、VendorCo要素は、「XML」の「タイプ」属性で、AdditionalData要素の下に含まれています。
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:idmef="http://iana.org/idmef" xmlns:vendorco="http://v.com/idmef" xsi:schemaLocation="http://v.com/idmef http://v.com/geo.xsd">
<IDMEF:IDMEF-のメッセージバージョン= "1.0" のxmlns:XSI = "http://www.w3.org/2001/XMLSchema-instance" のxmlns:IDMEF = "http://iana.org/idmef" のxmlns:vendorco = "http://v.com/idmef" のxsi:schemaLocationの= "http://v.com/idmef http://v.com/geo.xsd">
<idmef:Alert messageid="abc123456789"> <idmef:Analyzer analyzerid="hq-dmz-analyzer01"> <idmef:Node category="dns"> <idmef:location>Headquarters DMZ Network</idmef:location> <idmef:name>analyzer01.example.com</idmef:name> </idmef:Node> </idmef:Analyzer> <idmef:CreateTime ntpstamp="0xbc723b45.0xef449129"> 2000-03-09T10:01:25.93464-05:00 </idmef:CreateTime>
<IDMEF:警告イベントID = "ABC123456789"> <IDMEF:アナライザanalyzerid = "HQ-DMZ-analyzer01"> <IDMEF:ノードカテゴリ= "DNS"> <IDMEF:場所>本社DMZネットワーク</ IDMEF:場所> <IDMEF :名> analyzer01.example.com </ IDMEF:名前> </ IDMEF:ノード> </ IDMEF:アナライザ> <IDMEF:CREATETIME ntpstamp = "0xbc723b45.0xef449129"> 2000-03-09T10:01:25.93464から05: 00 </ IDMEF:CREATETIME>
<idmef:Source ident="a1b2c3d4"> <idmef:Node ident="a1b2c3d4-001" category="dns"> <idmef:name>badguy.example.net</idmef:name> <idmef:Address ident="a1b2c3d4-002" category="ipv4-net-mask"> <idmef:address>192.0.2.50</idmef:address> <idmef:netmask>255.255.255.255</idmef:netmask> </idmef:Address> </idmef:Node> </idmef:Source> <idmef:Target ident="d1c2b3a4"> <idmef:Node ident="d1c2b3a4-001" category="dns"> <idmef:Address category="ipv4-addr-hex"> <idmef:address>0xde796f70</idmef:address> </idmef:Address> </idmef:Node> </idmef:Target> <idmef:Classification text="Teardrop"> <idmef:Reference origin="bugtraqid"> <idmef:name>124</idmef:name> <idmef:url>http://www.securityfocus.com/bid/124</idmef:url> </idmef:Reference> </idmef:Classification> <idmef:AdditionalData type="xml" meaning="node geo info"> <idmef:xml> <vendorco:NodeGeography xmlns:vendorco="http://vendor.com/idmef" xsi:schemaLocation="http://v.com/idmef http://v.com/geo.xsd" vendorco:node-ident="a1b2c3d4-001"> <vendorco:latitude>38.89</vendorco:latitude> <vendorco:longitude>-77.02</vendorco:longitude> </vendorco:NodeGeography> </idmef:xml> </idmef:AdditionalData> </idmef:Alert> </idmef:IDMEF-Message>
<IDMEF:ソースのident = "a1b2c3d4"> <IDMEF:ノードのident = "a1b2c3d4-001" カテゴリ= "DNS"> <IDMEF:名> badguy.example.net </ IDMEF:名> <IDMEF:アドレスIDENT =」 a1b2c3d4-002" カテゴリ= "のIPv4-ネットマスク"> <IDMEF:アドレス> 192.0.2.50 </ IDMEF:アドレス> <IDMEF:ネットマスク> 255.255.255.255 </ IDMEF:ネットマスク> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:ソース> <IDMEF:目標IDENT = "d1c2b3a4"> <IDMEF:ノードのident = "d1c2b3a4-001" カテゴリ= "DNS"> <IDMEF:住所カテゴリ= "のIPv4-addrに、六角" > <IDMEF:アドレス> 0xde796f70 </ IDMEF:アドレス> </ IDMEF:アドレス> </ IDMEF:ノード> </ IDMEF:ターゲット> <IDMEF:分類テキスト= "涙"> <IDMEF:基準原点= "bugtraqid" > <IDMEF:名前> 124 </ IDMEF:名> <IDMEF:URL> http://www.securityfocus.com/bid/124 </ IDMEF:URL> </ IDMEF:リファレンス> </ IDMEF:分類> < IDMEF:AdditionalDataタイプ= "XML" の意味= "ノードの地理情報"> <IDMEF:XML> <vendorco:NodeGeographyののxmlns:vendorco = "http://vendor.com/idmef" のxsi:schemaLocationの= "のhttp:// V .COM / IDMEF http://v.com/geo.xsd: "」vendorcoノードIDENT =" a1b2c3d4-001> <vendorco:緯度> 38.89 </ vendorco:緯度> <vendorco:経度> -77.02 </ vendorco:経度> </ vendorco:NodeGeography> </ IDMEF:XML> </ IDMEF:AdditionalData> </ IDMEF:アラート> </ IDMEF:IDMEF、メッセージ>
<?xml version="1.0" encoding="UTF-8"?>
<?xml version = "1.0" エンコード= "UTF-8"?>
<!-- *************************************************************** ******************************************************************* *** Intrusion Detection Message Exchange Format (IDMEF) XML DTD *** *** Version 1.0, 07 March 2006 *** *** *** *** The use and extension of the IDMEF XML DTD are described in *** *** RFC 4765, "The Intrusion Detection Message Exchange *** *** Format", H. Debar, D. Curry, B. Feinstein. *** ******************************************************************* *************************************************************** -->
<! - ********************************************** ***************** ********************************* ********************************** ***侵入検知メッセージ交換フォーマット(IDMEF)XMLのDTD *** ***バージョン1.0、2006年3月7日*** *** *** *** IDMEF XML DTDを使用すると、拡張子が** *** *** RFC 4765、「侵入検知メッセージ交換に記述されています* ***フォーマット」、H.禁ずる、D.カレー、B.ファインスタイン。 *** *********************************************** ******************** ****************************** ********************************* - >
<!-- ===============================================================
===================================================================
=== SECTION 1. Attribute list declarations.
===================================================================
=============================================================== -->
<!-- | Attributes of the IDMEF element. In general, the fixed values of | these attributes will change each time a new version of the DTD | is released. -->
<! - | IDMEF要素の属性。一般的には、固定値|これらの属性は、たびにDTDの新しいバージョンを変更します|解放されます。 - >
<!ENTITY % attlist.idmef " version CDATA #FIXED '1.0' ">
<!ENTITY%attlist.idmef "バージョンCDATA #FIXED '1.0'">
<!-- | Attributes of all elements. These are the "XML" attributes that | every element should have. Space handling, language, and name | space. --> <!ENTITY % attlist.global " xmlns:idmef CDATA #FIXED 'http://iana.org/idmef' xmlns CDATA #FIXED 'http://iana.org/idmef' xml:space (default | preserve) 'default' xml:lang NMTOKEN #IMPLIED ">
<! - |すべての要素の属性。これらは、「XML」はその属性です|すべての要素は持っている必要があります。宇宙取り扱い、言語、および名前|スペース。 ! - > <ENTITY%attlist.global」のxmlns:CDATA #FIXED IDMEF 'http://iana.org/idmef' のxmlns CDATA #FIXED 'http://iana.org/idmef' のxml:スペース(デフォルト|保存) 'デフォルト' のxml:langのNMTOKEN #IMPLIED「>
<!-- ===============================================================
===================================================================
=== SECTION 2. Attribute value declarations. Enumerated values for
=== many of the element-specific attribute lists.
===================================================================
=============================================================== -->
<!-- | Values for the Action.category attribute. --> <!ENTITY % attvals.actioncat " ( block-installed | notification-sent | taken-offline | other ) ">
<! - | Action.category属性の値。 ! - > <ENTITY%以下のattvals.actioncat "(ブロック-インストール|通知送ら|取られ、オフライン|他)">
<!-- | Values for the Address.category attribute. --> <!ENTITY % attvals.addrcat " ( unknown | atm | e-mail | lotus-notes | mac | sna | vm | ipv4-addr | ipv4-addr-hex | ipv4-net | ipv4-net-mask | ipv6-addr | ipv6-addr-hex | ipv6-net | ipv6-net-mask ) ">
<! - | Address.category属性の値。 ! - > <ENTITY%以下のattvals.addrcat」(不明| ATM |電子メール|蓮 - ノート| MAC | SNA | VM |のIPv4-addrに|のIPv4-addrに-進| IPv4のネット| IPv4のネットマスク| IPv6の-addrに|のipv6-addrに-進| IPv6のネット| IPv6のネットマスク)「>
<!-- | Values for the AdditionalData.type attribute. --> <!ENTITY % attvals.adtype " ( boolean | byte | character | date-time | integer | ntpstamp | portlist | real | string | byte-string | xmltext ) ">
<! - | AdditionalData.type属性の値。 ! - > <ENTITY%以下のattvals.adtype "(ブール|バイト|文字|日時|整数| ntpstamp |ポートリスト|本物|文字列|バイト列| XMLTEXT)">
<!-- | Values for the Impact.completion attribute. --> <!ENTITY % attvals.completion " ( failed | succeeded ) "> <!-- | Values for the File.category attribute. --> <!ENTITY % attvals.filecat " ( current | original ) ">
<! - | Impact.completion属性の値。 ! - > <ENTITY%以下のattvals.completion "(失敗|は成功しました)"> <! - | File.category属性の値。 ! - > <ENTITY%以下のattvals.filecat "(現在|元)">
<!ENTITY % attvals.fileperm "( noAccess | read | write | execute | search | delete | executeAs | changePermissions | takeOwnership)" >
<ENTITY%のattvals.fileperm! "(NOACCESS |読む|書き込み|実行|検索|削除| executeAs | changePermissions | takeOwnership)">
<!-- | Values for the UserId.type attribute. --> <!ENTITY % attvals.idtype " ( current-user | original-user | target-user | user-privs | current-group | group-privs | other-privs ) ">
<! - |ユーザーId.type属性の値。 ! - > <ENTITY%のattvals.idタイプ "(現在のユーザー|オリジナル・利用|ターゲット・ユーザー|ユーザーPRIVS |現在のグループ|グループPRIVS |その他-PRIVS)">
<!-- | Values for the Impact.type attribute. --> <!ENTITY % attvals.impacttype " ( admin | dos | file | recon | user | other ) ">
<! - | Impact.type属性の値。 ! - > <ENTITY%以下のattvals.impacttype> "(管理者|その他のドス|ファイル|偵察| |ユーザー)"
<!-- | Values for the Linkage.category attribute. --> <!ENTITY % attvals.linkcat " ( hard-link | mount-point | reparse-point | shortcut | stream | symbolic-link ) ">
<! - | Linkage.category属性の値。 ! - > <ENTITY%以下のattvals.linkcat "(ハードリンク|マウントポイント|再解析ポイント|ショートカット|ストリーム|シンボリック・リンク)">
<!-- | Values for the Checksum.algorithm attribute --> <!ENTITY % attvals.checksumalgos " ( MD4 | MD5 | SHA1 | SHA2-256 | SHA2-384 | SHA2-512 | CRC-32 | Haval | Tiger | Gost ) ">
<! - | !Checksum.algorithm属性の値 - > <ENTITY%以下のattvals.checksumalgos "(MD4 | MD5 | SHA1 | SHA2-256 | SHA2-384 | SHA2-512 | CRC-32 | HAVAL |タイガー| GOST)">
<!-- | Values for the Node.category attribute. --> <!ENTITY % attvals.nodecat " ( unknown | ads | afs | coda | dfs | dns | hosts | kerberos | nds | nis | nisplus | nt | wfw ) ">
<! - | Node.category属性の値。 ! - > <ENTITY%以下のattvals.nodecat "(不明|広告| AFS |コーダ| DFS | DNS |ホスト|ケルベロス| NDS | NIS | nisplusという| NT | WFW)">
<!-- | Values for the Reference.origin attribute. --> <!ENTITY % attvals.origin " ( unknown | vendor-specific | user-specific | bugtraqid | cve | osvdb ) ">
<! - | Reference.origin属性の値。 ! - > <ENTITY%以下のattvals.origin "(不明|ベンダー固有|ユーザー固有| bugtraqid | CVE | osvdb)">
<!--
<!ーー
| Values for the Confidence.rating attribute. --> <!ENTITY % attvals.rating " ( low | medium | high | numeric ) ">
| Confidence.rating属性の値。 ! - > <ENTITY%以下のattvals.rating "(低|中|高い|数値)">
<!-- | Values for the Impact.severity attribute. --> <!ENTITY % attvals.severity " ( info | low | medium | high ) ">
<! - | Impact.severity属性の値。 ! - > <ENTITY%以下のattvals.severity "(情報|ロー|中|ハイ)">
<!-- | Values for the User.category attribute. --> <!ENTITY % attvals.usercat " ( unknown | application | os-device ) ">
<! - | User.category属性の値。 ! - > <ENTITY%以下のattvals.usercat "(不明|アプリケーション| OSデバイス)">
<!-- | Values for yes/no attributes such as Source.spoofed and | Target.decoy. --> <!ENTITY % attvals.yesno " ( unknown | yes | no ) ">
<! - | |などSource.spoofedやなどはい/いいえ属性の値Target.decoy。 ! - > <ENTITY%以下のattvals.yesno "(不明|はい|いいえ)">
<!-- ===============================================================
===================================================================
=== SECTION 3. Top-level element declarations. The IDMEF-Message
=== element and the types of messages it can include.
===================================================================
=============================================================== -->
<!ELEMENT IDMEF-Message (
(Alert | Heartbeat)*
)>
<!ATTLIST IDMEF-Message
%attlist.global;
%attlist.idmef;
>
<!ELEMENT Alert ( Analyzer, CreateTime, DetectTime?, AnalyzerTime?, Source*, Target*, Classification, Assessment?, (ToolAlert | OverflowAlert | CorrelationAlert)?, AdditionalData* )>
<!ELEMENTアラート(アナライザ、CREATETIME、DetectTime?、?、AnalyzerTimeソース*、ターゲット*、分類、評価?,(ToolAlert | OverflowAlert | CorrelationAlert)?, AdditionalData *)>
<!ATTLIST Alert messageid CDATA '0' %attlist.global; >
<ATTLISTアラートメッセージID CDATA '0' %attlist.global!。 >
<!ELEMENT Heartbeat ( Analyzer, CreateTime, HeartbeatInterval?, AnalyzerTime?, AdditionalData* )> <!ATTLIST Heartbeat messageid CDATA '0' %attlist.global; >
<!ELEMENTハートビート(Analyzerは、CREATETIMEは、HeartbeatInterval?AnalyzerTime ?, AdditionalData *)> <!ATTLISTハートビートがMESSAGEID CDATA '0' %attlist.global。 >
<!-- ===============================================================
===================================================================
=== SECTION 4. Subclasses of the Alert element that provide more
=== data for specific types of alerts.
===================================================================
=============================================================== -->
<!ELEMENT CorrelationAlert ( name, alertident+ )> <!ATTLIST CorrelationAlert %attlist.global; >
<!ELEMENT CorrelationAlert(名前、alertidentの+)> <!ATTLIST CorrelationAlert%attlist.global。 >
<!ELEMENT OverflowAlert ( program, size?, buffer? )> <!ATTLIST OverflowAlert %attlist.global; >
<!ELEMENT OverflowAlert(プログラム、サイズ?バッファ?)> <ATTLIST OverflowAlert%attlist.global!。 >
<!ELEMENT ToolAlert ( name, command?, alertident+ )> <!ATTLIST ToolAlert %attlist.global; >
<!ELEMENT ToolAlert(名前、コマンド?alertidentの+)> <!ATTLIST ToolAlert%attlist.global。 >
<!-- ===============================================================
===================================================================
=== SECTION 5. The AdditionalData element. This element allows an
=== alert to include additional information that cannot
=== be encoded elsewhere in the data model.
===================================================================
=============================================================== -->
<!ELEMENT AdditionalData ( (boolean | byte | character | date-time | integer | ntpstamp | portlist | real | string | byte-string | xmltext ) )>
<!ELEMENT AdditionalData((ブール|バイト|文字|日時|整数| ntpstamp |ポートリスト|本物|文字列|バイト列| XMLTEXT))>
<!ATTLIST AdditionalData type %attvals.adtype; 'string' meaning CDATA #IMPLIED %attlist.global; >
<!ATTLIST AdditionalDataタイプ%attvals.adtype。 CDATA #IMPLIED%attlist.globalを意味する '文字列'; >
<!-- ===============================================================
===================================================================
=== SECTION 6. Elements related to identifying entities - analyzers
=== (the senders of these messages), sources (of
=== attacks), and targets (of attacks).
===================================================================
=============================================================== -->
<!ELEMENT Analyzer ( Node?, Process?, Analyzer? )> <!ATTLIST Analyzer analyzerid CDATA '0' name CDATA #IMPLIED manufacturer CDATA #IMPLIED model CDATA #IMPLIED version CDATA #IMPLIED class CDATA #IMPLIED ostype CDATA #IMPLIED osversion CDATA #IMPLIED %attlist.global; >
<!ELEMENTアナライザ(ノード?,プロセス?,アナライザ?)> <!ATTLIST Analyzerは、CDATA '0' 名前CDATA #IMPLIEDメーカーCDATA #IMPLIEDモデルCDATA #IMPLIEDバージョンCDATA #IMPLIEDクラスCDATA #IMPLIEDのOSTYPE CDATA #IMPLIEDのOSVERSION CDATAをanalyzerid #IMPLIED%attlist.global。 >
<!ELEMENT Classification ( Reference* )> <!ATTLIST Classification ident CDATA '0' text CDATA #REQUIRED >
<!ELEMENT分類(参考*)> <!ATTLIST分類identをCDATA '0' テキストCDATA #REQUIRED>
<!ELEMENT Source ( Node?, User?, Process?, Service?
<!ELEMENTソース(ノード?ユーザー?、?、プロセスサービス?
)> <!ATTLIST Source ident CDATA '0' spoofed %attvals.yesno; 'unknown' interface CDATA #IMPLIED %attlist.global; >
!)> <ATTLISTソースのident CDATA '0' %のattvals.yesnoを偽装されました。 '不明' のインタフェースCDATA #IMPLIED%attlist.global。 >
<!ELEMENT Target ( Node?, User?, Process?, Service?, File* )> <!ATTLIST Target ident CDATA '0' decoy %attvals.yesno; 'unknown' interface CDATA #IMPLIED %attlist.global; >
<!ELEMENTターゲット(ノード?ユーザー?、?、プロセスサービス?,ファイル*)> <!ATTLISTターゲットのident CDATA '0' おとり%のattvals.yesno。 '不明' のインタフェースCDATA #IMPLIED%attlist.global。 >
<!ELEMENT Assessment ( Impact?, Action*, Confidence? )> <!ATTLIST Assessment %attlist.global; >
<!ELEMENTアセスメント(影響?,アクション*、自信?)> <ATTLISTアセスメント%attlist.global!。 >
<!-- ===============================================================
===================================================================
=== SECTION 7. Support elements used for providing detailed info
=== about entities - addresses, names, etc.
===================================================================
=============================================================== -->
<!ELEMENT Reference ( name, url )> <!ATTLIST Reference origin %attvals.origin; 'unknown' meaning CDATA #IMPLIED >
<!ELEMENTリファレンス(名前、URL)> <!ATTLISTリファレンス原点%のattvals.origin。 '不明' という意味CDATA #IMPLIED>
<!ELEMENT Node ( location?, (name | Address), Address* )> <!ATTLIST Node ident CDATA '0' category %attvals.nodecat; 'unknown' %attlist.global; >
<!ELEMENTノード(場所?(名前|住所)、アドレス*)> <!ATTLISTノードのident CDATA '0' カテゴリ%attvals.nodecat。 「不明」%のattlist.global。 >
<!ELEMENT Address ( address, netmask? )> <!ATTLIST Address ident CDATA '0' category %attvals.addrcat; 'unknown' vlan-name CDATA #IMPLIED vlan-num CDATA #IMPLIED %attlist.global; >
!<!ELEMENT住所(?アドレス、ネットマスク)> <ATTLISTアドレスのident CDATA '0' カテゴリ%attvals.addrcat。 '不明' VLAN名CDATA #IMPLIED VLAN-numがCDATA #IMPLIED%attlist.global。 >
<!ELEMENT File ( name, path, create-time?, modify-time?, access-time?, data-size?, disk-size?, FileAccess*, Linkage*, Inode?, Checksum* )> <!ATTLIST File ident CDATA '0' category %attvals.filecat; #REQUIRED fstype CDATA #IMPLIED file-type CDATA #IMPLIED %attlist.global; >
<!ELEMENTファイル(名前、パス、作成時?,変更時?,アクセス時間?,データサイズ?,ディスクサイズ?, FileAccessの*、リンケージ*、iノード?,チェックサム*)> <!ATTLIST identをCDATA '0' カテゴリ%attvals.filecatファイル。 #REQUIRED FSTypeにCDATA #IMPLIEDファイル型CDATA #IMPLIED%attlist.global。 >
<!ELEMENT Permission EMPTY > <!ATTLIST Permission perms %attvals.fileperm; #REQUIRED %attlist.global; >
<!ELEMENT許可EMPTY> <!ATTLIST許可パーマの%のattvals.fileperm。 #REQUIRED%attlist.global。 >
<!ELEMENT FileAccess ( UserId, Permission+ )> <!ATTLIST FileAccess %attlist.global; >
<!ELEMENTファイルアクセス(ユーザーID、アクセス権)> <!ATTLIST FileAccessの%attlist.global。 >
<!ELEMENT Inode ( change-time?, (number, major-device, minor-device)?, (c-major-device, c-minor-device)? )> <!ATTLIST Inode %attlist.global; >
<!ELEMENT iノード(変更時?(番号、主要な機器、マイナー・デバイス)?(C-主要なデバイス、C-マイナーデバイス)?)> <ATTLIST iノード%attlist.global!。 >
<!ELEMENT Linkage ( (name, path) | File )>
<!ELEMENTリンケージ((名前、パス)|ファイル)>
<!ATTLIST Linkage category %attvals.linkcat; #REQUIRED %attlist.global; >
<!ATTLISTリンケージカテゴリ%attvals.linkcat。 #REQUIRED%attlist.global。 >
<!ELEMENT Checksum ( value, key? )> <!ATTLIST Checksum algorithm %attvals.checksumalgos; #REQUIRED %attlist.global; >
!<!ELEMENTチェックサム(?値、キー)> <ATTLISTチェックサムアルゴリズム%のattvals.checksumalgos。 #REQUIRED%attlist.global。 >
<!ELEMENT Process ( name, pid?, path?, arg*, env* )> <!ATTLIST Process ident CDATA '0' %attlist.global; >
<!ELEMENTプロセス(名、PID?、?、パスのarg *、ENV *)> <ATTLISTプロセスのident CDATA '0' %attlist.global!。 >
<!ELEMENT Service ( (((name, port?) | (port, name?)) | portlist), protocol?, SNMPService?, WebService? )> <!ATTLIST Service ident CDATA '0' ip_version CDATA #IMPLIED iana_protocol_number CDATA #IMPLIED iana_protocol_name CDATA #IMPLIED %attlist.global; >
<!ELEMENTサービス((((名、ポート)|?(ポート、名前))|?ポートリスト)、プロトコル?、?、SNMPService WebServiceの?)> <ATTLISTサービスのident CDATA '0' CDATA #IMPLIED ip_version CDATA iana_protocol_number! #IMPLIED iana_protocol_name CDATA #IMPLIED%attlist.global。 >
<!ELEMENT SNMPService ( oid?, messageProcessingModel?, securityModel?, securityName?, securityLevel?, contextName?, contextEngineID?, command? )> <!ATTLIST SNMPService %attlist.global; >
<!ELEMENT SNMPService(?OID ?, messageProcessingModel?、?、securityModelのsecurityName ?,たsecurityLevel?、?、contextNameはcontextEngineID ?,コマンド)> <!ATTLIST SNMPService%attlist.global。 >
<!ELEMENT User ( UserId+ )> <!ATTLIST User ident CDATA '0' category %attvals.usercat; 'unknown' %attlist.global;
<!ELEMENTユーザ(ユーザID +)> <ATTLIST CDATA '0' カテゴリ%attvals.usercatのidentユーザー!。 「不明」%のattlist.global。
>
>
<!ELEMENT UserId ( (name, number?) | (number, name?) )> <!ATTLIST UserId ident CDATA '0' type %attvals.idtype; 'original-user' tty CDATA #IMPLIED %attlist.global; >
<!ELEMENTユーザーID((名前、番号)|(番号、名前)?)> <ATTLISTユーザーID identをCDATA '0' をタイプ%attvals.idtype!; '元のユーザー' TTY CDATA #IMPLIED%attlist.global。 >
<!ELEMENT WebService ( url, cgi?, http-method?, arg* )> <!ATTLIST WebService %attlist.global; >
<!ELEMENT Webサービス(URL、CGI?HTTP-方法?,引数*)> <!ATTLISTのWebサービス%attlist.global。 >
<!-- ===============================================================
===================================================================
=== SECTION 8. Simple elements with sub-elements or attributes of a
=== special nature.
===================================================================
=============================================================== -->
<!ELEMENT Action (#PCDATA) > <!ATTLIST Action category %attvals.actioncat; 'other' %attlist.global; >
<!ELEMENTアクション(#PCDATA)> <!ATTLISTアクションカテゴリ%attvals.actioncat。 「その他」の%のattlist.global。 >
<!ELEMENT CreateTime (#PCDATA) > <!ATTLIST CreateTime ntpstamp CDATA #REQUIRED %attlist.global; >
<!ELEMENT CREATETIME(#PCDATA)> <ATTLIST CREATETIME ntpstamp CDATA #REQUIRED%attlist.global!。 >
<!ELEMENT DetectTime (#PCDATA) > <!ATTLIST DetectTime ntpstamp CDATA #REQUIRED %attlist.global;
<!ELEMENT DetectTime(#PCDATA)> <ATTLIST DetectTime ntpstamp CDATA #REQUIRED%attlist.global!。
>
>
<!ELEMENT AnalyzerTime (#PCDATA) > <!ATTLIST AnalyzerTime ntpstamp CDATA #REQUIRED
<!ELEMENT AnalyzerTime(#PCDATA)> <!ATTLIST AnalyzerTime ntpstamp CDATA #REQUIRED
%attlist.global; >
%attlist.global; >
<!ELEMENT Confidence (#PCDATA) > <!ATTLIST Confidence rating %attvals.rating; 'numeric' %attlist.global; >
!<!ELEMENTコンフィデンス(#PCDATA)> <ATTLISTの信頼格付け%のattvals.rating。 「数字の」%のattlist.global。 >
<!ELEMENT Impact (#PCDATA) > <!ATTLIST Impact severity %attvals.severity; #IMPLIED completion %attvals.completion; #IMPLIED type %attvals.impacttype; 'other' %attlist.global; >
<!ELEMENTインパクト(#PCDATA)> <ATTLIST影響の重大度%のattvals.severity!; #IMPLIED完了%のattvals.completion。 #IMPLIED型%attvals.impacttype。 「その他」の%のattlist.global。 >
<!ELEMENT alertident (#PCDATA) > <!ATTLIST alertident analyzerid CDATA #IMPLIED %attlist.global; >
<!ELEMENT alertident(#PCDATA)> <!ATTLIST alertident analyzerid CDATA #IMPLIED%attlist.global。 >
<!-- ===============================================================
===================================================================
=== SECTION 9. Simple elements with no sub-elements and no special
=== attributes.
===================================================================
=============================================================== -->
<!ELEMENT boolean (#PCDATA) > <!ATTLIST boolean %attlist.global; >
<!ELEMENTブール(#PCDATA)> <ATTLISTブール%attlist.global!。 >
<!ELEMENT byte (#PCDATA) > <!ATTLIST byte %attlist.global; >
<!ELEMENTバイト(#PCDATA)> <ATTLISTバイト%attlist.global!。 >
<!ELEMENT character (#PCDATA) > <!ATTLIST character %attlist.global; >
!<!ELEMENT文字(#PCDATA)> <ATTLIST文字%attlist.global。 >
<!ELEMENT date-time (#PCDATA) > <!ATTLIST date-time %attlist.global; >
<!ELEMENT日時(#PCDATA)> <ATTLIST日時%attlist.global!。 >
<!ELEMENT integer (#PCDATA) > <!ATTLIST integer %attlist.global; >
<!ELEMENT整数(#PCDATA)> <ATTLIST整数%attlist.global!。 >
<!ELEMENT ntpstamp (#PCDATA) > <!ATTLIST ntpstamp %attlist.global; >
<!ELEMENT ntpstamp(#PCDATA)> <ATTLIST ntpstamp%attlist.global!。 >
<!ELEMENT real (#PCDATA) > <!ATTLIST real %attlist.global; >
<!ELEMENTリアル(#PCDATA)> <ATTLIST本物%のattlist.global!; >
<!ELEMENT string (#PCDATA) > <!ATTLIST string %attlist.global; >
!<!ELEMENT文字列(#PCDATA)> <ATTLIST文字列%attlist.global。 >
<!ELEMENT byte-string (#PCDATA) > <!ATTLIST byte-string %attlist.global; >
<!ELEMENTバイト列(#PCDATA)> <!ATTLISTのバイト列%attlist.global。 >
<!ELEMENT xmltext ANY > <!ATTLIST xmltext %attlist.global; >
<!ELEMENTがANYをXMLTEXT> <!ATTLIST XMLTEXT%attlist.global。 >
<!ELEMENT access-time (#PCDATA) > <!ATTLIST access-time %attlist.global; >
<!ELEMENTアクセス時間(#PCDATA)> <!ATTLISTアクセスタイム%のattlist.global。 >
<!ELEMENT address (#PCDATA) > <!ATTLIST address %attlist.global; >
<!ELEMENTアドレス(#PCDATA)> <ATTLISTアドレス%attlist.global!。 >
<!ELEMENT arg (#PCDATA) > <!ATTLIST arg %attlist.global; >
!<!ELEMENTのarg(#PCDATA)> <ATTLIST怒っ%のattlist.global。 >
<!ELEMENT buffer (#PCDATA) > <!ATTLIST buffer %attlist.global; >
!<!ELEMENTバッファー(#PCDATA)> <ATTLISTバッファ%attlist.global。 >
<!ELEMENT c-major-device (#PCDATA) > <!ATTLIST c-major-device %attlist.global; >
<!ELEMENTのC-主要なデバイス(#PCDATA)> <!ATTLIST C-メジャーデバイス%attlist.global。 >
<!ELEMENT c-minor-device (#PCDATA) > <!ATTLIST c-minor-device %attlist.global; >
<!ELEMENT C-マイナー・デバイス(#PCDATA)> <!ATTLISTのC-マイナーデバイス%attlist.global。 >
<!ELEMENT cgi (#PCDATA) > <!ATTLIST cgi %attlist.global; >
<!ELEMENT CGI(#PCDATA)> <!ATTLISTのcgi%attlist.global。 >
<!ELEMENT change-time (#PCDATA) > <!ATTLIST change-time %attlist.global; >
<!ELEMENT変更時(#PCDATA)> <!ATTLIST変更時の%のattlist.global。 >
<!ELEMENT command (#PCDATA) > <!ATTLIST command %attlist.global; >
<!ELEMENTコマンド(#PCDATA)> <ATTLISTコマンド%attlist.global!。 >
<!ELEMENT create-time (#PCDATA) > <!ATTLIST create-time %attlist.global; >
<!ELEMENT作成時(#PCDATA)> <!ATTLIST作成時%のattlist.global。 >
<!ELEMENT data-size (#PCDATA) > <!ATTLIST data-size %attlist.global; >
<!ELEMENTデータサイズ(#PCDATA)> <!ATTLISTデータ・サイズ%attlist.global。 >
<!ELEMENT disk-size (#PCDATA) > <!ATTLIST disk-size %attlist.global; >
<!ELEMENTディスクサイズ(#PCDATA)> <!ATTLISTディスク・サイズ%attlist.global。 >
<!ELEMENT env (#PCDATA) > <!ATTLIST env %attlist.global; >
<!ELEMENTのENV(#PCDATA)> <ATTLISTのENV%attlist.global!。 >
<!ELEMENT http-method (#PCDATA) > <!ATTLIST http-method %attlist.global; >
<!ELEMENTのhttp-法(#PCDATA)> <!ATTLIST HTTPメソッド%attlist.global。 >
<!ELEMENT location (#PCDATA) > <!ATTLIST location %attlist.global; >
<!ELEMENT場所(#PCDATA)> <ATTLIST場所%attlist.global!。 >
<!ELEMENT major-device (#PCDATA) > <!ATTLIST major-device %attlist.global; >
<!ELEMENT主要機器(#PCDATA)> <!ATTLISTメジャーデバイス%attlist.global。 >
<!ELEMENT minor-device (#PCDATA) > <!ATTLIST minor-device %attlist.global; >
<!ELEMENTマイナー・デバイス(#PCDATA)> <!ATTLISTマイナーデバイス%attlist.global。 >
<!ELEMENT modify-time (#PCDATA) > <!ATTLIST modify-time %attlist.global; >
<!ELEMENT変更時(#PCDATA)> <ATTLIST変更時%attlist.global!。 >
<!ELEMENT name (#PCDATA) > <!ATTLIST name %attlist.global; >
<!ELEMENT名(#PCDATA)> <ATTLIST名%attlist.global!。 >
<!ELEMENT netmask (#PCDATA) > <!ATTLIST netmask %attlist.global; >
<!ELEMENTのネットマスク(#PCDATA)> <!ATTLISTネットマスク%attlist.global。 >
<!ELEMENT number (#PCDATA) > <!ATTLIST number %attlist.global; >
<!ELEMENT番号(#PCDATA)> <!ATTLIST数%attlist.global。 >
<!ELEMENT oid (#PCDATA) > <!ATTLIST oid %attlist.global; >
<!ELEMENT(#PCDATA)> <ATTLIST%attlist.global!。 >
<!ELEMENT path (#PCDATA) > <!ATTLIST path %attlist.global; >
<!ELEMENTパス(#PCDATA)> <!ATTLISTパス%attlist.global。 >
<!ELEMENT permission (#PCDATA) > <!ATTLIST permission %attlist.global; >
!<!ELEMENT許可(#PCDATA)> <ATTLIST許可%attlist.global。 >
<!ELEMENT pid (#PCDATA) > <!ATTLIST pid %attlist.global; >
<!ELEMENTのPID(#PCDATA)> <ATTLIST PID%attlist.global!。 >
<!ELEMENT port (#PCDATA) > <!ATTLIST port %attlist.global; >
<!ELEMENTポート(#PCDATA)> <ATTLISTポート%attlist.global!。 >
<!ELEMENT portlist (#PCDATA) > <!ATTLIST portlist %attlist.global; >
<!ELEMENTのポートリスト(#PCDATA)> <!ATTLISTポートリスト%attlist.global。 >
<!ELEMENT program (#PCDATA) > <!ATTLIST program %attlist.global; >
!<!ELEMENTプログラム(#PCDATA)> <ATTLISTプログラム%attlist.global。 >
<!ELEMENT protocol (#PCDATA) > <!ATTLIST protocol %attlist.global; >
<!ELEMENTプロトコル(#PCDATA)> <ATTLISTプロトコル%attlist.global!。 >
<!ELEMENT size (#PCDATA) > <!ATTLIST size %attlist.global; >
<!ELEMENTサイズ(#PCDATA)> <ATTLISTサイズ%attlist.global!。 >
<!ELEMENT url (#PCDATA) > <!ATTLIST url %attlist.global; >
!<!ELEMENT URL(#PCDATA)> <ATTLISTのURL%attlist.global。 >
<!ELEMENT HeartbeatInterval (#PCDATA) > <!ATTLIST HeartbeatInterval %attlist.global; >
<!ELEMENT HeartbeatInterval(#PCDATA)> <ATTLIST HeartbeatInterval%attlist.global!。 >
<!ELEMENT messageProcessingModel (#PCDATA) > <!ATTLIST messageProcessingModel %attlist.global;>
<!ELEMENT messageProcessingModel(#PCDATA)> <ATTLIST messageProcessingModel%attlist.global;!>
<!ELEMENT securityModel (#PCDATA) > <!ATTLIST securityModel %attlist.global; >
<!ELEMENT securityModel(#PCDATA)> <ATTLIST securityModel%attlist.global!。 >
<!ELEMENT securityName (#PCDATA) > <!ATTLIST securityName %attlist.global; >
<!ELEMENTセキュリティ名(#PCDATA)> <ATTLISTのsecurityName%attlist.global!。 >
<!ELEMENT securityLevel (#PCDATA) > <!ATTLIST securityLevel %attlist.global; >
<!ELEMENTたsecurityLevel(#PCDATA)> <ATTLISTたsecurityLevel%attlist.global!。 >
<!ELEMENT contextName (#PCDATA) > <!ATTLIST contextName %attlist.global; >
<!ELEMENTのcontextName(#PCDATA)> <ATTLISTのcontextName%attlist.global!。 >
<!ELEMENT contextEngineID (#PCDATA) > <!ATTLIST contextEngineID %attlist.global; >
<!ELEMENT contextEngineID(#PCDATA)> <ATTLIST contextEngineID%attlist.global!。 >
<!ELEMENT value (#PCDATA) > <!ATTLIST value %attlist.global; >
<!ELEMENT値(#PCDATA)> <ATTLIST値%attlist.global!。 >
<!ELEMENT key (#PCDATA) > <!ATTLIST key %attlist.global; >
<!ELEMENTキー(#PCDATA)> <ATTLISTキー%attlist.global!。 >
<!-- End of IDMEF DTD -->
<! - IDMEF DTDの終わり - >
This document describes a data representation for exchanging security-related information between intrusion detection system implementations. Although there are no security concerns directly applicable to the format of this data, the data itself may contain security-sensitive information whose confidentiality, integrity, and/or availability may need to be protected.
この文書は、侵入検知システムの実装との間のセキュリティ関連情報を交換するためのデータ表現を記述する。このデータの形式に直接適用はセキュリティ上の問題はありませんが、データ自体は、その機密性、完全性、および/または可用性保護する必要があるかもしれない機密性の高い情報が含まれていてもよいです。
This suggests that the systems used to collect, transmit, process, and store this data should be protected against unauthorized use and that the data itself should be protected against unauthorized access. The means for achieving this protection are outside the scope of this document.
これは、収集、送信、処理、及びこのデータを格納するために使用されるシステムは、不正使用に対して、データ自体が不正アクセスから保護されるべきであることを保護されるべきであることを示唆しています。この保護を達成するための手段は、この文書の範囲外です。
Section 5 of [2] describes the required and recommended security characteristics of the transmission protocol that will be used to deliver IDMEF data from analyzers to managers. These requirements include message confidentiality, message integrity, non-repudiation, and avoidance of duplicate messages. Both standard and proposed protocols exist that provide these features.
セクション5 [2]マネージャにアナライザからIDMEFデータを配信するために使用される伝送プロトコルの必要および推奨セキュリティ特性を記述する。これらの要件は、メッセージの機密性、メッセージの完全性、否認防止、および重複メッセージの回避が含まれます。どちらも標準と提案プロトコルは、これらの機能を提供する存在します。
Where a protocol that does not meet the requirements of Section 5 of [2] is used to exchange IDMEF messages, it may be desirable to use digital signatures to certify the integrity of these messages; this is discussed in Section 6.5 of this document.
[2]のセクション5の要件を満たしていないプロトコルがIDMEFメッセージを交換するために使用される場合、これらのメッセージの完全性を証明するデジタル署名を使用することが望ましいです。これは、このドキュメントのセクション6.5で説明されています。
Section 5 describes how to use the AdditionalData class to include arbitrary "atomic" data items in an IDMEF message, as well as how AdditionalData may be used to extend the DTD itself by adding new classes and attributes.
セクション5は、任意の「アトミック」データIDMEFメッセージ内のアイテム、ならびにAdditionalData新しいクラスおよび属性を追加することによって、DTD自体を拡張するために使用されてもよい方法を含むようにAdditionalDataクラスを使用する方法について説明します。
From time to time, it may be desirable to move an extension from its private or local use status (as all extensions made via the above mechanism are) to "standard" status that should be supported by all implementations.
時々、すべての実装によってサポートされなければならない「標準」状態に(上記の機構を介して行われたすべての拡張機能であるように)そのプライベートまたはローカル使用状態から拡張を移動させることが望ましい場合があります。
This may be accomplished as described in this section.
このセクションで説明するように、これは達成することができます。
Several of the attributes specified in this document have lists of permissible values that they may contain. To allow the addition of new values to these lists, the IANA created a repository for attribute values called "Intrusion Detection Message Exchange Format (IDMEF) Attribute Values".
この文書で指定された属性のいくつかは、彼らが含まれていてもよい許容値のリストを持っています。これらのリストに新しい値を追加できるようにするには、IANAは、「侵入検知メッセージ交換フォーマット(IDMEF)属性値」と呼ばれる属性値のリポジトリを作成しました。
Following the policies outlined in [9], this repository is "Specification Required" by RFC. Section 10.1.1 describes the initial values for this repository.
[9]に概説された方針に続いて、このリポジトリは、RFCによる「仕様が必要」です。 10.1.1項は、このリポジトリの初期値を示します。
To create a new attribute, you MUST publish an RFC to document the type. In the RFC, include a copy of the registration template found in Section 10.1.2 of this document. Put the template in your IANA Considerations section, filling in the appropriate fields. You MUST describe any interoperability and security issues in your document.
新しい属性を作成するには、タイプを文書化するRFCを公開する必要があります。 RFCでは、このドキュメントのセクション10.1.2で見つかった登録テンプレートのコピーが含まれます。適切なフィールドに記入し、あなたのIANAの考慮事項のセクションでテンプレートを置きます。あなたは、ドキュメント内の任意の相互運用性とセキュリティの問題について説明しなければなりません。
When adding a new attribute value to the repository, the IANA shall assign the next rank number in numerical sequence for the value.
リポジトリに新しい属性値を追加する場合、IANAは値の数値の順序で次のランク番号を割り当てるものとします。
IDMEF Class Name: Reference
IDMEFクラス名:リファレンス
IDMEF Attribute Name: origin
原産地:IDMEFは、属性名
Registered Values:
登録された値:
+------+-----------------+------------------------------------------+
| Rank | Keyword | Description |
+------+-----------------+------------------------------------------+
| 0 | unknown | Origin of the name is not known |
| 1 | vendor-specific | A vendor-specific name (and hence, URL); |
| | | this can be used to provide |
| | | product-specific information |
| 2 | user-specific | A user-specific name (and hence, URL); |
| | | this can be used to provide |
| | | installation-specific information |
| 3 | bugtraqid | The SecurityFocus ("Bugtraq") |
| | | vulnerability database identifier |
| | | (http://www.securityfocus.com/bid) |
| 4 | cve | The Common Vulnerabilities and Exposures |
| | | (CVE) name (http://cve.mitre.org/) |
| 5 | osvdb | The Open Source Vulnerability Database |
| | | (http://www.osvdb.org) |
+------+-----------------+------------------------------------------+
IDMEF Class Name: Source
IDMEFクラス名:ソース
IDMEF Attribute Name: spoofed
IDMEFは、属性名:詐称します
Registered Values:
登録された値:
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of source information unknown |
| 1 | yes | Source is believed to be a decoy |
| 2 | no | Source is believed to be "real" |
+------+---------+----------------------------------------+
IDMEF Class Name: Target
IDMEFクラス名:ターゲット
IDMEF Attribute Name: decoy
おとり:IDMEFは、属性名
Registered Values:
登録された値:
+------+---------+----------------------------------------+
| Rank | Keyword | Description |
+------+---------+----------------------------------------+
| 0 | unknown | Accuracy of target information unknown |
| 1 | yes | Target is believed to be a decoy |
| 2 | no | Target is believed to be "real" |
+------+---------+----------------------------------------+
IDMEF Class Name: AdditionalData
IDMEFクラス名:AdditionalData
IDMEF Attribute Name: type
タイプ:IDMEFは、属性名
Registered Values:
登録された値:
+------+-------------+----------------------------------------------+
| Rank | Keyword | Description |
+------+-------------+----------------------------------------------+
| 0 | boolean | The element contains a boolean value, i.e., |
| | | the strings "true" or "false" |
| 1 | byte | The element content is a single 8-bit byte |
| | | (see Section 3.2.4) |
| 2 | character | The element content is a single character |
| | | (see Section 3.2.3) |
| 3 | date-time | The element content is a date-time string |
| | | (see Section 3.2.6) |
| 4 | integer | The element content is an integer (see |
| | | Section 3.2.1) |
| 5 | ntpstamp | The element content is an NTP timestamp (see |
| | | Section 3.2.7) |
| 6 | portlist | The element content is a list of ports (see |
| | | Section 3.2.8) |
| 7 | real | The element content is a real number (see |
| | | Section 3.2.2) |
| 8 | string | The element content is a string (see |
| | | Section 3.2.3) |
| 9 | byte-string | The element content is a byte[] (see |
| | | Section 3.2.4) |
| 10 | xmltext | The element content is XML-tagged data (see |
| | | Section 5.2) |
+------+-------------+----------------------------------------------+
IDMEF Class Name: Impact
IDMEFクラス名:インパクト
IDMEF Attribute Name: severity
深刻度:IDMEFは、属性名
Registered Values:
登録された値:
+------+---------+-----------------------------------------+
| Rank | Keyword | Description |
+------+---------+-----------------------------------------+
| 0 | info | Alert represents informational activity |
| | | |
| 1 | low | Low severity |
| | | |
| 2 | medium | Medium severity |
| | | |
| 3 | high | High severity |
+------+---------+-----------------------------------------+
IDMEF Class Name: Impact
IDMEFクラス名:インパクト
IDMEF Attribute Name: completion
IDMEFは、属性名:完了したことを
Registered Values:
登録された値:
+------+-----------+--------------------------------+
| Rank | Keyword | Description |
+------+-----------+--------------------------------+
| 0 | failed | The attempt was not successful |
| 1 | succeeded | The attempt succeeded |
+------+-----------+--------------------------------+
IDMEF Class Name: Impact
IDMEFクラス名:インパクト
IDMEF Attribute Name: type
タイプ:IDMEFは、属性名
Registered Values:
登録された値:
+------+---------+--------------------------------------------------+
| Rank | Keyword | Description |
+------+---------+--------------------------------------------------+
| 0 | admin | Administrative privileges were attempted or |
| | | obtained |
| 1 | dos | A denial of service was attempted or completed |
| 2 | file | An action on a file was attempted or completed |
| 3 | recon | A reconnaissance probe was attempted or |
| | | completed |
| 4 | user | User privileges were attempted or obtained |
| 5 | other | Anything not in one of the above categories |
+------+---------+--------------------------------------------------+
IDMEF Class Name: Action
IDMEFクラス名:アクション
IDMEF Attribute Name: category
IDMEFは、属性名:カテゴリ
Registered Values:
登録された値:
+------+-------------------+----------------------------------------+
| Rank | Keyword | Description |
+------+-------------------+----------------------------------------+
| 0 | block-installed | A block of some sort was installed to |
| | | prevent an attack from reaching its |
| | | destination. The block could be a |
| | | port block, address block, etc., or |
| | | disabling a user account. |
| 1 | notification-sent | A notification message of some sort |
| | | was sent out-of-band (via pager, |
| | | e-mail, etc.). Does not include the |
| | | transmission of this alert. |
| 2 | taken-offline | A system, computer, or user was taken |
| | | offline, as when the computer is shut |
| | | down or a user is logged off. |
| 3 | other | Anything not in one of the above |
| | | categories. |
+------+-------------------+----------------------------------------+
IDMEF Class Name: Confidence
IDMEFクラス名:自信
IDMEF Attribute Name: rating
評価:IDMEFは、属性名
Registered Values:
登録された値:
+------+---------+--------------------------------------------------+
| Rank | Keyword | Description |
+------+---------+--------------------------------------------------+
| 0 | low | The analyzer has little confidence in its |
| | | validity |
| 1 | medium | The analyzer has average confidence in its |
| | | validity |
| 2 | high | The analyzer has high confidence in its validity |
| 3 | numeric | The analyzer has provided a posterior |
| | | probability value indicating its confidence in |
| | | its validity |
+------+---------+--------------------------------------------------+
IDMEF Class Name: Node
IDMEFクラス名:ノード
IDMEF Attribute Name: category
IDMEFは、属性名:カテゴリ
Registered Values:
登録された値:
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | unknown | Domain unknown or not relevant |
| 1 | ads | Windows 2000 Advanced Directory Services |
| 2 | afs | Andrew File System (Transarc) |
| 3 | coda | Coda Distributed File System |
| 4 | dfs | Distributed File System (IBM) |
| 5 | dns | Domain Name System |
| 6 | hosts | Local hosts file |
| 7 | kerberos | Kerberos realm |
| 8 | nds | Novell Directory Services |
| 9 | nis | Network Information Services (Sun) |
| 10 | nisplus | Network Information Services Plus (Sun) |
| 11 | nt | Windows NT domain |
| 12 | wfw | Windows for Workgroups |
+------+----------+------------------------------------------+
IDMEF Class Name: Address
IDMEFクラス名:住所
IDMEF Attribute Name: category
IDMEFは、属性名:カテゴリ
Registered Values:
登録された値:
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | unknown | Address type unknown |
| 1 | atm | Asynchronous Transfer Mode network address |
| 2 | e-mail | Electronic mail address (RFC 822) |
| 3 | lotus-notes | Lotus Notes e-mail address |
| 4 | mac | Media Access Control (MAC) address |
| 5 | sna | IBM Shared Network Architecture (SNA) |
| | | address |
| 6 | vm | IBM VM ("PROFS") e-mail address |
| 7 | ipv4-addr | IPv4 host address in dotted-decimal |
| | | notation (a.b.c.d) |
| 8 | ipv4-addr-hex | IPv4 host address in hexadecimal notation |
| 9 | ipv4-net | IPv4 network address in dotted-decimal |
| | | notation, slash, significant bits |
| | | (a.b.c.d/nn) |
| 10 | ipv4-net-mask | IPv4 network address in dotted-decimal |
| | | notation, slash, network mask in |
| | | dotted-decimal notation (a.b.c.d/w.x.y.z) |
| 11 | ipv6-addr | IPv6 host address |
| 12 | ipv6-addr-hex | IPv6 host address in hexadecimal notation |
| 13 | ipv6-net | IPv6 network address, slash, significant |
| | | bits |
| 14 | ipv6-net-mask | IPv6 network address, slash, network mask |
+------+---------------+--------------------------------------------+
IDMEF Class Name: User
IDMEFクラス名:ユーザー
IDMEF Attribute Name: category
IDMEFは、属性名:カテゴリ
Registered Values:
登録された値:
+------+-------------+------------------------------------+
| Rank | Keyword | Description |
+------+-------------+------------------------------------+
| 0 | unknown | User type unknown |
| 1 | application | An application user |
| 2 | os-device | An operating system or device user |
+------+-------------+------------------------------------+
IDMEF Class Name: UserId
IDMEFクラス名:ユーザーID
IDMEF Attribute Name: category
IDMEFは、属性名:カテゴリ
Registered Values:
登録された値:
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | current-user | The current user id being used by the user |
| | | or process. On Unix systems, this would |
| | | be the "real" user id, in general. |
| 1 | original-user | The actual identity of the user or process |
| | | being reported on. On those systems that |
| | | (a) do some type of auditing and (b) |
| | | support extracting a user id from the |
| | | "audit id" token, that value should be |
| | | used. On those systems that do not |
| | | support this, and where the user has |
| | | logged into the system, the "login id" |
| | | should be used. |
| 2 | target-user | The user id the user or process is |
| | | attempting to become. This would apply, |
| | | on Unix systems for example, when the user |
| | | attempts to use "su", "rlogin", "telnet", |
| | | etc. |
| 3 | user-privs | Another user id the user or process has |
| | | the ability to use, or a user id |
| | | associated with a file permission. On |
| | | Unix systems, this would be the |
| | | "effective" user id in a user or process |
| | | context, and the owner permissions in a |
| | | file context. Multiple UserId elements of |
| | | this type may be used to specify a list of |
| | | privileges. |
| 4 | current-group | The current group id (if applicable) being |
| | | used by the user or process. On Unix |
| | | systems, this would be the "real" group |
| | | id, in general. |
| 5 | group-privs | Another group id the group or process has |
| | | the ability to use, or a group id |
| | | associated with a file permission. On |
| | | Unix systems, this would be the |
| | | "effective" group id in a group or process |
| | | context, and the group permissions in a |
| | | file context. On BSD-derived Unix |
| | | systems, multiple UserId elements of this |
| | | type would be used to include all the |
| | | group ids on the "group list". |
| 6 | other-privs | Not used in a user, group, or process |
| | | context, only used in the file context. |
| | | The file permissions assigned to users who |
| | | do not match either the user or group |
| | | permissions on the file. On Unix systems, |
| | | this would be the "world" permissions. |
+------+---------------+--------------------------------------------+
IDMEF Class Name: File
IDMEFクラス名:ファイル
IDMEF Attribute Name: category
IDMEFは、属性名:カテゴリ
Registered Values:
登録された値:
+------+----------+-------------------------------------------------+
| Rank | Keyword | Description |
+------+----------+-------------------------------------------------+
| 0 | current | The file information is from after the reported |
| | | change |
| 1 | original | The file information is from before the |
| | | reported change |
+------+----------+-------------------------------------------------+
IDMEF Class Name: File
IDMEFクラス名:ファイル
IDMEF Attribute Name: fstype
fstypeに:IDMEFは、属性名
Registered Values:
登録された値:
+------+---------+-------------------------------------+
| Rank | Keyword | Description |
+------+---------+-------------------------------------+
| 0 | ufs | Berkeley Unix Fast File System |
| 1 | efs | Linux "efs" file system |
| 2 | nfs | Network File System |
| 3 | afs | Andrew File System |
| 4 | ntfs | Windows NT File System |
| 5 | fat16 | 16-bit Windows FAT File System |
| 6 | fat32 | 32-bit Windows FAT File System |
| 7 | pcfs | "PC" (MS-DOS) file system on CD-ROM |
| 8 | joliet | Joliet CD-ROM file system |
| 9 | iso9660 | ISO 9660 CD-ROM file system |
+------+---------+-------------------------------------+
IDMEF Class Name: FileAccess
IDMEFクラス名:FileAccessの
IDMEF Attribute Name: permission
IDMEFは、属性名:許可を
Registered Values:
登録された値:
+------+-------------------+----------------------------------------+
| Rank | Keyword | Description |
+------+-------------------+----------------------------------------+
| 0 | noAccess | No access at all is allowed for this |
| | | user |
| 1 | read | This user has read access to the file |
| 2 | write | This user has write access to the file |
| 3 | execute | This user has the ability to execute |
| | | the file |
| 4 | search | This user has the ability to search |
| | | this file (applies to "execute" |
| | | permission on directories in Unix) |
| 5 | delete | This user has the ability to delete |
| | | this file |
| 6 | executeAs | This user has the ability to execute |
| | | this file as another user |
| 7 | changePermissions | This user has the ability to change |
| | | the access permissions on this file |
| 8 | takeOwnership | This user has the ability to take |
| | | ownership of this file |
+------+-------------------+----------------------------------------+
IDMEF Class Name: Linkage
IDMEFクラス名:リンケージ
IDMEF Attribute Name: category
IDMEFは、属性名:カテゴリ
Registered Values:
登録された値:
+------+---------------+--------------------------------------------+
| Rank | Keyword | Description |
+------+---------------+--------------------------------------------+
| 0 | hard-link | The <name> element represents another name |
| | | for this file. This information may be |
| | | more easily obtainable on NTFS file |
| | | systems than others. |
| 1 | mount-point | An alias for the directory specified by |
| | | the parent's <name> and <path> elements. |
| 2 | reparse-point | Applies only to Windows; excludes symbolic |
| | | links and mount points, which are specific |
| | | types of reparse points. |
| 3 | shortcut | The file represented by a Windows |
| | | "shortcut". A shortcut is distinguished |
| | | from a symbolic link because of the |
| | | difference in their contents, which may be |
| | | of importance to the manager. |
| 4 | stream | An Alternate Data Stream (ADS) in Windows; |
| | | a fork on MacOS. Separate file system |
| | | entity that is considered an extension of |
| | | the main <File>. |
| 5 | symbolic-link | The <name> element represents the file to |
| | | which the link points. |
+------+---------------+--------------------------------------------+
IDMEF Class Name: Checksum
IDMEFクラス名:チェックサム
IDMEF Attribute Name: algorithm
IDMEFは、属性名:アルゴリズム
Registered Values:
登録された値:
+------+----------+------------------------------------------+
| Rank | Keyword | Description |
+------+----------+------------------------------------------+
| 0 | MD4 | The MD4 algorithm. |
| 1 | MD5 | The MD5 algorithm. |
| 2 | SHA1 | The SHA1 algorithm. |
| 3 | SHA2-256 | The SHA2 algorithm with 256 bits length. |
| 4 | SHA2-384 | The SHA2 algorithm with 384 bits length. |
| 5 | SHA2-512 | The SHA2 algorithm with 512 bits length. |
| 6 | CRC-32 | The CRC algorithm with 32 bits length. |
| 7 | Haval | The Haval algorithm. |
| 8 | Tiger | The Tiger algorithm. |
| 9 | Gost | The Gost algorithm. |
+------+----------+------------------------------------------+
IDMEF Class Name:
IDMEFクラス名:
<provide the name of the class that contains the attribute to which you want to add a new value, e.g., "Address">
<新しい値、例えば、「アドレス」を追加する属性を含むクラスの名前を提供>
IDMEF Attribute Name:
IDMEFは、属性名:
<provide the name of the attribute to which you want to add a new value, e.g., "category">
<新しい値、例えば、「カテゴリ」を追加する属性の名前を提供>
New Attribute Value to Be Defined:
定義する新しい属性値:
<provide the name of the new attribute value that you want to add, e.g., "sneaker-net">
<追加する新しい属性値、例えば、「スニーカーネット」の名前を提供>
Meaning of New Attribute Value:
新しい属性値の意味:
<describe in detail what the attribute value means -- i.e., if an analyzer sends this value, what is it telling the receiver of the information?>
<属性値が何を意味するのかを詳細に説明する - アナライザは、この値を送信する場合、すなわち、どのようなそれは情報の受け手を言っています?>
Contact Person and E-Mail Address:
担当者とEメールアドレス:
<your name and e-mail address>
<あなたの名前と電子メールアドレス>
To the extent possible, the IDMEF classes and attributes specified in this document have been designed to accommodate all current and near-future needs. Although it is recognized that the addition of new classes, as well as the addition of new attributes to existing classes, will be necessary in the future, these actions should not be taken lightly.
可能な限り、この文書で指定IDMEFクラスと属性はすべて、現在および近い将来のニーズに対応するように設計されています。それは新しいクラスの追加だけでなく、既存のクラスに新しい属性を追加するには、将来的に必要になると認識しているが、これらのアクションは軽く取られるべきではありません。
Any addition of new attributes or classes should only be undertaken when the current classes and attributes simply cannot be used to represent the information in a "clean" way -- and such additions should only be made to represent generally-useful types of data. Vendor-specific information, obscure information provided by only a particular type of analyzer or used only by a particular type of manager, "pet" attributes, and the like are not good reasons to make class and attribute additions.
現在のクラスと単純属性が「クリーン」な方法で情報を表すために使用できない場合、新しい属性またはクラスのいずれかの添加はのみ行われるべきである - そして、そのような追加はデータのみの一般的に有用な種類を表すためになされるべきです。ベンダー固有の情報、あいまいな情報アナライザの唯一の特定の種類によって提供されるか、または管理者のみの特定の種類によって使用される、「ペット」は、属性、およびようなクラスや属性の追加を行うための十分な理由ではありません。
At the time this RFC was written, the first anticipated case for which new classes and attributes will need to be added is to handle host-based intrusion detection systems. However, such additions should not be made until some level of consensus has been reached about the set of data that will be provided by these systems.
このRFCが書かれた時点では、新しいクラスと属性を追加する必要がありますのための最初の予想の場合は、ホストベースの侵入検知システムを処理することです。コンセンサスの一部のレベルは、これらのシステムによって提供されるデータのセットについて、到達するまでしかし、そのような追加を行うべきではありません。
Following the policies outlined in [9], the addition of new classes and attributes to the IDMEF requires "IETF Consensus".
[9]に概説された方針に続き、IDMEFに新しいクラスと属性を追加するには、「IETFコンセンサス」を必要とします。
To add new attributes or classes, you MUST publish an RFC to document them, and get that RFC approved by the IESG. Typically, the IESG will seek input on prospective additions from appropriate persons (e.g., a relevant working group if one exists). You MUST describe any interoperability and security issues in your document.
新しい属性やクラスを追加するには、それらを文書化するためにRFCを公開し、IESGによって承認されているRFCを取得する必要があります。典型的には、IESGは、適切な人(例えば、存在する場合、関連するワーキンググループ)から将来の追加の入力を求めます。あなたは、ドキュメント内の任意の相互運用性とセキュリティの問題について説明しなければなりません。
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1]ブラドナーのは、S.は、BCP 14、RFC 2119、1997年3月の "RFCsにおける使用のためのレベルを示すために"。
[2] Wood, M. and M. Erlinger, "Intrusion Detection Mesage Exchange Requirements", RFC 4766, March 2007.
[2]木材、M.とM. Erlinger、 "侵入検知メッセージを指定取引所の要件"、RFC 4766、2007年3月。
[3] Sperberg-McQueen, C., Paoli, J., Maler, E., and T. Bray, "Extensible Markup Language (XML) 1.0 (Second Edition)", World Wide Web Consortium FirstEdition http://www.w3.org/TR/2000/REC-xml-20001006, October 2000.
[3] Sperberg・マックイーン、C.、パオリ、J.、MALER、E.、およびT.ブレイ、 "拡張マークアップ言語(XML)1.0(第二版)"、ワールド・ワイド・ウェブ・コンソーシアムFirstEditionはhttp:// WWW。 w3.org/TR/2000/REC-xml-20001006、2000年10月。
[4] Bray, T., Hollander, D., and A. Layman, "Namespaces in XML", World Wide Web Consortium Recommendation http://www.w3.org/TR/1999/ REC-xml-names-19990114, January 1999.
[4]ブレイ、T.、オランダ、D.、およびA.素人、 "XMLで名前空間"、World Wide Web Consortium(W3C)の勧告http://www.w3.org/TR/1999/ REC-XML-名-19990114 、1999年1月。
[5] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, January 2005.
[5]バーナーズ - リー、T.、フィールディング、R.、およびL. Masinter、 "ユニフォームリソース識別子(URI):汎用構文"、STD 66、RFC 3986、2005年1月。
[6] International Organization for Standardization, "Data elements and interchange formats - Information interchange - Representation of dates and times", ISO Standard 8601, Second Edition, December 2000.
[6]国際標準化機構、「データ要素と交換フォーマット - 情報交換 - 日付と時刻の表現」、ISO規格8601、第2版、2000年12月。
[7] Mills, D., "Network Time Protocol (Version 3) Specification, Implementation", RFC 1305, March 1992.
[7]ミルズ、D.、 "ネットワーク時間プロトコル(バージョン3)仕様、実装"、RFC 1305、1992年3月。
[8] Mills, D., "Simple Network Time Protocol (SNTP) Version 4 for IPv4, IPv6 and OSI", RFC 4330, January 2006.
、RFC 4330、2006年1月[8]ミルズ、D.、 "IPv4、IPv6、およびOSIのため簡易ネットワークタイムプロトコル(SNTP)バージョン4"。
[9] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[9] Narten氏、T.とH. Alvestrand、 "RFCsにIANA問題部に書くためのガイドライン"、BCP 26、RFC 2434、1998年10月。
[10] Phillips, A. and M. Davis, "Tags for Identifying Languages", BCP 47, RFC 4646, September 2006.
[10]フィリップス、A.とM.デイヴィス、 "言語を識別するためのタグ"、BCP 47、RFC 4646、2006年9月。
[11] St. Johns, M., "Identification Protocol", RFC 1413, February 1993.
[11]セントジョーンズ、M.、 "識別プロトコル"、RFC 1413、1993年2月。
[12] Resnick, P., "Internet Message Format", RFC 2822, April 2001.
[12]レズニック、P.、 "インターネットメッセージ形式"、RFC 2822、2001年4月。
[13] Eastlake, D., Reagle, J., and D. Solo, "(Extensible Markup Language) XML-Signature Syntax and Processing", RFC 3275, March 2002.
[13]イーストレーク、D.、Reagle、J.、およびD.ソロ "(拡張マークアップ言語)、XML署名の構文および処理"、RFC 3275、2002年3月。
[14] Rumbaugh, J., Jacobson, I., and G. Booch, "The Unified Modeling Language Reference Model", ISBN 020130998X, 1998.
[14] Rumbaugh、J.、ヤコブソン、I.、およびG. Booch法、 "統一モデリング言語参照モデル"、ISBN 020130998X、1998。
[15] Harrington, D., Presuhn, R., and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.
[15]ハリントン、D.、Presuhn、R.、およびB. Wijnenの、 "簡易ネットワーク管理プロトコル(SNMP)管理フレームワークを記述するためのアーキテクチャ"、STD 62、RFC 3411、2002年12月。
[16] Frye, R., Levi, D., Routhier, S., and B. Wijnen, "Coexistence between Version 1, Version 2, and Version 3 of the Internet-standard Network Management Framework", BCP 74, RFC 3584, August 2003.
[16]フライ、R.、レヴィ、D.、Routhier、S.、およびB. Wijnenの、BCP 74、RFC 3584 "バージョン1、バージョン2、及びインターネット標準ネットワーク管理フレームワークのバージョン3の間の共存" 、2003年8月。
Appendix A. Acknowledgements
付録A.謝辞
The following individuals contributed substantially to this document and should be recognized for their efforts. This document would not exist without their help:
以下の個人は、この文書に大きく貢献し、彼らの努力のために認識されるべきです。この文書では、彼らの助けなしでは存在しないでしょう。
Dominique Alessandri, IBM Corporation Spencer Allain, Teknowledge Corporation James L. Burden, California Independent Systems Operator Marc Dacier, IBM Corporation Oliver Dain, MIT Lincoln Laboratory Nicolas Delon, Prelude Hybrid IDS project David J. Donahoo, AFIWC Michael Erlinger, Harvey Mudd College Reinhard Handwerker, Internet Security Systems, Inc. Ming-Yuh Huang, The Boeing Company Glenn Mansfield, Cyber Solutions, Inc. Joe McAlerney, Silicon Defense Cynthia McLain, MIT Lincoln Laboratory Paul Osterwald, Intrusion.com Jean-Philippe Pouzol James Riordan, IBM Corporation Paul Sangree, Cisco Systems Stephane Schitter, IBM Corporation Michael J. Slifcak, Trusted Network Technologies, Inc. Steven R. Snapp, CyberSafe Corporation Stuart Staniford-Chen, Silicon Defense Michael Steiner, University of Saarland Maureen Stillman, Nokia IP Telephony Vimal Vaidya, AXENT Yoann Vandoorselaere, Prelude Hybrid IDS project Andy Walther, Harvey Mudd College Andreas Wespi, IBM Corporation John C. C. White, MITRE Eric D. Williams, Information Brokers, Inc. S. Felix Wu, University of California Davis
ドミニク・アレッサンドリ、IBMコーポレーションスペンサーアラン、Teknowledge株式会社ジェームズ・L.負担、カリフォルニア独立システムオペレータマルク・Dacier、IBMコーポレーションオリバー・デイン、MITリンカーン研究所ニコラ・ドロン、プレリュードハイブリッドIDSプロジェクトのDavid J. Donahoo、AFIWCマイケルErlinger、ハービーマッド大学ラインハルトHandwerker、インターネットセキュリティシステムズ株式会社明ユウ黄、ボーイング社グレンマンスフィールド、サイバーソリューションズ、株式会社ジョーMcAlerney、シリコン防衛シンシアMcLain、MITリンカーン研究所ポールOsterwald、Intrusion.comジャン=フィリップ・Pouzolジェームズ・リオーダン、IBMコーポレーションポール・Sangree、シスコシステムズステファンSchitter、IBM社のMichael J. Slifcak、トラステッドネットワークテクノロジーズ株式会社スティーブン・R. SNAPP、CyberSafeの株式会社スチュアートStaniford-チェン、シリコン防衛マイケル・シュタイナー、大学ザールラントのモーリーンスティルマン、ノキアIPテレフォニービマルVaidya、 AXENTヨアン・Vandoorselaere、プレリュードハイブリッドIDSプロジェクトアンディ・ヴァルター、ハービーマッド大学アンドレアスWespi、IBMコーポレーションのジョンCCホワイト、MITERエリック・D.ウィリアムズ、情報ブローカー、株式会社S.フェリックス・ウー、カリフォルニア大学デービス校
Appendix B. The IDMEF Schema Definition (Non-normative)
付録B.ザ・IDMEFスキーマ定義(非規範的)
<?xml version="1.0"?> <xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:idmef="http://iana.org/idmef" targetNamespace="http://iana.org/idmef" elementFormDefault="qualified" >
<?xml version = "1.0"?> <XSD:スキーマのxmlns:XSD = "http://www.w3.org/2001/XMLSchema" のxmlns:IDMEF = "http://iana.org/idmef" のtargetNamespace = "http://iana.org/idmef" のelementFormDefault = "資格">
<xsd:annotation> <xsd:documentation> Intrusion Detection Message Exchange Format (IDMEF) Version 1.0 </xsd:documentation> </xsd:annotation>
<XSD:注釈> <のxsd:ドキュメント>侵入検知メッセージ交換フォーマット(IDMEF)バージョン1.0 </のxsd:ドキュメンテーション> </のxsd:注釈>
<!-- Section 1 --> <!-- Omitted. This section did namespace magic and is not needed with XSD validation. -->
<! - 第1節 - > <! - 中略。このセクションでは、名前空間の魔法を行なったし、XSD検証で必要とされていません。 - >
<!-- Section 2 -->
<! - 第2節 - >
<!-- Values for the Action.category attribute. --> <xsd:simpleType name="action-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="block-installed" /> <xsd:enumeration value="notification-sent" /> <xsd:enumeration value="taken-offline" /> <xsd:enumeration value="other" /> </xsd:restriction> </xsd:simpleType>
<! - Action.category属性の値。 - > <XSD:単純型名= "アクションカテゴリ"> <XSD:制限基地= "XSD:トークン"> <XSD:列挙値= "ブロックインストール" /> <XSD:列挙値=「通知送信"/> <XSD:列挙値=" 取り込んだオフライン」/> <XSD:列挙値= "他の" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- Values for the Address.category attribute. --> <xsd:simpleType name="address-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="atm" /> <xsd:enumeration value="e-mail" /> <xsd:enumeration value="lotus-notes" /> <xsd:enumeration value="mac" /> <xsd:enumeration value="sna" /> <xsd:enumeration value="vm" /> <xsd:enumeration value="ipv4-addr" /> <xsd:enumeration value="ipv4-addr-hex" /> <xsd:enumeration value="ipv4-net" /> <xsd:enumeration value="ipv4-net-mask" />
<! - Address.category属性の値。 - > <XSD:単純型名= "アドレス-カテゴリ"> <XSD:制限ベース= "のxsd:トークン"> <XSD:列挙値= "不明" /> <XSD:列挙値= "気圧" /> < XSD:列挙値= "電子メール" /> <XSD:列挙値= "蓮-ノート" /> <XSD:列挙値= "MAC" /> <XSD:列挙値= "SNA" /> <XSD:列挙値= "VM" /> <XSD:列挙値= "IPv4の-addrに" /> <XSD:列挙値= "のIPv4-addrに-進" /> <XSD:列挙値= "IPv4のネット" /> < XSD:列挙値=「IPv4のネットマスク」/>
<xsd:enumeration value="ipv6-addr" /> <xsd:enumeration value="ipv6-addr-hex" /> <xsd:enumeration value="ipv6-net" /> <xsd:enumeration value="ipv6-net-mask" /> </xsd:restriction> </xsd:simpleType>
<XSD:列挙値=の "IPv6-ADDR" /> <XSD:列挙値=の "IPv6-ADDR-ヘクス" /> <XSD:列挙値= "IPv6のネット" /> <XSD:列挙値= "ipv6-ネットマスク」/> </のxsd:制限> </のxsd:simpleTypeの>
<!-- | Values for the Impact.severity attribute. --> <xsd:simpleType name="impact-severity"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="info" /> <xsd:enumeration value="low" /> <xsd:enumeration value="medium" /> <xsd:enumeration value="high" /> </xsd:restriction> </xsd:simpleType>
<! - | Impact.severity属性の値。 - > <XSD:単純型名= "衝撃の重大度"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "INFO" /> <XSD:列挙値= "低" /> < XSD:列挙値= "中" /> <XSD:列挙値= "ハイ" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- Values for the Impact.completion attribute. --> <xsd:simpleType name="impact-completion"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="failed" /> <xsd:enumeration value="succeeded" /> </xsd:restriction> </xsd:simpleType>
<! - Impact.completion属性の値。 - > <XSD:単純型名= "衝撃完了"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "失敗" /> <XSD:列挙値= "成功" /> < / XSD:制限> </のxsd:simpleTypeの>
<!-- | Values for the Impact.type attribute. --> <xsd:simpleType name="impact-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="admin" /> <xsd:enumeration value="dos" /> <xsd:enumeration value="file" /> <xsd:enumeration value="recon" /> <xsd:enumeration value="user" /> <xsd:enumeration value="other" /> </xsd:restriction> </xsd:simpleType>
<! - | Impact.type属性の値。 - > <XSD:単純型名= "衝撃型"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "管理者" /> <XSD:列挙値= "DOS" /> < XSD:列挙値= "ファイル" /> <XSD:列挙値= "偵察" /> <XSD:列挙値= "ユーザ" /> <XSD:列挙値= "他の" /> </ XSD:制限> < / XSD:単純>
<!-- Values for the File.category attribute. --> <xsd:simpleType name="file-category"> <xsd:restriction base="xsd:token">
<! - File.category属性の値。 - > <XSD:単純型名= "ファイル - カテゴリ"> <のxsd:制限ベース= "のxsd:トークン">
<xsd:enumeration value="current" /> <xsd:enumeration value="original" /> </xsd:restriction> </xsd:simpleType>
<XSD:列挙値= "現在の" /> <XSD:列挙値= "オリジナル" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- Values for the FileAccess.Permissions attribute --> <xsd:simpleType name="file-permission"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="noAccess"/> <xsd:enumeration value="read"/> <xsd:enumeration value="write"/> <xsd:enumeration value="execute"/> <xsd:enumeration value="search" /> <xsd:enumeration value="delete" /> <xsd:enumeration value="executeAs" /> <xsd:enumeration value="changePermissions" /> <xsd:enumeration value="takeOwnership" /> </xsd:restriction> </xsd:simpleType>
<! - FileAccess.Permissions属性の値 - > <XSD:単純名前は= "ファイル許可"> <XSD:制限ベース= "のxsd:トークン"> <XSD:列挙値= "NOACCESS" /> < XSD:列挙値= "読み" /> <XSD:列挙値は= "書き込み" /> <XSD:列挙値は= "実行" /> <XSD:列挙値= "検索" /> <XSD:列挙値=」 「列挙値= /> <XSD "executeAs" /> <XSD:列挙値= "changePermissions削除" /> <XSD:列挙値= "takeOwnership" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- Values for the Id.type attribute. --> <xsd:simpleType name="id-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="current-user" /> <xsd:enumeration value="original-user" /> <xsd:enumeration value="target-user" /> <xsd:enumeration value="user-privs" /> <xsd:enumeration value="current-group" /> <xsd:enumeration value="group-privs" /> <xsd:enumeration value="other-privs" /> </xsd:restriction> </xsd:simpleType>
<! - Id.type属性の値。 - > <XSD:単純名= "ID型"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "現在のユーザ" /> <XSD:列挙値= "元のユーザー"/> <XSD:列挙値=" ターゲットユーザ "/> <XSD:列挙値= "ユーザPRIVS"/> <XSD:列挙値= "現在のグループ"/> <XSD:列挙値=" 基-privs」/> <XSD:列挙値= "他PRIVS" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- | Values for the Linkage.category attribute. --> <xsd:simpleType name="linkage-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="hard-link" /> <xsd:enumeration value="mount-point" /> <xsd:enumeration value="reparse-point" /> <xsd:enumeration value="shortcut" /> <xsd:enumeration value="stream" /> <xsd:enumeration value="symbolic-link" />
<! - | Linkage.category属性の値。 - > <XSD:単純型名= "結合カテゴリ"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "ハードリンク" /> <XSD:列挙値=「マウントポイント"/> <XSD:列挙値=" リパースポイント」/> <XSD:列挙値= "ショートカット" /> <XSD:列挙値= "ストリーム" /> <XSD:列挙値= "シンボリックリンク" / >
</xsd:restriction> </xsd:simpleType>
</ XSD:制限> </のxsd:simpleTypeの>
<!-- | Values for the Checksum.algorithm attribute --> <xsd:simpleType name="checksum-algorithm"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="MD4" /> <xsd:enumeration value="MD5" /> <xsd:enumeration value="SHA1" /> <xsd:enumeration value="SHA2-256" /> <xsd:enumeration value="SHA2-384" /> <xsd:enumeration value="SHA2-512" /> <xsd:enumeration value="CRC-32" /> <xsd:enumeration value="Haval" /> <xsd:enumeration value="Tiger" /> <xsd:enumeration value="Gost" /> </xsd:restriction> </xsd:simpleType>
<! - | Checksum.algorithm属性の値 - > <XSD:単純名= "チェックサム・アルゴリズム"> <XSD:制限ベース= "のxsd:トークン"> <XSD:列挙値= "MD4" /> <XSD:列挙値= "MD5" /> <XSD:列挙値= "SHA1" /> <XSD:列挙値= "SHA2-256" /> <XSD:列挙値= "SHA2-384" /> <XSD:列挙値=」 SHA2-512" /> <XSD:列挙値= "CRC-32" /> <XSD:列挙値= "HAVAL" /> <XSD:列挙値= "タイガー" /> <XSD:列挙値= "GOST" /> </のxsd:制限> </のxsd:simpleTypeの>
<!-- | Values for the Node.category attribute. --> <xsd:simpleType name="node-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="ads" /> <xsd:enumeration value="afs" /> <xsd:enumeration value="coda" /> <xsd:enumeration value="dfs" /> <xsd:enumeration value="dns" /> <xsd:enumeration value="hosts" /> <xsd:enumeration value="kerberos" /> <xsd:enumeration value="nds" /> <xsd:enumeration value="nis" /> <xsd:enumeration value="nisplus" /> <xsd:enumeration value="nt" /> <xsd:enumeration value="wfw" /> </xsd:restriction> </xsd:simpleType>
<! - | Node.category属性の値。 - > <XSD:単純型名= "ノードカテゴリ"> <XSD:制限ベース= "のxsd:トークン"> <XSD:列挙値= "不明" /> <XSD:列挙値= "広告" /> < XSD:列挙値= "AFS" /> <XSD:列挙値= "コーダ" /> <XSD:列挙値= "DFS" /> <XSD:列挙値= "DNS" /> <XSD:列挙値=」ホスト」/> <XSD:列挙値= "ケルベロス" /> <XSD:列挙値= "NDS" /> <XSD:列挙値= "NIS" /> <XSD:列挙値= "はnisplus" /> <XSD :列挙値= "NT" /> <XSD:列挙値= "WFW" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- | Values for the reference.origin attribute. --> <xsd:simpleType name="reference-origin"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" />
<! - | reference.origin属性の値。 - > <XSD:単純名= "基準原点"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "不明" />
<xsd:enumeration value="vendor-specific" /> <xsd:enumeration value="user-specific" /> <xsd:enumeration value="bugtraqid" /> <xsd:enumeration value="cve" /> <xsd:enumeration value="osvdb" /> </xsd:restriction> </xsd:simpleType>
<XSD:列挙値= "ベンダー固有の" /> <XSD:列挙値= "ユーザ固有の" /> <XSD:列挙値= "bugtraqid" /> <XSD:列挙値= "CVE" /> <XSD :列挙値= "osvdb" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- | Values for the Confidence.rating attribute. --> <xsd:simpleType name="confidence-rating"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="low" /> <xsd:enumeration value="medium" /> <xsd:enumeration value="high" /> <xsd:enumeration value="numeric" /> </xsd:restriction> </xsd:simpleType>
<! - | Confidence.rating属性の値。 - > <XSD:単純型名= "自信-評価"> <XSD:制限ベース= "のxsd:トークン"> <XSD:列挙値= "低" /> <XSD:列挙値= "中" /> < XSD:列挙値= "ハイ" /> <XSD:列挙値= "数値" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- | Values for the User.category attribute. --> <xsd:simpleType name="user-category"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="application" /> <xsd:enumeration value="os-device" /> </xsd:restriction> </xsd:simpleType>
<! - | User.category属性の値。 - > <XSD:単純名= "ユーザカテゴリ"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "不明" /> <XSD:列挙値= "アプリケーション" /> < XSD:列挙値= "OSデバイス" /> </ XSD:制限> </のxsd:simpleTypeの>
<!-- / Values for the additionaldata.type attribute. --> <xsd:simpleType name="additionaldata-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="boolean" /> <xsd:enumeration value="byte" /> <xsd:enumeration value="character" /> <xsd:enumeration value="date-time" /> <xsd:enumeration value="integer" /> <xsd:enumeration value="ntpstamp" /> <xsd:enumeration value="portlist" /> <xsd:enumeration value="real" /> <xsd:enumeration value="string" /> <xsd:enumeration value="byte-string" /> <xsd:enumeration value="xml" /> </xsd:restriction>
<! - / additionaldata.type属性の値。 - > <XSD:単純型名= "additionaldata型"> <XSD:制限ベース= "XSD:トークン"> <XSD:列挙値= "ブーリアン" /> <XSD:列挙値= "バイト" /> < XSD:列挙値= "文字" /> <XSD:列挙値= "日時" /> <XSD:列挙値= "整数" /> <XSD:列挙値= "ntpstamp" /> <XSD:列挙値= "ポートリスト" /> <XSD:列挙値= "本物" /> <XSD:列挙値= "文字列" /> <XSD:列挙値= "バイトの文字列" /> <XSD:列挙値= "XML" /> </のxsd:制限>
</xsd:simpleType>
</ XSD:単純>
<!-- | Values for yes/no attributes such as Source.spoofed and | Target.decoy. --> <xsd:simpleType name="yes-no-type"> <xsd:restriction base="xsd:token"> <xsd:enumeration value="unknown" /> <xsd:enumeration value="yes" /> <xsd:enumeration value="no" /> </xsd:restriction> </xsd:simpleType>
<! - | |などSource.spoofedやなどはい/いいえ属性の値Target.decoy。 - > <XSD:単純型名= "YES-NO-タイプ"> <XSD:制限ベース= "のxsd:トークン"> <のxsd:列挙値= "不明" /> <XSD:列挙値= "yes" を/ > <XSD:列挙値= "NO" /> </ XSD:制限> </のxsd:simpleTypeの>
<xsd:simpleType name="port-range"> <xsd:restriction base="xsd:string"> <xsd:pattern value="[0-9]{1,5}(\-[0-9]{1,5})?"/> </xsd:restriction> </xsd:simpleType>
<XSD:simpleTypeの名前= "ポート範囲"> <XSD:制限ベース= "XSD:文字列"> <XSD:パターン値= "[0-9] {1,5}(\ - [0-9] { 1,5}) "/> </ XSD:制限> </のxsd:simpleTypeの>
<xsd:simpleType name="port-list"> <xsd:list itemType="idmef:port-range" /> </xsd:simpleType>
<XSD:単純名= "ポート・リスト"> <XSD:リストitemTypeに= "IDMEF:ポート範囲" /> </のxsd:simpleTypeの>
<xsd:simpleType name="ntpstamp"> <xsd:restriction base="xsd:string"> <xsd:pattern value="0x[A-Fa-f0-9]{8}.0x[A-Fa-f0-9]{8}"/> </xsd:restriction> </xsd:simpleType>
<XSD:単純型名= "ntpstamp"> <XSD:制限基地= "XSD:文字列"> <XSD:パターン値= "0X [A-FA-f0-9] {8} .0x [A-FA-F0 -9] {8} "/> </ XSD:制限> </のxsd:simpleTypeの>
<xsd:simpleType name="mime-type"> <xsd:restriction base="xsd:string"> </xsd:restriction> </xsd:simpleType>
<XSD:simpleTypeの名前= "MIMEタイプ"> <XSD:制限ベース= "XSD:文字列"> </ XSD:制限> </のxsd:simpleTypeの>
<!-- Section 3: Top-level element declarations. The IDMEF-Message element and the types of messages it can include. -->
<! - 第3節:トップレベルの要素宣言。 IDMEF・メッセージ要素と、それに含めることができるメッセージの種類。 - >
<xsd:complexType name="IDMEF-Message" > <xsd:choice minOccurs="1" maxOccurs="unbounded"> <xsd:element ref="idmef:Alert" /> <xsd:element ref="idmef:Heartbeat" /> </xsd:choice> <xsd:attribute name="version" type="xsd:decimal" fixed="1.0" /> </xsd:complexType>
<XSD:complexTypeの名前= "IDMEF-のメッセージ"> <のxsd:選択肢のminOccurs = "1" のmaxOccurs = "無制限"> <XSD:要素REF = "IDMEF:アラート" /> <XSD:要素REF = "IDMEF:ハートビート"/> </のxsd:選択>ます。<xsd:属性名=" バージョン」タイプ= "のxsd:小数点が" 固定= "1.0" /> </のxsd:complexTypeの>
<xsd:element name="IDMEF-Message" type="idmef:IDMEF-Message" />
ます。<xsd:要素名= "IDMEF・メッセージ" タイプ= "IDMEF:IDMEF-のメッセージ" />
<xsd:complexType name="Alert"> <xsd:sequence> <xsd:element name="Analyzer" type="idmef:Analyzer" /> <xsd:element name="CreateTime" type="idmef:TimeWithNtpstamp" /> <xsd:element name="DetectTime" type="idmef:TimeWithNtpstamp" minOccurs="0" maxOccurs="1" /> <xsd:element name="AnalyzerTime" type="idmef:TimeWithNtpstamp" minOccurs="0" maxOccurs="1" /> <xsd:element name="Source" type="idmef:Source" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Target" type="idmef:Target" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Classification" type="idmef:Classification" /> <xsd:element name="Assessment" type="idmef:Assessment" minOccurs="0" maxOccurs="1" /> <xsd:choice minOccurs="0" maxOccurs="1"> <xsd:element name="ToolAlert" type="idmef:ToolAlert" /> <xsd:element name="OverflowAlert" type="idmef:OverflowAlert" /> <xsd:element name="CorrelationAlert" type="idmef:CorrelationAlert" /> </xsd:choice> <xsd:element name="AdditionalData" type="idmef:AdditionalData" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="messageid" type="xsd:string" default="0" /> </xsd:complexType>
<XSD:complexTypeの名前= "警告"> <のxsd:sequence>を<XSD:要素名= "アナライザー" タイプ= "IDMEF:アナライザ" /> <XSD:要素名= "CREATETIME" タイプ= "IDMEF:TimeWithNtpstamp" / > <XSD:要素名= "DetectTime" タイプ= "IDMEF:TimeWithNtpstamp" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "AnalyzerTime" タイプ= "IDMEF:TimeWithNtpstamp" のminOccurs = "0" maxOccurs = "1" /> <XSD:要素名= "ソース" タイプ= "IDMEF:ソース" のminOccurs = "0" のmaxOccurs = "無制限" /> <XSD:要素名= "ターゲット" タイプ= "IDMEF:ターゲット"のminOccurs =" 0" のmaxOccurs = "無制限" /> <XSD:要素名= "分類" タイプ= "IDMEF:分類" /> <XSD:要素名= "評価" タイプ= "IDMEF:評価" のminOccurs =」 0" のmaxOccurs = "1" /> <XSD:選択肢のminOccurs = "0" のmaxOccurs = "1"> <XSD:要素名= "ToolAlert" タイプ= "IDMEF:ToolAlert" /> <XSD:要素名= "OverflowAlert "タイプ=" IDMEF:OverflowAlert」/> <XSD:要素名= "CorrelationAlert" タイプ= "IDMEF:CorrelationAlert" /> </のxsd:選択>ます。<xsd:要素名= "AdditionalData" タイプ= "IDMEF:AdditionalData" minOccurs = "0" MAXO ccurs = "無制限" /> </のxsd:sequence>を<のxsd:属性名= "メッセージID" タイプ= "のxsd:文字列" デフォルト= "0" /> </のxsd:complexTypeの>
<xsd:element name="Alert" type="idmef:Alert" />
ます。<xsd:要素名= "警告" タイプ= "IDMEF:アラート" />
<xsd:complexType name="Heartbeat"> <xsd:sequence> <xsd:element name="Analyzer" type="idmef:Analyzer" /> <xsd:element name="CreateTime" type="idmef:TimeWithNtpstamp" /> <xsd:element name="HeartbeatInterval" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="AnalyzerTime" type="idmef:TimeWithNtpstamp" minOccurs="0" maxOccurs="1" /> <xsd:element name="AdditionalData" type="idmef:AdditionalData" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="messageid" type="xsd:string" default="0" /> </xsd:complexType>
<XSD:complexTypeの名前= "ハートビート"> <XSD:配列> <XSD:要素名= "アナライザ" タイプ= "IDMEF:アナライザ" /> <XSD:要素名= "CREATETIME" タイプ= "IDMEF:TimeWithNtpstamp" / > <XSD:要素名= "HeartbeatInterval" タイプ= "XSD:整数" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "AnalyzerTime" タイプ= "IDMEF:TimeWithNtpstamp" のminOccurs = "0" maxOccurs = "1" /> <XSD:要素名= "AdditionalData" タイプ= "IDMEF:AdditionalData" のminOccurs = "0" のmaxOccurs = "無制限" /> </のxsd:sequence>を<XSD:属性名= "メッセージID"タイプ= "のxsd:文字列" デフォルト= "0" /> </のxsd:complexTypeの>
<xsd:element name="Heartbeat" type="idmef:Heartbeat" />
ます。<xsd:要素名= "ハートビート" タイプ= "IDMEF:ハートビート" />
<!-- Section 4: Subclasses of the Alert class that provide more data for specific types of alerts. -->
<! - 第4章:アラートの特定のタイプのためのより多くのデータを提供するAlertクラスのサブクラス。 - >
<xsd:complexType name="CorrelationAlert"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="alertident" type="idmef:Alertident" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<XSD:complexTypeの名前= "CorrelationAlert"> <XSD:配列> <XSD:要素名= "名前" タイプ= "XSD:文字列" /> <XSD:要素名= "alertident" タイプ= "IDMEF:Alertident" minOccurs属性= "1" のmaxOccurs = "無制限" /> </ XSD:配列> </のxsd:complexTypeの>
<xsd:complexType name="OverflowAlert"> <xsd:sequence> <xsd:element name="program" type="xsd:string" /> <xsd:element name="size" type="xsd:string" />
<XSD:complexTypeの名前= "OverflowAlert"> <のxsd:sequence>を<XSD:要素名= "プログラム" タイプ= "のxsd:文字列" /> <XSD:要素名= "サイズ" タイプ= "のxsd:文字列" / >
<xsd:element name="buffer" type="xsd:hexBinary" /> </xsd:sequence> </xsd:complexType>
<XSD:要素名= "緩衝液" タイプ= "XSD:のhexBinary" /> </ XSD:配列> </のxsd:complexTypeの>
<xsd:complexType name="ToolAlert"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="command" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="alertident" type="idmef:Alertident" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<XSD:complexTypeの名前= "ToolAlert"> <のxsd:sequence>を<のxsd:要素名= "名前" タイプ= "のxsd:文字列" /> <XSD:要素名= "コマンド" タイプ= "のxsd:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "alertident" タイプ= "IDMEF:Alertident" のminOccurs = "1" のmaxOccurs = "無制限" /> </ XSD:配列> </のxsd:complexTypeの>
<!-- Section 5: The AdditionalData element. This element allows an alert to include additional information that cannot be encoded elsewhere in the data model. -->
<! - セクション5:AdditionalData要素。この要素は、アラートは、データモデル内の他の場所で符号化することができない追加の情報を含めることができます。 - >
<xsd:complexType name="AdditionalData"> <xsd:choice> <xsd:element name="boolean" type="xsd:boolean" /> <xsd:element name="byte" type="xsd:byte" /> <xsd:element name="character"> <xsd:simpleType> <xsd:restriction base="xsd:string"> <xsd:minLength value="1"/> <xsd:maxLength value="1"/> </xsd:restriction> </xsd:simpleType> </xsd:element> <xsd:element name="date-time" type="xsd:dateTime" /> <xsd:element name="integer" type="xsd:integer" /> <xsd:element name="ntpstamp" type="idmef:ntpstamp" /> <xsd:element name="portlist" type="idmef:port-list" /> <xsd:element name="real" type="xsd:decimal" />
<XSD:complexTypeの名前= "AdditionalData"> <のxsd:選択>ます。<xsd:要素名= "ブール" タイプ= "のxsd:boolean型" /> <XSD:要素名= "バイト" タイプ= "のxsd:バイト" / > <XSD:要素名= "文字"> <のxsd:simpleTypeの> <XSD:制限ベース= "XSD:文字列"> <XSD:はminLength値= "1" /> <XSD:maxLengthの値= "1" /> </ XSD:制限> </のxsd:simpleTypeの> </ XSD:要素> <XSD:要素名= "日時" タイプ= "のxsd:dateTimeの" /> <XSD:要素名= "整数" タイプ=」 XSD:整数」/> <XSD:要素名= "ntpstamp" タイプ= "IDMEF:ntpstamp" /> <XSD:要素名= "ポートリスト" タイプ= "IDMEF:ポートリスト" /> <XSD:要素名= "本当の" タイプ= "のxsd:小数" />
<xsd:element name="string" type="xsd:string" /> <xsd:element name="byte-string" type="xsd:hexBinary" /> <xsd:element name="xml" type="idmef:xmltext" /> </xsd:choice> <xsd:attribute name="type" type="idmef:additionaldata-type" /> <xsd:attribute name="meaning" type="xsd:string" /> </xsd:complexType>
ます。<xsd:要素名= "文字列" タイプ= "のxsd:文字列" /> <XSD:要素名= "バイト文字列" タイプ= "のxsd:hexBinaryで" /> <XSD:要素名= "XML" タイプ=」 IDMEF:XMLTEXT」/> </のxsd:選択>ます。<xsd:属性名は= "タイプ" タイプ= "IDMEF:additionaldata型" /> <XSD:属性名= "" タイプ= "XSDの意味:文字列" /> </ XSD:complexTypeの>
<!-- Section 6: Elements related to identifying entities - analyzers (the senders of these messages), sources (of attacks), and targets (of attacks). -->
<! - 第6節:エンティティの識別に関連する要素 - (攻撃の)解析器(これらのメッセージの送信者)、(攻撃の)ソース、およびターゲットを。 - >
<xsd:complexType name="Analyzer"> <xsd:sequence> <xsd:element name="Node" type="idmef:Node" minOccurs="0" maxOccurs="1" /> <xsd:element name="Process" type="idmef:Process" minOccurs="0" maxOccurs="1" /> <xsd:element name="Analyzer" type="idmef:Analyzer" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="analyzerid" type="xsd:string" default="0" /> <xsd:attribute name="name" type="xsd:string" /> <xsd:attribute name="manufacturer" type="xsd:string" /> <xsd:attribute name="model" type="xsd:string" /> <xsd:attribute name="version" type="xsd:string" /> <xsd:attribute name="class" type="xsd:string" /> <xsd:attribute name="ostype" type="xsd:string" /> <xsd:attribute name="osversion"
<XSD:complexTypeの名= "分析"> <XSD:配列> <XSD:要素名= "ノード" タイプ= "IDMEF:ノード" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名=」プロセス」タイプ= "IDMEF:プロセス" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "アナライザ" タイプ= "IDMEF:アナライザ" のminOccurs = "0" のmaxOccurs = "1" /> < / XSD:シーケンス> <XSD:属性名= "analyzerid" タイプ= "のxsd:文字列" デフォルト= "0" /> <XSD:属性名= "名前" タイプ= "のxsd:文字列" /> <XSD:属性名前= "メーカー" タイプ= "のxsd:文字列" /> <XSD:属性名= "モデル" タイプ= "のxsd:文字列" /> <XSD:属性名= "バージョン" タイプ= "のxsd:文字列" /> <XSD:属性名= "クラス" タイプ= "のxsd:文字列" /> <XSD:属性名= "OSTYPE" タイプ= "のxsd:文字列" /> <XSD:属性名= "OSVERSION"
type="xsd:string" /> </xsd:complexType>
タイプ= "のxsd:文字列" /> </のxsd:complexTypeの>
<xsd:complexType name="Source"> <xsd:sequence> <xsd:element name="Node" type="idmef:Node" minOccurs="0" maxOccurs="1" /> <xsd:element name="User" type="idmef:User" minOccurs="0" maxOccurs="1" /> <xsd:element name="Process" type="idmef:Process" minOccurs="0" maxOccurs="1" /> <xsd:element name="Service" type="idmef:Service" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="spoofed" type="idmef:yes-no-type" default="unknown" /> <xsd:attribute name="interface" type="xsd:string" /> </xsd:complexType>
<XSD:complexTypeの名前= "ソース"> <XSD:配列> <XSD:要素名= "ノード" タイプ= "IDMEF:ノード" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名=」ユーザ」TYPE = "IDMEF:ユーザー" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "処理" タイプ= "IDMEF:プロセス" のminOccurs = "0" のmaxOccurs = "1" /> < xsd:要素名= "サービス" タイプ= "IDMEF:サービス" のminOccurs = "0" のmaxOccurs = "1" /> </のxsd:sequence>を<のxsd:属性名= "IDENT" タイプ= "のxsd:string" がデフォルト= "0" /> <XSD:属性名= "詐称" タイプ= "IDMEF:はい・いいえ型" デフォルト= "不明" /> <XSD:属性名= "インターフェース" タイプ= "のxsd:文字列" / > </のxsd:complexTypeの>
<xsd:complexType name="Target"> <xsd:sequence> <xsd:element name="Node" type="idmef:Node" minOccurs="0" maxOccurs="1" /> <xsd:element name="User" type="idmef:User" minOccurs="0" maxOccurs="1" /> <xsd:element name="Process" type="idmef:Process" minOccurs="0" maxOccurs="1" /> <xsd:element name="Service" type="idmef:Service" minOccurs="0" maxOccurs="1" /> <xsd:element name="File" type="idmef:File" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="decoy" type="idmef:yes-no-type" default="unknown" /> <xsd:attribute name="interface" type="xsd:string" /> </xsd:complexType>
<XSD:complexTypeの名前= "ターゲット"> <XSD:配列> <XSD:要素名= "ノード" タイプ= "IDMEF:ノード" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名=」ユーザ」TYPE = "IDMEF:ユーザー" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "処理" タイプ= "IDMEF:プロセス" のminOccurs = "0" のmaxOccurs = "1" /> < XSD:要素名= "サービス" タイプ= "IDMEF:サービス" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "ファイル" タイプ= "IDMEF:ファイル" のminOccurs = "0" のmaxOccurs = "無制限" /> </のxsd:sequence>を<XSD:属性名= "IDENT" タイプ= "のxsd:文字列" デフォルト= "0" /> <XSD:属性名= "おとり" タイプ= "IDMEF:YES-ノー型」デフォルト= "不明" /> <XSD:属性名= "インターフェース" タイプ= "のxsd:文字列" /> </のxsd:complexTypeの>
<!-- Section 7: Support elements used for providing detailed info about entities - addresses, names, etc. -->
<! - 第7節:エンティティに関する詳細な情報を提供するために使用される支持要素 - アドレス、名前など - >
<xsd:complexType name="Address"> <xsd:sequence> <xsd:element name="address" type="xsd:string" /> <xsd:element name="netmask" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:address-category" default="unknown" /> <xsd:attribute name="vlan-name" type="xsd:string" /> <xsd:attribute name="vlan-num" type="xsd:string" /> </xsd:complexType>
<XSD:complexTypeの名前= "住所"> <のxsd:sequence>を<のxsd:要素名= "アドレス" タイプ= "のxsd:文字列" /> <XSD:要素名= "ネットマスク" タイプ= "のxsd:文字列" のminOccurs = "0" のmaxOccurs = "1" /> </のxsd:sequence>を<XSD:属性名= "IDENT" タイプ= "のxsd:文字列" デフォルト= "0" /> <XSD:属性名= "カテゴリ" タイプ= "IDMEF:アドレス-カテゴリ" デフォルト= "不明" /> <XSD:属性名= "VLAN名" タイプ= "のxsd:文字列" /> <XSD:属性名= "VLAN-NUM" タイプ= "XSD :文字列」/> </のxsd:complexTypeの>
<xsd:complexType name="Assessment"> <xsd:sequence> <xsd:element name="Impact" type="idmef:Impact" minOccurs="0" maxOccurs="1" /> <xsd:element name="Action"
<XSD:complexTypeの名= "評価"> <XSD:配列> <XSD:要素名= "衝撃" タイプ= "IDMEF:影響" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名=」アクション"
type="idmef:Action" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Confidence" type="idmef:Confidence" minOccurs="0" maxOccurs="1" /> </xsd:sequence> </xsd:complexType> <xsd:complexType name="Reference"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="url" type="xsd:string" /> </xsd:sequence> <xsd:attribute name="origin" type="idmef:reference-origin" default="unknown" /> <xsd:attribute name="meaning" type="xsd:string" /> </xsd:complexType>
タイプ= "IDMEF:アクション" のminOccurs = "0" のmaxOccurs = "無制限" /> <XSD:要素名= "自信" タイプ= "IDMEF:自信" のminOccurs = "0" のmaxOccurs = "1" /> </ XSD :シーケンス> </のxsd:complexTypeの> <のxsd:complexTypeの名前= "参考"> <のxsd:sequence>を<のxsd:要素名= "名前" タイプ= "のxsd:文字列" /> <XSD:要素名= "URL "タイプ=" のxsd:文字列」/> </のxsd:sequence>を<XSD:属性名= "起源" タイプ= "IDMEF:参照起源" デフォルト= "不明" /> <XSD:属性名= "意味"タイプ= "のxsd:文字列" /> </のxsd:complexTypeの>
<xsd:complexType name="Classification"> <xsd:sequence> <xsd:element name="Reference" type="idmef:Reference" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="text" type="xsd:string" use="required" /> </xsd:complexType>
<XSD:complexTypeの名= "分類"> <XSD:配列> <XSD:要素名= "リファレンス" タイプ= "IDMEF:リファレンス" のminOccurs = "0" のmaxOccurs = "無制限" /> </ XSD:配列> < XSD:属性名= "IDENT" タイプ= "のxsd:文字列" デフォルト= "0" /> <XSD:属性名= "テキスト" タイプ= "のxsd:string" が使用= "必須" /> </のxsd:complexTypeの>
<xsd:complexType name="File"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="path" type="xsd:string" /> <xsd:element name="create-time" type="xsd:dateTime" minOccurs="0" maxOccurs="1" />
<XSD:complexTypeの名= "ファイル"> <のxsd:sequence>を<XSD:要素名= "名前" タイプ= "のxsd:文字列" /> <XSD:要素名= "パス" タイプ= "のxsd:文字列" / > <XSD:要素名= "作成時" タイプ= "のxsd:dateTimeの" minOccurs属性= "0" のmaxOccurs = "1" />
<xsd:element name="modify-time" type="xsd:dateTime" minOccurs="0" maxOccurs="1" /> <xsd:element name="access-time" type="xsd:dateTime" minOccurs="0" maxOccurs="1" /> <xsd:element name="data-size" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="disk-size" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="FileAccess" type="idmef:FileAccess" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Linkage" type="idmef:Linkage" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="Inode" type="idmef:Inode" minOccurs="0" maxOccurs="1" /> <xsd:element name="Checksum" type="idmef:Checksum" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:file-category" use="required" /> <xsd:attribute name="fstype" type="xsd:string" use="required" /> <xsd:attribute name="file-type" type="idmef:mime-type" /> </xsd:complexType>
<XSD:要素名= "変更時" タイプ= "のxsd:dateTimeの" minOccurs属性= "0" のmaxOccurs = "1" /> <XSD:要素名= "アクセス時間" タイプ= "のxsd:dateTimeの" minOccurs属性= "0" のmaxOccurs = "1" /> <XSD:要素名= "データサイズ" タイプ= "XSD:整数" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名=「ディスクサイズ"TYPE =" XSD:整数」のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "FileAccessの" タイプ= "IDMEF:FileAccessの" minOccurs属性= "0" のmaxOccurs = "無制限" /> <XSD :要素名= "結合" タイプ= "IDMEF:結合" のminOccurs = "0" のmaxOccurs = "無制限" /> <XSD:要素名= "iノード" タイプ= "IDMEF:iノード" のminOccurs = "0" のmaxOccurs =」 1" /> <XSD:要素名= "チェックサム" タイプ= "IDMEF:チェックサム" のminOccurs = "0" のmaxOccurs = "無制限" /> </ XSD:配列> <XSD:属性名= "IDENT" タイプ=」 xsd:文字列 "デフォルト= "0"/> <XSD:属性名= "カテゴリ" タイプ= "IDMEF:ファイル・カテゴリ" 使用= "必須"/> <XSD:属性名は= "fstypeに" タイプ=" のxsd:文字列」使用= "必須" /> <XSD:属性名は= "ファイルの種類" タイプ= "IDMEF:MIMEタイプ" /> </のxsd:complexTypeの>
<xsd:complexType name="Permission"> <xsd:attribute name="perms"
<XSD:complexTypeの名= "許可"> <XSD:属性名= "パーマ"
type="idmef:file-permission" use="required" /> </xsd:complexType>
タイプ= "IDMEF:ファイルのアクセス許可" の使用= "必須" /> </のxsd:complexTypeの>
<xsd:complexType name="FileAccess"> <xsd:sequence> <xsd:element name="UserId" type="idmef:UserId" /> <xsd:element name="permission" type="idmef:Permission" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<XSD:complexTypeの名前= "FileAccessの"> <のxsd:sequence>を<のxsd:要素名= "ユーザーID" タイプ= "IDMEF:ユーザーID" /> <XSD:要素名= "許可" タイプ= "IDMEF:許可" のminOccurs = "1" のmaxOccurs = "無制限" /> </ XSD:配列> </のxsd:complexTypeの>
<xsd:complexType name="Inode"> <xsd:sequence> <xsd:element name="change-time" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:sequence minOccurs="0" maxOccurs="1"> <xsd:element name="number" type="xsd:string" /> <xsd:element name="major-device" type="xsd:string" /> <xsd:element name="minor-device" type="xsd:string" /> </xsd:sequence> <xsd:sequence minOccurs="0" maxOccurs="1"> <xsd:element name="c-major-device" type="xsd:string" /> <xsd:element name="c-minor-device" type="xsd:string" /> </xsd:sequence> </xsd:sequence> </xsd:complexType>
<XSD:complexTypeの名= "iノード"> <XSD:配列> <XSD:要素名= "変更時間" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:配列のminOccurs = "0" のmaxOccurs = "1"> <XSD:要素名= "番号" タイプ= "XSD:文字列" /> <XSD:要素名= "主要デバイス" TYPE = "XSD:文字列" /> <XSD :要素名= "マイナー・デバイス" タイプ= "XSD:文字列" /> </ XSD:配列> <XSD:配列のminOccurs = "0" のmaxOccurs = "1"> <XSD:要素名=「C-major-デバイス」タイプ= "のxsd:文字列" /> <XSD:要素名= "C-マイナー・デバイス" タイプ= "のxsd:文字列" /> </のxsd:sequence>を</のxsd:sequence>を</のxsd:complexTypeの>
<xsd:complexType name="Linkage"> <xsd:choice> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="path" type="xsd:string" /> </xsd:sequence> <xsd:element name="File" type="idmef:File" /> </xsd:choice> <xsd:attribute name="category" type="idmef:linkage-category" use="required" /> </xsd:complexType>
<XSD:complexTypeの名前= "連携"> <のxsd:選択>ます。<xsd:sequence>を<のxsd:要素名= "名前" タイプ= "のxsd:文字列" /> <XSD:要素名= "パス" タイプ=」 xsd:文字列 "/> </のxsd:sequence>を<のxsd:要素名= "ファイル" タイプ= "IDMEF:ファイル"/> </のxsd:選択>ます。<xsd:属性名= "カテゴリ" タイプ=" IDMEF:リンケージ・カテゴリ」使用= "必須" /> </のxsd:complexTypeの>
<xsd:complexType name="Checksum"> <xsd:sequence> <xsd:element name="value" type="xsd:string" /> <xsd:element name="key" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="algorithm" type="idmef:checksum-algorithm" use="required" /> </xsd:complexType>
<XSD:complexTypeの名前= "チェックサム"> <XSD:配列> <XSD:要素名= "値" タイプ= "XSD:文字列" /> <XSD:要素名= "キー" タイプ= "のxsd:string" はminOccurs属性= "0" のmaxOccurs = "1" /> </ XSD:配列> <XSD:属性名= "アルゴリズム" タイプ= "IDMEF:チェックサム・アルゴリズム" 使用= "必須" /> </のxsd:complexTypeの>
<xsd:complexType name="Node"> <xsd:sequence> <xsd:element name="location" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:choice> <xsd:element name="name" type="xsd:string" /> <xsd:element name="Address" type="idmef:Address" /> </xsd:choice> <xsd:element name="Address" type="idmef:Address" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:node-category" default="unknown" /> </xsd:complexType>
<XSD:complexTypeの名= "ノード"> <XSD:配列> <XSD:要素名= "位置" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:選択> <XSD :要素名= "名前" タイプ= "のxsd:文字列" /> <XSD:要素名= "アドレス" タイプ= "IDMEF:アドレス" /> </のxsd:選択>ます。<xsd:要素名= "住所" タイプ= "IDMEF:アドレス" のminOccurs = "0" のmaxOccurs = "無制限" /> </のxsd:sequence>を<のxsd:属性名= "IDENT" タイプ= "のxsd:文字列" デフォルト= "0" /> <XSD:デフォルト= "不明" /> </のxsd:complexTypeの>:名= "カテゴリ" タイプ= "ノードカテゴリIDMEFを" 属性
<xsd:complexType name="Process"> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="pid" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="path" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="arg" type="xsd:string" minOccurs="0" maxOccurs="unbounded" /> <xsd:element name="env" type="xsd:string" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> </xsd:complexType>
<XSD:complexTypeの名= "プロセス"> <XSD:配列> <XSD:要素名= "名前" タイプ= "XSD:文字列" /> <XSD:要素名= "PID" タイプ= "XSD:整数" minOccurs属性= "0" のmaxOccurs = "1" /> <XSD:要素名= "パス" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "引数" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "無制限" /> <XSD:要素名= "ENV" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "無制限" /> </ XSD:配列> <XSD:属性名= "IDENT" タイプ= "のxsd:文字列" デフォルト= "0" /> </のxsd:complexTypeの>
<xsd:complexType name="Service"> <xsd:sequence> <xsd:choice> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="port" type="xsd:integer" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:sequence> <xsd:element name="port" type="xsd:integer" /> <xsd:element name="name" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:element name="portlist" type="idmef:port-list" /> </xsd:choice> <xsd:element name="protocol" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="SNMPService" type="idmef:SNMPService" minOccurs="0" maxOccurs="1" /> <xsd:element name="WebService" type="idmef:WebService" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="ip_version" type="xsd:integer" /> <xsd:attribute name="iana_protocol_number" type="xsd:integer" /> <xsd:attribute name="iana_protocol_name" type="xsd:string" /> </xsd:complexType>
<XSD:complexTypeの名前= "サービス"> <のxsd:sequence>を含む<xsd:選択>ます。<xsd:sequence>を<のxsd:要素名= "名前" タイプ= "のxsd:文字列" /> <XSD:要素名=」ポート」TYPE = "XSD:整数" のminOccurs = "0" のmaxOccurs = "1" /> </ XSD:配列> <XSD:配列> <XSD:要素名= "ポート" タイプ= "XSD:整数" /> <XSD:要素名= "名前" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> </ XSD:配列> <XSD:要素名= "ポートリスト" タイプ= "IDMEF:ポート - リスト "/> </のxsd:選択>ます。<xsd:要素名= "プロトコル" タイプ= "のxsd:文字列" のminOccurs = "0" のmaxOccurs = "1"/> <XSD:要素名= "SNMPService" タイプ=" IDMEF:SNMPService」のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "Webサービス" タイプ= "IDMEF:Webサービス" のminOccurs = "0" のmaxOccurs = "1" /> </ XSD:配列> <XSD:属性名= "IDENT" タイプ= "のxsd:文字列" デフォルト= "0" /> <XSD:属性名= "ip_version" タイプ= "のxsd:整数" /> <XSD:属性名= "iana_protocol_number"タイプ= "のxsd:整数" /> <XSD:属性名= "iana_protocol_name" タイプ= "のxsd:文字列" /> </のxsd:complexTypeの>
<xsd:complexType name="WebService"> <xsd:sequence> <xsd:element name="url" type="xsd:anyURI" /> <xsd:element name="cgi" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="http-method" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="arg" type="xsd:string" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> </xsd:complexType>
<XSD:complexTypeの名前= "Webサービス"> <のxsd:sequence>を<のxsd:要素名= "URL" タイプ= "のxsd:anyURIの" /> <XSD:要素名= "CGI" タイプ= "のxsd:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "HTTPメソッド" TYPE = "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "引数"タイプ= "のxsd:文字列" のminOccurs = "0" のmaxOccurs = "無制限" /> </のxsd:sequence>を</のxsd:complexTypeの>
<xsd:complexType name="SNMPService"> <xsd:sequence> <xsd:element name="oid" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="messageProcessingModel" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="securityModel"
<XSD:complexTypeの名前= "SNMPService"> <XSD:配列> <XSD:要素名= "OID" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名=」 messageProcessingModel」TYPE = "XSD:整数" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "securityModel"
type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="securityName" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="securityLevel" type="xsd:integer" minOccurs="0" maxOccurs="1" /> <xsd:element name="contextName" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="contextEngineID" type="xsd:string" minOccurs="0" maxOccurs="1" /> <xsd:element name="command" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> </xsd:complexType>
タイプ= "XSD:整数" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "のsecurityName" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1" /> <XSD。要素名= "たsecurityLevel" タイプ= "XSD:整数" のminOccurs = "0" のmaxOccurs = "1" /> <XSD:要素名= "のcontextName" タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1 "/> <XSD:要素名=" contextEngineID "タイプ= "XSD:文字列" のminOccurs = "0" のmaxOccurs = "1"/> <XSD:要素名= "コマンド" タイプ= "XSD:文字列" のminOccurs =" 0" のmaxOccurs = "1" /> </ XSD:配列> </のxsd:complexTypeの>
<xsd:complexType name="User"> <xsd:sequence> <xsd:element name="UserId" type="idmef:UserId" minOccurs="1" maxOccurs="unbounded" /> </xsd:sequence> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="category" type="idmef:user-category" default="unknown" /> </xsd:complexType>
<XSD:complexTypeの名前は= "ユーザー"> <XSD:配列> <XSD:要素名= "ユーザーID" タイプ= "IDMEF:ユーザーID" のminOccurs = "1" のmaxOccurs = "無制限" /> </ XSD:配列> < XSD:属性名= "IDENT" タイプ= "のxsd:文字列" デフォルト= "0" /> <XSD:属性名= "カテゴリ" タイプ= "IDMEF:ユーザーカテゴリ" デフォルト= "不明" /> </ XSD :complexTypeの>
<xsd:complexType name="UserId" > <xsd:choice> <xsd:sequence> <xsd:element name="name" type="xsd:string" /> <xsd:element name="number" type="xsd:integer" minOccurs="0" maxOccurs="1" /> </xsd:sequence> <xsd:sequence> <xsd:element name="number" type="xsd:integer" /> <xsd:element name="name" type="xsd:string" minOccurs="0" maxOccurs="1" /> </xsd:sequence> </xsd:choice> <xsd:attribute name="ident" type="xsd:string" default="0" /> <xsd:attribute name="type" type="idmef:id-type" default="original-user" /> <xsd:attribute name="tty" type="xsd:string" /> </xsd:complexType>
<XSD:complexTypeの名前= "ユーザーID"> <のxsd:選択>ます。<xsd:sequence>を<のxsd:要素名= "名前" タイプ= "のxsd:文字列" /> <XSD:要素名= "番号" タイプ=」 XSD:整数」のminOccurs = "0" のmaxOccurs = "1" /> </ XSD:配列> <XSD:配列> <XSD:要素名= "番号" タイプ= "XSD:整数" /> <XSD:要素名= "名前" タイプ= "のxsd:文字列" のminOccurs = "0" のmaxOccurs = "1" /> </のxsd:sequence>を</のxsd:選択>ます。<xsd:属性名= "IDENT" タイプ= "のxsd:文字列"デフォルト=" 0" /> <XSD:属性名= "タイプ" タイプ= "IDMEF:ID型" デフォルト= "オリジナル・ユーザ" /> <XSD:属性名= "TTY" タイプ= "のxsd:文字列"/> </のxsd:complexTypeの>
<!-- Section 8: Simple elements with sub-elements or attributes of a special nature. -->
<! - 第8章:特別な自然のサブ要素または属性を持つ単純な要素。 - >
<xsd:complexType name="Action"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="category" type="idmef:action-category" default="other" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<XSD:complexTypeの名前= "アクション"> <のxsd:simpleContentを> <XSD:増設ベース= "のxsd:文字列"> <XSD:属性名= "カテゴリ" タイプ= "IDMEF:アクションカテゴリ" デフォルト= "その他" /> </ XSD:拡張> </のxsd:simpleContentを> </のxsd:complexTypeの>
<xsd:complexType name="Confidence"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="rating" type="idmef:confidence-rating" use="required" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<XSD:complexTypeの名前= "自信"> <のxsd:simpleContentを> <XSD:増設ベース= "のxsd:文字列"> <XSD:属性名= "格付け" タイプ= "IDMEF:自信-評価" 使用は= "必要" /> </ XSD:拡張> </のxsd:simpleContentを> </のxsd:complexTypeの>
<xsd:complexType name="TimeWithNtpstamp"> <xsd:simpleContent> <xsd:extension base="xsd:dateTime">
<XSD:complexTypeの名前= "TimeWithNtpstamp"> <のxsd:simpleContentを> <XSD:増設ベース= "のxsd:dateTimeの">
<xsd:attribute name="ntpstamp" type="idmef:ntpstamp" use="required"/> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<XSD:属性名= "ntpstamp" タイプ= "IDMEF:ntpstamp" 使用= "必須" /> </ XSD:拡張> </のxsd:simpleContentを> </のxsd:complexTypeの>
<xsd:complexType name="Impact"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="severity" type="idmef:impact-severity" /> <xsd:attribute name="completion" type="idmef:impact-completion" /> <xsd:attribute name="type" type="idmef:impact-type" default="other" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<XSD:complexTypeの名前= "衝撃"> <XSD:simpleContentを> <XSD:増設ベース= "XSD:文字列"> <XSD:属性名= "重症度" タイプ= "IDMEF:衝撃の重大度" /> <XSD。属性名= "完了" タイプ= "IDMEF:衝撃完了" /> <XSD:属性名= "タイプ" タイプ= "IDMEF:インパクト型" デフォルト= "その他" /> </ XSD:拡張> </ xsd:simpleContentを> </のxsd:complexTypeの>
<xsd:complexType name="Alertident"> <xsd:simpleContent> <xsd:extension base="xsd:string" > <xsd:attribute name="analyzerid" type="xsd:string" /> </xsd:extension> </xsd:simpleContent> </xsd:complexType>
<XSD:complexTypeの名前= "Alertident"> <のxsd:simpleContentを> <XSD:増設ベース= "のxsd:文字列"> <XSD:属性名= "analyzerid" タイプ= "のxsd:文字列" /> </ XSD:拡張> </のxsd:simpleContentを> </のxsd:complexTypeの>
<xsd:complexType name="xmltext"> <xsd:complexContent mixed="true"> <xsd:restriction base="xsd:anyType"> <xsd:sequence> <xsd:any namespace="##other" processContents="lax" minOccurs="0" maxOccurs="unbounded" /> </xsd:sequence> </xsd:restriction> </xsd:complexContent> </xsd:complexType>
<XSD:complexTypeの名前= "XMLTEXT"> <のxsd:complexContentを混在= "真"> <XSD:制限ベース= "XSD:anyType型"> <XSD:配列> <XSD:任意の名前空間= "##その他" のprocessContents = "緩い" のminOccurs = "0" のmaxOccurs = "無制限" /> </ XSD:配列> </ XSD:制限> </のxsd:complexContentを> </のxsd:complexTypeの>
</xsd:schema>
</ XSD:スキーマ>
Authors' Addresses
著者のアドレス
Herve Debar France Telecom R & D 42 Rue des Coutures Caen 14000 FR
エルベ禁ずるフランステレコムR&D 42ルーデスCoutures 14000カーンFR
Phone: +33 2 31 75 92 61 EMail: herve.debar@orange-ftgroup.com URI: http://www.francetelecom.fr/
電話:+33 2 31 75 92 61 Eメール:herve.debar@orange-ftgroup.com URI:http://www.francetelecom.fr/
David A. Curry Guardian Life Insurance Company of America 7 Hanover Square, 24th Floor New York, NY 10004 US
アメリカ7ハノーバースクエア、24階ニューヨーク、NY 10004米国のデビッド・A・カレーガーディアン・ライフ・インシュアランス・カンパニー
Phone: +1 212 919-3086 EMail: david_a_curry@glic.com URI: http://www.glic.com/
電話:+1 212 919-3086 Eメール:david_a_curry@glic.com URI:http://www.glic.com/
Benjamin S. Feinstein SecureWorks, Inc. PO Box 95007 Atlanta, GA 30347 US
ベンジャミン・S.ファインスタインSecureWorksの、株式会社私書箱95007アトランタ、GA 30347米国
Phone: +1 404 327-6339 Email: bfeinstein@acm.org URI: http://www.secureworks.com/
電話:+1 404 327-6339 Eメール:bfeinstein@acm.org URI:http://www.secureworks.com/
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。