Network Working Group R. Danyliw
Request for Comments: 5070 CERT
Category: Standards Track J. Meijer
UNINETT
Y. Demchenko
University of Amsterdam
December 2007
The Incident Object Description Exchange Format
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Abstract
抽象
The Incident Object Description Exchange Format (IODEF) defines a data representation that provides a framework for sharing information commonly exchanged by Computer Security Incident Response Teams (CSIRTs) about computer security incidents. This document describes the information model for the IODEF and provides an associated data model specified with XML Schema.
インシデントオブジェクトの説明交換フォーマット(IODEF)は、コンピュータセキュリティインシデントに関する一般的なコンピュータセキュリティインシデント対応チーム(のCSIRT)によって交換される情報を共有するためのフレームワークを提供するデータ表現を定義します。この文書は、IODEFのための情報モデルを説明し、XMLスキーマで指定された関連するデータ・モデルを提供します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 5
1.2. Notations . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3. About the IODEF Data Model . . . . . . . . . . . . . . . . 5
1.4. About the IODEF Implementation . . . . . . . . . . . . . . 6
2. IODEF Data Types . . . . . . . . . . . . . . . . . . . . . . . 6
2.1. Integers . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2. Real Numbers . . . . . . . . . . . . . . . . . . . . . . . 7
2.3. Characters and Strings . . . . . . . . . . . . . . . . . . 7
2.4. Multilingual Strings . . . . . . . . . . . . . . . . . . . 7
2.5. Bytes . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.6. Hexadecimal Bytes . . . . . . . . . . . . . . . . . . . . 7
2.7. Enumerated Types . . . . . . . . . . . . . . . . . . . . . 8
2.8. Date-Time Strings . . . . . . . . . . . . . . . . . . . . 8
2.9. Timezone String . . . . . . . . . . . . . . . . . . . . . 8
2.10. Port Lists . . . . . . . . . . . . . . . . . . . . . . . . 8
2.11. Postal Address . . . . . . . . . . . . . . . . . . . . . . 9
2.12. Person or Organization . . . . . . . . . . . . . . . . . . 9
2.13. Telephone and Fax Numbers . . . . . . . . . . . . . . . . 9
2.14. Email String . . . . . . . . . . . . . . . . . . . . . . . 9
2.15. Uniform Resource Locator strings . . . . . . . . . . . . . 9
3. The IODEF Data Model . . . . . . . . . . . . . . . . . . . . . 9
3.1. IODEF-Document Class . . . . . . . . . . . . . . . . . . . 10
3.2. Incident Class . . . . . . . . . . . . . . . . . . . . . . 10
3.3. IncidentID Class . . . . . . . . . . . . . . . . . . . . . 14
3.4. AlternativeID Class . . . . . . . . . . . . . . . . . . . 14
3.5. RelatedActivity Class . . . . . . . . . . . . . . . . . . 15
3.6. AdditionalData Class . . . . . . . . . . . . . . . . . . . 16
3.7. Contact Class . . . . . . . . . . . . . . . . . . . . . . 18
3.7.1. RegistryHandle Class . . . . . . . . . . . . . . . . . 21
3.7.2. PostalAddress Class . . . . . . . . . . . . . . . . . 22
3.7.3. Email Class . . . . . . . . . . . . . . . . . . . . . 22
3.7.4. Telephone and Fax Classes . . . . . . . . . . . . . . 23
3.8. Time Classes . . . . . . . . . . . . . . . . . . . . . . . 23
3.8.1. StartTime . . . . . . . . . . . . . . . . . . . . . . 24
3.8.2. EndTime . . . . . . . . . . . . . . . . . . . . . . . 24
3.8.3. DetectTime . . . . . . . . . . . . . . . . . . . . . . 24
3.8.4. ReportTime . . . . . . . . . . . . . . . . . . . . . . 24
3.8.5. DateTime . . . . . . . . . . . . . . . . . . . . . . . 24
3.9. Method Class . . . . . . . . . . . . . . . . . . . . . . . 24
3.9.1. Reference Class . . . . . . . . . . . . . . . . . . . 25
3.10. Assessment Class . . . . . . . . . . . . . . . . . . . . . 25
3.10.1. Impact Class . . . . . . . . . . . . . . . . . . . . . 27
3.10.2. TimeImpact Class . . . . . . . . . . . . . . . . . . . 29
3.10.3. MonetaryImpact Class . . . . . . . . . . . . . . . . . 30
3.10.4. Confidence Class . . . . . . . . . . . . . . . . . . . 31
3.11. History Class . . . . . . . . . . . . . . . . . . . . . . 32
3.11.1. HistoryItem Class . . . . . . . . . . . . . . . . . . 33
3.12. EventData Class . . . . . . . . . . . . . . . . . . . . . 34
3.12.1. Relating the Incident and EventData Classes . . . . . 36
3.12.2. Cardinality of EventData . . . . . . . . . . . . . . . 37
3.13. Expectation Class . . . . . . . . . . . . . . . . . . . . 37
3.14. Flow Class . . . . . . . . . . . . . . . . . . . . . . . . 40
3.15. System Class . . . . . . . . . . . . . . . . . . . . . . . 40
3.16. Node Class . . . . . . . . . . . . . . . . . . . . . . . . 42
3.16.1. Counter Class . . . . . . . . . . . . . . . . . . . . 43
3.16.2. Address Class . . . . . . . . . . . . . . . . . . . . 45
3.16.3. NodeRole Class . . . . . . . . . . . . . . . . . . . . 46
3.17. Service Class . . . . . . . . . . . . . . . . . . . . . . 48
3.17.1. Application Class . . . . . . . . . . . . . . . . . . 50
3.18. OperatingSystem Class . . . . . . . . . . . . . . . . . . 51
3.19. Record Class . . . . . . . . . . . . . . . . . . . . . . . 51
3.19.1. RecordData Class . . . . . . . . . . . . . . . . . . . 51
3.19.2. RecordPattern Class . . . . . . . . . . . . . . . . . 53
3.19.3. RecordItem Class . . . . . . . . . . . . . . . . . . . 54
4. Processing Considerations . . . . . . . . . . . . . . . . . . 54
4.1. Encoding . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.2. IODEF Namespace . . . . . . . . . . . . . . . . . . . . . 55
4.3. Validation . . . . . . . . . . . . . . . . . . . . . . . . 55
5. Extending the IODEF . . . . . . . . . . . . . . . . . . . . . 56
5.1. Extending the Enumerated Values of Attributes . . . . . . 56
5.2. Extending Classes . . . . . . . . . . . . . . . . . . . . 57
6. Internationalization Issues . . . . . . . . . . . . . . . . . 59
7. Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7.1. Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7.2. Reconnaissance . . . . . . . . . . . . . . . . . . . . . . 61
7.3. Bot-Net Reporting . . . . . . . . . . . . . . . . . . . . 63
7.4. Watch List . . . . . . . . . . . . . . . . . . . . . . . . 65
8. The IODEF Schema . . . . . . . . . . . . . . . . . . . . . . . 66
9. Security Considerations . . . . . . . . . . . . . . . . . . . 87
10. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 88
11. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 88
12. References . . . . . . . . . . . . . . . . . . . . . . . . . . 89
12.1. Normative References . . . . . . . . . . . . . . . . . . . 89
12.2. Informative References . . . . . . . . . . . . . . . . . . 90
Organizations require help from other parties to mitigate malicious activity targeting their network and to gain insight into potential threats. This coordination might entail working with an ISP to filter attack traffic, contacting a remote site to take down a bot-network, or sharing watch-lists of known malicious IP addresses in a consortium.
組織は、自社のネットワークをターゲットに悪質な活動を軽減し、潜在的な脅威への洞察を得るために他の当事者からの助けを必要としています。この調整は、ボットネットワークをダウンさせるリモートサイトに接触し、攻撃トラフィックをフィルタリングするためにISPと協力し、あるいはコンソーシアムで知られている悪質なIPアドレスのウォッチ・リストを共有伴うかもしれません。
The Incident Object Description Exchange Format (IODEF) is a format for representing computer security information commonly exchanged between Computer Security Incident Response Teams (CSIRTs). It provides an XML representation for conveying incident information across administrative domains between parties that have an operational responsibility of remediation or a watch-and-warning over a defined constituency. The data model encodes information about hosts, networks, and the services running on these systems; attack methodology and associated forensic evidence; impact of the activity; and limited approaches for documenting workflow.
インシデントオブジェクト説明交換フォーマット(IODEF)は、一般的にコンピュータセキュリティインシデント対応チーム(CSIRTの)間で交換されるコンピュータのセキュリティ情報を表現するためのフォーマットです。これは、定義された選挙区オーバー修復や時計と警告の運用責任を持つ当事者間の管理ドメイン間でインシデント情報を伝達するためのXML表現を提供します。データモデルは、ホスト、ネットワーク、およびこれらのシステム上で実行されているサービスについての情報を符号化します。攻撃の方法論と関連法医学的証拠。活動の影響。およびワークフローを文書化するためのアプローチを制限しました。
The overriding purpose of the IODEF is to enhance the operational capabilities of CSIRTs. Community adoption of the IODEF provides an improved ability to resolve incidents and convey situational awareness by simplifying collaboration and data sharing. This structured format provided by the IODEF allows for:
IODEFの最優先の目的はのCSIRTの運用能力を強化することです。 IODEFのコミュニティ採用が事件を解決し、コラボレーションとデータ共有を簡素化することにより、状況認識を伝える能力の向上を提供します。 IODEFによって提供されるこの構造形式は、することができます:
o increased automation in processing of incident data, since the resources of security analysts to parse free-form textual documents will be reduced;
自由形式のテキスト文書を解析するためのセキュリティアナリストのリソースが削減されますので、oは、インシデントデータの処理に自動化を増加させました。
o decreased effort in normalizing similar data (even when highly structured) from different sources; and
O異なるソースから(高度に構造化された場合であっても)同様のデータを正規化に努力を減少。そして
o a common format on which to build interoperable tools for incident handling and subsequent analysis, specifically when data comes from multiple constituencies.
データが複数の選挙区から来たときに具体的には、インシデントハンドリングとその後の分析のための相互運用可能なツールを構築するための共通フォーマットO。
Coordinating with other CSIRTs is not strictly a technical problem. There are numerous procedural, trust, and legal considerations that might prevent an organization from sharing information. The IODEF does not attempt to address them. However, operational implementations of the IODEF will need to consider this broader context.
他のCSIRTとの連携は、厳密に技術的な問題ではありません。数多くの手続き、信頼、および情報を共有する体制を妨げる可能性がある法的な考慮事項があります。 IODEFは、それらに対処しようとしません。しかし、IODEFの運用実装は、この広い文脈を考慮する必要があります。
Sections 3 and 8 specify the IODEF data model with text and an XML schema. The types used by the data model are covered in Section 2. Processing considerations, the handling of extensions, and internationalization issues related to the data model are covered in
セクション3と8は、テキストとXMLスキーマとIODEFデータモデルを指定します。データモデルで使用されるタイプは、セクションにで覆われているデータモデルに関連する2.処理上の考慮事項、エクステンションの取り扱い、および国際化の問題をカバーしています
Sections 4, 5, and 6, respectively. Examples are listed in Section 7. Section 1 provides the background for the IODEF, and Section 9 documents the security considerations.
それぞれのセクション4、5、6、。例としては、第1節は、IODEFの背景を提供し、そして第9節は、セキュリティ上の考慮事項を文書化し、セクション7に記載されています。
The key words "MUST," "MUST NOT," "REQUIRED," "SHALL," "SHALL NOT," "SHOULD," "SHOULD NOT," "RECOMMENDED," "MAY," and "OPTIONAL" in this document are to be interpreted as described in RFC2119 [6].
この文書のキーワード「MUST」、「てはなりません」「REQUIRED」、「」「ないもの」「」「べきではない」同意しない限り「「MAY」を」推奨「OPTIONAL」はありますRFC2119 [6]に記載のように解釈されます。
Definitions for some of the common computer security-related terminology used in this document can be found in Section 2 of [16].
本書で使用される一般的なコンピュータセキュリティ関連の用語の幾つかの定義は、[16]の第2節に見出すことができます。
The normative IODEF data model is specified with the text in Section 3 and the XML schema in Section 8. To help in the understanding of the data elements, Section 3 also depicts the underlying information model using Unified Modeling Language (UML). This abstract presentation of the IODEF is not normative.
規範IODEFデータモデルは第3節では、テキストとデータ要素の理解を助けるためにセクション8でのXMLスキーマで指定され、第3節ではまた、統一モデリング言語(UML)を使用して、基本的な情報モデルを示しています。 IODEFのこの抽象表現は規範的ではありません。
For clarity in this document, the term "XML document" will be used when referring generically to any instance of an XML document. The term "IODEF document" will be used to refer to specific elements and attributes of the IODEF schema. The terms "class" and "element" will be used interchangeably to reference either the corresponding data element in the information or data models, respectively.
XMLドキュメントの任意のインスタンスを包括的に参照するときに、このドキュメントでは明確にするために、用語「XML文書は、」使用されます。用語「IODEF文書は、」特定の要素とIODEFスキーマの属性を参照するために使用されます。用語「クラス」と「要素」は、それぞれ、情報又はデータモデル内の対応するデータ要素のいずれかを参照するために互換的に使用されるであろう。
The IODEF data model is a data representation that provides a framework for sharing information commonly exchanged by CSIRTs about computer security incidents. A number of considerations were made in the design of the data model.
IODEFデータモデルは、一般にコンピュータセキュリティインシデントについてのCSIRTによって交換される情報を共有するためのフレームワークを提供するデータ表現です。検討事項の数は、データモデルの設計で行われました。
o The data model serves as a transport format. Therefore, its specific representation is not the optimal representation for on-disk storage, long-term archiving, or in-memory processing.
Oデータ・モデルは、トランスポート・フォーマットとして機能します。したがって、その特定の表現は、オンディスクストレージ、長期保管、またはメモリ内の処理のための最適な表現ではありません。
o As there is no precise widely agreed upon definition for an incident, the data model does not attempt to dictate one through its implementation. Rather, a broad understanding is assumed in the IODEF that is flexible enough to encompass most operators.
広く事件の定義に合意なし精密がないのでO、データモデルは、その実施を通じて1を決定しようとしません。むしろ、幅広い理解はほとんどの演算子を包含するのに十分な柔軟性があり、そのIODEFで想定されます。
o Describing an incident for all definitions would require an extremely complex data model. Therefore, the IODEF only intends to be a framework to convey commonly exchanged incident information. It ensures that there are ample mechanisms for extensibility to support organization-specific information, and techniques to reference information kept outside of the explicit data model.
すべての定義のために事件の記述oを非常に複雑なデータモデルを必要とします。したがって、IODEFは、一般に交換インシデント情報を伝達するためのフレームワークであることを意図します。これは、明示的なデータモデルの外側に保持される情報を参照するために十分な組織固有の情報をサポートするために拡張するための機構、および技術があることを保証します。
o The domain of security analysis is not fully standardized and must rely on free-form textual descriptions. The IODEF attempts to strike a balance between supporting this free-form content, while still allowing automated processing of incident information.
Oセキュリティ分析のドメインは、完全に標準化されておらず、自由形式のテキスト記述に依存しなければなりません。 IODEFは依然としてインシデント情報の自動処理を可能にしながら、この自由形式のコンテンツを支持するのバランスをとることを試みます。
o The IODEF is only one of several security relevant data representations being standardized. Attempts were made to ensure they were complimentary. The data model of the Intrusion Detection Message Exchange Format [17] influenced the design of the IODEF.
oをIODEFは、標準化されているいくつかのセキュリティ関連のデータ表現のうちの1つにすぎません。試みが、彼らは無料だったことを確認するために行われました。侵入検知メッセージ交換フォーマットのデータモデル[17] IODEFのデザインに影響を与えました。
Further discussion of the desirable properties for the IODEF can be found in the Requirements for the Format for Incident Information Exchange (FINE) [16].
IODEFのための望ましい特性のさらなる議論は、インシデント情報交換(FINE)のためのフォーマットの要件に見出すことができる[16]。
The IODEF implementation is specified as an Extensible Markup Language (XML) [1] Schema [2] in Section 8.
IODEF実装は、拡張マークアップ言語(XML)[1]スキーマ[2]第8のように指定されています。
Implementing the IODEF in XML provides numerous advantages. Its extensibility makes it ideal for specifying a data encoding framework that supports various character encodings. Likewise, the abundance of related technologies (e.g., XSL, XPath, XML-Signature) makes for simplified manipulation. However, XML is fundamentally a text representation, which makes it inherently inefficient when binary data must be embedded or large volumes of data must be exchanged.
XMLでIODEFの実装は、多くの利点を提供します。その拡張性は、さまざまな文字エンコーディングをサポートしているデータ符号化フレームワークを指定することが理想的です。同様に、関連技術(例えば、XSL、XPathの、XML-署名)の存在量は、簡略化操作を行います。しかし、XMLは、バイナリデータが埋め込まれなければならないか、大量のデータを交換しなければならないとき、それは本質的に非効率的になり、テキスト表現は、基本的にあります。
The various data elements of the IODEF data model are typed. This section discusses these data types. When possible, native Schema data types were adopted, but for more complicated formats, regular expressions (see Appendix F of [3]) or external standards were used.
IODEFデータモデルのさまざまなデータ要素がタイプされています。このセクションでは、これらのデータ型について説明します。ネイティブスキーマのデータ型は、より多くの複雑なフォーマットのために採用された場合は、可能な正規表現は、または外部標準を使用した([3]の付録Fを参照してください)。
An integer is represented by the INTEGER data type. Integer data MUST be encoded in Base 10.
整数は、INTEGERデータ型で表現されます。整数データは、Base 10で符号化されなければなりません。
The INTEGER data type is implemented as an "xs:integer" [3] in the schema.
[3]スキーマに:INTEGERデータ型は「整数XS」として実装されています。
Real (floating-point) attributes are represented by the REAL data type. Real data MUST be encoded in Base 10.
実(浮動小数点)の属性は、REALデータ型で表現されています。実際のデータは、ベース10でエンコードされなければなりません。
The REAL data type is implemented as an "xs:float" [3] in the schema.
[3]スキーマ内:REALデータタイプは「フロートXS」として実装されます。
A single character is represented by the CHARACTER data type. A character string is represented by the STRING data type. Special characters must be encoded using entity references. See Section 4.1.
単一の文字は、文字データ型で表現されます。文字列は、文字列データ型で表現されます。特殊文字は、エンティティ参照を使用してエンコードする必要があります。 4.1節を参照してください。
The CHARACTER and STRING data types are implement as an "xs:string" [3] in the schema.
CHARACTERとSTRINGデータ・タイプ「XS:文字列」として実装されているスキーマの[3]。
STRING data that represents multi-character attributes in a language different than the default encoding of the document is of the ML_STRING data type.
マルチ文字が文書のデフォルトのエンコードとは異なる言語の属性を表す文字列データがML_STRINGデータ型です。
The ML_STRING data type is implemented as an "iodef:MLStringType" in the schema.
スキーマ内:ML_STRINGデータ型は、「MLStringType IODEF」として実装されます。
A binary octet is represented by the BYTE data type. A sequence of binary octets is represented by the BYTE[] data type. These octets are encoded using base64.
バイナリオクテットは、バイトデータ型で表現されます。バイナリオクテットのシーケンスがBYTE []データ型で表現されます。これらのオクテットは、BASE64を使用してエンコードされています。
The BYTE data type is implemented as an "xs:base64Binary" [3] in the schema.
スキーマの[3]:BYTEデータタイプは「base64BinaryのXS」として実装されます。
A binary octet is represented by the HEXBIN (and HEXBIN[]) data type. This octet is encoded as a character tuple consisting of two hexadecimal digits.
バイナリオクテットはHEXBIN(及びHEXBIN [])データ型で表現されます。このオクテットは、2個の16進数字からなる文字タプルとして符号化されます。
The HEXBIN data type is implemented as an "xs:hexBinary" [3] in the schema.
スキーマの[3]:HEXBINデータ型は、「hexBinaryでXS」として実装されます。
Enumerated types are represented by the ENUM data type, and consist of an ordered list of acceptable values. Each value has a representative keyword. Within the IODEF schema, the enumerated type keywords are used as attribute values.
列挙型は、ENUMデータ型によって表され、許容される値の順序リストで構成されています。各値は、代表キーワードを持っています。 IODEFスキーマ内では、列挙型のキーワードは、属性値として使用されています。
The ENUM data type is implemented as a series of "xs:NMTOKEN" in the schema.
スキーマ内:ENUMデータ型は「NMTOKEN XS」の一連として実装されます。
Date-time strings are represented by the DATETIME data type. Each date-time string identifies a particular instant in time; ranges are not supported.
日付・時間の文字列がDATETIMEデータ型で表現されています。各日付時刻文字列は、時間の特定の瞬間を識別します。範囲がサポートされていません。
Date-time strings are formatted according to a subset of ISO 8601: 2000 [13] documented in RFC 3339 [12].
RFC 3339に記載さ2000 [13] [12]:日時文字列はISO 8601のサブセットに従ってフォーマットされています。
The DATETIME data type is implemented as an "xs:dateTime" [3] in the schema.
スキーマの[3]:DATETIMEデータ型は、「dateTimeのXS」として実装されます。
A timezone offset from UTC is represented by the TIMEZONE data type. It is formatted according to the following regular expression: "Z|[\+\-](0[0-9]|1[0-4]):[0-5][0-9]".
UTCからのオフセットタイムゾーンは、タイムゾーンデータ型で表現されます。それは次の正規表現に従ってフォーマットされている: "Z | [\ + \ - ](0 [0-9] | 1 [0-4]):[0-5] [0-9]"。
The TIMEZONE data type is implemented as an "xs:string" with a regular expression constraint in the schema. This regular expression is identical to the timezone representation implemented in an "xs: dateTime".
スキーマ内の正規表現の制約で:TIMEZONEデータ型は「文字列XS」として実装されています。この正規表現は、「:dateTimeのXS」に実装されたタイムゾーンの表現と同じです。
A list of network ports are represented by the PORTLIST data type. A PORTLIST consists of a comma-separated list of numbers and ranges (N-M means ports N through M, inclusive). It is formatted according to the following regular expression: "\d+(\-\d+)?(,\d+(\-\d+)?)*". For example, "2,5-15,30,32,40-50,55-60".
ネットワークポートのリストは、ポートリスト・データ・タイプで表されます。ポートリストは、数値および範囲のコンマ区切りリストで構成され(N-Mは、ポートMを介してN、包括的な意味します)。これは、次の正規表現に基づいてフォーマットされています。 "\ dが+(\ - \ D +)(\ D +(\ - \ D +)?)*?"。例えば、 "2,5-15,30,32,40-50,55-60"。
The PORTLIST data type is implemented as an "xs:string" with a regular expression constraint in the schema.
スキーマ内の正規表現の制約で:ポートリストのデータ型は「文字列XS」として実装されています。
A postal address is represented by the POSTAL data type. This data type is an ML_STRING whose format is documented in Section 2.23 of RFC 4519 [10]. It defines a postal address as a free-form multi-line string separated by the "$" character.
住所が郵便データ型で表現されます。このデータタイプは、そのフォーマットRFC 4519 [10]のセクション2.23に記載されてML_STRINGあります。これは、「$」文字で区切られたフリーフォーム複数行の文字列として住所を定義します。
The POSTAL data type is implemented as an "xs:string" in the schema.
スキーマ内の「文字列XS」郵便データ・タイプは、次のように実現されます。
The name of an individual or organization is represented by the NAME data type. This data type is an ML_STRING whose format is documented in Section 2.3 of RFC 4519 [10].
個人または組織の名前は、名前、データタイプによって表されます。このデータタイプは、そのフォーマットRFC 4519 [10]のセクション2.3に記載されてML_STRINGあります。
The NAME data type is implemented as an "xs:string" in the schema.
スキーマ内の「文字列XS」NAMEデータ・タイプは、次のように実現されます。
A telephone or fax number is represented by the PHONE data type. The format of the PHONE data type is documented in Section 2.35 of RFC 4519 [10].
電話またはファックス番号はPHONEデータ型で表現されます。電話のデータ・タイプのフォーマットは、RFC 4519 [10]のセクション2.35に記載されています。
The PHONE data type is implemented as an "xs:string" in the schema.
スキーマ内の「文字列XS」電話のデータ・タイプは、次のように実現されます。
An email address is represented by the EMAIL data type. The format of the EMAIL data type is documented in Section 3.4.1 RFC 2822 [11]
電子メールアドレスは、電子メールデータ型で表現されます。電子メールデータ・タイプのフォーマットは、3.4.1 RFC 2822 [11]に記載されて
The EMAIL data type is implemented as an "xs:string" in the schema.
スキーマ内の「文字列XS」電子メールデータ・タイプは、次のように実現されます。
A uniform resource locator (URL) is represented by the URL data type. The format of the URL data type is documented in RFC 2396 [8].
ユニフォームリソースロケータ(URL)は、URLのデータ型で表現されます。 URLデータ・タイプのフォーマットは、RFC 2396に記載されている[8]。
The URL data type is implemented as an "xs:anyURI" in the schema.
スキーマ内:URLのデータ・タイプは、「anyURIのXS」として実装されています。
In this section, the individual components of the IODEF data model will be discussed in detail. For each class, the semantics will be described and the relationship with other classes will be depicted with UML. When necessary, specific comments will be made about corresponding definition in the schema in Section 8
このセクションでは、IODEFデータモデルの個々の構成要素は、詳細に説明します。クラスごとに、意味論を説明し、他のクラスとの関係は、UMLで描写されます。必要な場合には、具体的なコメントは、第8章のスキーマに対応する定義について説明します
The IODEF-Document class is the top level class in the IODEF data model. All IODEF documents are an instance of this class.
IODEF-Documentクラスは、IODEFデータモデルの最上位クラスです。すべてのIODEF文書は、このクラスのインスタンスです。
+-----------------+
| IODEF-Document |
+-----------------+
| STRING version |<>--{1..*}--[ Incident ]
| ENUM lang |
| STRING formatid |
+-----------------+
Figure 1: IODEF-Document Class
図1:IODEF-ドキュメントクラス
The aggregate class that constitute IODEF-Document is:
IODEF-ドキュメントを構成する集合体のクラスです。
Incident One or more. The information related to a single incident.
インシデント一つ以上。単一のインシデントに関連する情報。
The IODEF-Document class has three attributes:
IODEF-Documentクラスは、3つの属性があります。
version Required. STRING. The IODEF specification version number to which this IODEF document conforms. The value of this attribute MUST be "1.00"
バージョンが必要です。 STRING。 IODEF仕様のバージョン番号は、このIODEF文書が準拠します。この属性の値は「1.00」でなければなりません
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
LANG必須。 ENUM。 RFC 4646あたりの有効な言語コードは[7]「:言語XS」の定義によって制約。このコードの解釈は、セクション6に記載されています。
formatid Optional. STRING. A free-form string to convey processing instructions to the recipient of the document. Its semantics must be negotiated out-of-band.
オプションのformatID。 STRING。文書の受信者に処理命令を伝えるために自由形式の文字列。その意味は、アウトオブバンド交渉しなければなりません。
Every incident is represented by an instance of the Incident class. This class provides a standardized representation for commonly exchanged incident data.
すべての入射は、入射クラスのインスタンスによって表されます。このクラスは、一般的に交換インシデントデータのための標準化された表現を提供します。
+--------------------+
| Incident |
+--------------------+
| ENUM purpose |<>----------[ IncidentID ]
| STRING ext-purpose |<>--{0..1}--[ AlternativeID ]
| ENUM lang |<>--{0..1}--[ RelatedActivity ]
| ENUM restriction |<>--{0..1}--[ DetectTime ]
| |<>--{0..1}--[ StartTime ]
| |<>--{0..1}--[ EndTime ]
| |<>----------[ ReportTime ]
| |<>--{0..*}--[ Description ]
| |<>--{1..*}--[ Assessment ]
| |<>--{0..*}--[ Method ]
| |<>--{1..*}--[ Contact ]
| |<>--{0..*}--[ EventData ]
| |<>--{0..1}--[ History ]
| |<>--{0..*}--[ AdditionalData ]
+--------------------+
Figure 2: The Incident Class
図2:インシデントクラス
The aggregate classes that constitute Incident are:
インシデントを構成する集約クラスは次のとおりです。
IncidentID One. An incident tracking number assigned to this incident by the CSIRT that generated the IODEF document.
ワンIncidentID。 IODEF文書を生成CSIRTによってこのインシデントに割り当てられたインシデント追跡番号。
AlternativeID Zero or one. The incident tracking numbers used by other CSIRTs to refer to the incident described in the document.
AlternativeIDゼロまたは1つ。文書に記載されインシデントを参照するために他のCSIRTによって使用されるインシデント追跡番号。
RelatedActivity Zero or one. The incident tracking numbers of related incidents.
RelatedActivityゼロまたは1つ。関連するインシデントのインシデント追跡番号。
DetectTime Zero or one. The time the incident was first detected.
DetectTimeゼロまたは1つ。インシデントが最初に検出された時間。
StartTime Zero or one. The time the incident started.
StartTime 0または1。事件が開始された時刻。
EndTime Zero or one. The time the incident ended.
終了時間ゼロまたは1つ。事件が終わった時。
ReportTime One. The time the incident was reported.
ReportTime一つ。時間は、事件が報告されました。
Description Zero or more. ML_STRING. A free-form textual description of the incident.
説明ゼロ以上。 ML_STRING。入射の自由形式のテキスト記述。
Assessment One or more. A characterization of the impact of the incident.
評価つ以上。事件の影響の特性決定。
Method Zero or more. The techniques used by the intruder in the incident.
メソッドゼロ以上。事件に侵入者によって使用される技術。
Contact One or more. Contact information for the parties involved in the incident.
一つ以上にお問い合わせください。事件当事者のための情報を問い合わせてください。
EventData Zero or more. Description of the events comprising the incident.
EventDataのゼロ以上。インシデントを構成するイベントの記述。
History Zero or one. A log of significant events or actions that occurred during the course of handling the incident.
歴史ゼロまたは1つ。事件を処理する過程で発生した重要なイベントやアクションのログ。
AdditionalData Zero or more. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。データモデルを拡張するためのメカニズム。
The Incident class has four attributes:
インシデントクラスは、4つの属性があります。
purpose Required. ENUM. The purpose attribute represents the reason why the IODEF document was created. It is closely related to the Expectation class (Section 3.13). This attribute is defined as an enumerated list:
目的は必須。 ENUM。目的属性は、IODEF文書が作成された理由を表します。これは、期待クラス(3.13節)と密接に関係しています。この属性は、列挙リストのように定義されます。
2. mitigation. The document was sent to request aid in mitigating the described activity.
2.緩和。文書は説明活動を軽減するには援助を要求するために送られました。
3. reporting. The document was sent to comply with reporting requirements.
3.報告。文書は、報告要件に準拠するために送られました。
4. other. The document was sent for purposes specified in the Expectation class.
4.その他。文書は、期待クラスに指定された目的のために送られました。
5. ext-value. An escape value used to extend this attribute. See Section 5.1.
5. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-purpose Optional. STRING. A means by which to extend the purpose attribute. See Section 5.1.
内線目的オプション。 STRING。目的の属性を拡張する手段。セクション5.1を参照してください。
lang Optional. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
LANGオプション。 ENUM。 RFC 4646あたりの有効な言語コードは[7]「:言語XS」の定義によって制約。このコードの解釈は、セクション6に記載されています。
restriction Optional. ENUM. This attribute indicates the disclosure guidelines to which the sender expects the recipient to adhere for the information represented in this class and its children. This guideline provides no security since there are no specified technical means to ensure that the recipient of the document handles the information as the sender requested.
制限オプション。 ENUM。この属性は、送信者が受信者は、このクラスとその子に代表される情報については、接着するように期待していたに開示ガイドラインを示します。送信者は要求に応じて、文書の受信者は、情報を処理することを確実にするために何も指定された技術的手段がないので、このガイドラインには、セキュリティを提供していません。
The value of this attribute is logically inherited by the children of this class. That is to say, the disclosure rules applied to this class, also apply to its children.
この属性の値は、論理的に、このクラスの子供たちに継承されます。つまり、このクラスに適用される開示規則は、またその子への適用と言うことです。
It is possible to set a granular disclosure policy, since all of the high-level classes (i.e., children of the Incident class) have a restriction attribute. Therefore, a child can override the guidelines of a parent class, be it to restrict or relax the disclosure rules (e.g., a child has a weaker policy than an ancestor; or an ancestor has a weak policy, and the children selectively apply more rigid controls). The implicit value of the restriction attribute for a class that did not specify one can be found in the closest ancestor that did specify a value.
ハイレベルのクラス(インシデントクラスの、すなわち、子供)の全てが制限属性を持っているので、粒状の開示ポリシーを設定することが可能です。または祖先が弱いポリシーを持って、そして子供たちが選択より剛性適用されます。そのため、子供は例えば、子供が祖先よりも弱いポリシーを持っている(開示規則を制限したり、リラックスすることも、親クラスのガイドラインをオーバーライドすることができますコントロール)。 1を指定しなかったクラスの制限属性の暗黙の値は、値を指定しなかった最も近い祖先で見つけることができます。
This attribute is defined as an enumerated value with a default value of "private". Note that the default value of the restriction attribute is only defined in the context of the Incident class. In other classes where this attribute is used, no default is specified.
この属性は、「プライベート」のデフォルト値で列挙された値として定義されます。制限属性のデフォルト値のみインシデントクラスのコンテキストで定義されていることに注意してください。この属性が使用されている他のクラスでは、デフォルトが指定されていません。
2. need-to-know. The information may be shared with other parties that are involved in the incident as determined by the recipient of this document (e.g., multiple victim sites can be informed of each other).
2.知る必要性。情報は、この文書の受信者によって決定されるような事件に関与している他の関係者と共有することができる(例えば、多数の犠牲者のサイトは、相互に通知することができます)。
4. default. The information can be shared according to an information disclosure policy pre-arranged by the communicating parties.
4.デフォルト。情報は、通信当事者によって事前配置情報の開示ポリシーに従って共有することができます。
The IncidentID class represents an incident tracking number that is unique in the context of the CSIRT and identifies the activity characterized in an IODEF Document. This identifier would serve as an index into the CSIRT incident handling system. The combination of the name attribute and the string in the element content MUST be a globally unique identifier describing the activity. Documents generated by a given CSIRT MUST NOT reuse the same value unless they are referencing the same incident.
IncidentIDクラスは、CSIRTのコンテキストにおいて一意であり、IODEF文献特徴活動を識別するインシデント追跡番号を表します。この識別子は、CSIRT入射ハンドリングシステムへのインデックスとして役立つであろう。 name属性と要素のコンテンツ内の文字列の組み合わせが活動を記述するグローバル一意識別子でなければなりません。それらが同じ事件を参照していない限り、所与のCSIRTによって生成された文書は、同じ値を再利用してはいけません。
+------------------+
| IncidentID |
+------------------+
| STRING |
| |
| STRING name |
| STRING instance |
| ENUM restriction |
+------------------+
Figure 3: The IncidentID Class
図3:IncidentIDクラス
The IncidentID class has three attributes:
IncidentIDクラスには3つの属性があります。
name Required. STRING. An identifier describing the CSIRT that created the document. In order to have a globally unique CSIRT name, the fully qualified domain name associated with the CSIRT MUST be used.
必要な名前を付けます。 STRING。文書を作成したCSIRTを記述する識別子。グローバルに一意のCSIRT名を持つために、CSIRTに関連付けられた完全修飾ドメイン名を使用しなければなりません。
instance Optional. STRING. An identifier referencing a subset of the named incident.
オプションのインスタンス。 STRING。名前インシデントのサブセットを参照する識別子。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。 ENUM。この属性は、3.2節で定義されています。
The AlternativeID class lists the incident tracking numbers used by CSIRTs, other than the one generating the document, to refer to the identical activity described the IODEF document. A tracking number listed as an AlternativeID references the same incident detected by another CSIRT. The incident tracking numbers of the CSIRT that generated the IODEF document should never be considered an AlternativeID.
AlternativeIDクラスは、同一の活性を参照するために、文書を生成する以外、のCSIRTで使用入射追跡番号を示しIODEF文書を記載しました。 AlternativeIDとしてリスト追跡番号は、他のCSIRTによって検出された同一の入射を参照します。 IODEF文書を生成CSIRTのインシデント追跡番号はAlternativeIDと考えてはいけません。
+------------------+
| AlternativeID |
+------------------+
| ENUM restriction |<>--{1..*}--[ IncidentID ]
| |
+------------------+
Figure 4: The AlternativeID Class
図4:AlternativeIDクラス
The aggregate class that constitutes AlternativeID is:
AlternativeIDを構成する集約クラスは以下のとおりです。
IncidentID One or more. The incident tracking number of another CSIRT.
一つ以上をIncidentID。別のCSIRTのインシデント追跡番号。
The AlternativeID class has one attribute:
AlternativeIDクラスは、1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。 ENUM。この属性は、3.2節で定義されています。
The RelatedActivity class lists either incident tracking numbers of incidents or URLs (not both) that refer to activity related to the one described in the IODEF document. These references may be to local incident tracking numbers or to those of other CSIRTs.
IODEF文書に記載のものに関連するアクティビティを参照して、インシデントやURLの数を追跡RelatedActivityクラスリストのいずれかで入射(両方ではありません)。これらの参考文献は、局所入射追跡番号または他のCSIRTのものにあってもよいです。
The specifics of how a CSIRT comes to believe that two incidents are related are considered out of scope.
CSIRTは、2つの事件が関連していることを信じるになる方法の詳細は適用範囲外と考えられています。
+------------------+
| RelatedActivity |
+------------------+
| ENUM restriction |<>--{0..*}--[ IncidentID ]
| |<>--{0..*}--[ URL ]
+------------------+
Figure 5: RelatedActivity Class
図5:RelatedActivityクラス
The aggregate classes that constitutes RelatedActivity are:
RelatedActivityを構成する集約クラスは次のとおりです。
IncidentID One or more. The incident tracking number of a related incident.
一つ以上をIncidentID。関連するインシデントのインシデント追跡番号。
URL One or more. URL. A URL to activity related to this incident.
URL一つ以上。 URL。この事件に関連した活動へのURL。
The RelatedActivity class has one attribute:
RelatedActivityクラスは、1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。 ENUM。この属性は、3.2節で定義されています。
The AdditionalData class serves as an extension mechanism for information not otherwise represented in the data model. For relatively simple information, atomic data types (e.g., integers, strings) are provided with a mechanism to annotate their meaning. The class can also be used to extend the data model (and the associated Schema) to support proprietary extensions by encapsulating entire XML documents conforming to another Schema (e.g., IDMEF). A detailed discussion for extending the data model and the schema can be found in Section 5.
AdditionalDataクラスは、そうでなければ、データ・モデルには示されていない情報のための拡張機構として機能します。比較的単純な情報のために、アトミックなデータ型(例えば、整数、文字列)がその意味を注釈するための機構が設けられています。クラスはまた、別のスキーマ(例えば、IDMEF)に準拠したXML文書全体をカプセル化することによって独自の拡張機能をサポートするためのデータモデル(および関連するスキーマ)を拡張するために使用することができます。データモデルとスキーマを拡張するための詳細な説明は、第5節に見出すことができます。
Unlike XML, which is self-describing, atomic data must be documented to convey its meaning. This information is described in the 'meaning' attribute. Since these description are outside the scope of the specification, some additional coordination may be required to ensure that a recipient of a document using the AdditionalData classes can make sense of the custom extensions.
自己記述であるXMLとは異なり、原子データは、その意味を伝えるために文書化されなければなりません。この情報は、「意味」属性に記述されています。これらの記述は仕様の範囲外であるので、いくつかの追加調整がAdditionalDataクラスを使用して、文書の受信者がカスタム拡張の感覚を作ることができることを保証するために必要な場合があります。
+------------------+
| AdditionalData |
+------------------+
| ANY |
| |
| ENUM dtype |
| STRING ext-dtype |
| STRING meaning |
| STRING formatid |
| ENUM restriction |
+------------------+
Figure 6: The AdditionalData Class
図6:AdditionalDataクラス
The AdditionalData class has five attributes:
AdditionalDataクラスには、5つの属性があります。
dtype Required. ENUM. The data type of the element content. The permitted values for this attribute are shown below. The default value is "string".
DTYPE必須。 ENUM。要素コンテンツのデータ型。この属性の許可された値は以下のとおりです。デフォルト値は「文字列」です。
9. file. The element content is a base64 encoded binary file encoded as a BYTE[] type.
9.ファイル。元素の含有量は、BYTE []型としてエンコードBASE64符号化されたバイナリファイルです。
10. frame. The element content is a layer-2 frame encoded as a HEXBIN type.
10.フレーム。元素の含有量はHEXBINタイプとして符号化されたレイヤ2フレームです。
11. packet. The element content is a layer-3 packet encoded as a HEXBIN type.
11.パケット。元素の含有量はHEXBINタイプとして符号化されたレイヤ3パケットです。
12. ipv4-packet. The element content is an IPv4 packet encoded as a HEXBIN type.
12. IPv4のパケット。元素の含有量はHEXBINタイプとして符号化されたIPv4パケットです。
13. ipv6-packet. The element content is an IPv6 packet encoded as a HEXBIN type.
13. IPv6のパケット。元素の含有量はHEXBINタイプとして符号化されたIPv6パケットです。
14. path. The element content is a file-system path encoded as a STRING type.
14.パス。要素のコンテンツは、文字列型としてエンコードされたファイル・システム・パスです。
16. csv. The element content is a common separated value (CSV) list per Section 2 of [20] encoded as a STRING type.
16. CSV。元素の含有量は、STRING型として符号化された[20]のセクション2あたり共通区切り値(CSV)のリストです。
17. winreg. The element content is a Windows registry key encoded as a STRING type.
17. winregを。要素の内容は、STRING型としてエンコードされたWindowsのレジストリキーです。
19. ext-value. An escape value used to extend this attribute. See Section 5.1.
19. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-dtype Optional. STRING. A means by which to extend the dtype attribute. See Section 5.1.
EXT-DTYPEオプション。 STRING。 DTYPE属性を拡張する手段。セクション5.1を参照してください。
meaning Optional. STRING. A free-form description of the element content.
オプションの意味。 STRING。元素の含有量の自由形式の記述。
formatid Optional. STRING. An identifier referencing the format and semantics of the element content.
オプションのformatID。 STRING。要素の内容の形式と意味論を参照する識別子。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。 ENUM。この属性は、3.2節で定義されています。
The Contact class describes contact information for organizations and personnel involved in the incident. This class allows for the naming of the involved party, specifying contact information for them, and identifying their role in the incident.
Contactクラスは、事件に巻き込ま組織や人員の連絡先情報を記述します。このクラスは、彼らのために連絡先情報を指定して、当事者の命名を可能にし、事件における役割を特定します。
People and organizations are treated interchangeably as contacts; one can be associated with the other using the recursive definition of the class (the Contact class is aggregated into the Contact class). The 'type' attribute disambiguates the type of contact information being provided.
人々や組織が連絡先として同義的に扱われます。一つは、他のクラスの再帰的定義を使用して関連付けることができる(Contactクラスは、連絡先クラスに集約されています)。 「タイプ」属性が提供されている連絡先情報の種類を曖昧性を除去します。
The inheriting definition of Contact provides a way to relate information without requiring the explicit use of identifiers in the classes or duplication of data. A complete point of contact is derived by a particular traversal from the root Contact class to the leaf Contact class. As such, multiple points of contact might be specified in a single instance of a Contact class. Each child Contact class logically inherits contact information from its ancestors.
連絡先の継承定義は、クラスまたはデータの複製における識別子の明示的な使用を必要とせずに情報を関連付けるための方法を提供します。連絡先の完全なポイントは、葉のContactクラスへのルートContactクラスから特定のトラバーサルにより導出されます。そのため、接触の複数のポイントは、Contactクラスの単一のインスタンスで指定される可能性があります。それぞれの子Contactクラスは、論理的にその先祖からの連絡先情報を継承します。
+------------------+
| Contact |
+------------------+
| ENUM role |<>--{0..1}--[ ContactName ]
| STRING ext-role |<>--{0..*}--[ Description ]
| ENUM type |<>--{0..*}--[ RegistryHandle ]
| STRING ext-type |<>--{0..1}--[ PostalAddress ]
| ENUM restriction |<>--{0..*}--[ Email ]
| |<>--{0..*}--[ Telephone ]
| |<>--{0..1}--[ Fax ]
| |<>--{0..1}--[ Timezone ]
| |<>--{0..*}--[ Contact ]
| |<>--{0..*}--[ AdditionalData ]
+------------------+
Figure 7: The Contact Class
図7:連絡先クラス
The aggregate classes that constitute the Contact class are:
Contactクラスを構成する集約クラスは次のとおりです。
ContactName Zero or one. ML_STRING. The name of the contact. The contact may either be an organization or a person. The type attribute disambiguates the semantics.
[担当ゼロまたは1つ。 ML_STRING。連絡先の名前。連絡先は、いずれかの組織や人かもしれません。 type属性は意味を曖昧性を除去します。
Description Zero or many. ML_STRING. A free-form description of this contact. In the case of a person, this is often the organizational title of the individual.
説明ゼロまたは多数。 ML_STRING。この接触の自由形式の説明。人の場合、これは多くの場合、個々の組織のタイトルです。
RegistryHandle Zero or many. A handle name into the registry of the contact.
RegistryHandleゼロまたは多数。連絡先のレジストリにハンドル名。
PostalAddress Zero or one. The postal address of the contact.
PostalAddressゼロまたは1つ。連絡先の住所。
Email Zero or many. The email address of the contact.
メールゼロまたは多数。連絡先のメールアドレス。
Telephone Zero or many. The telephone number of the contact.
電話ゼロまたは多数。連絡先の電話番号。
Fax Zero or one. The facsimile telephone number of the contact.
ファックスゼロまたは1つ。連絡先のファクシミリ電話番号。
Timezone Zero or one. TIMEZONE. The timezone in which the contact resides formatted according to Section 2.9.
タイムゾーンゼロまたは1つ。 TIMEZONE。タイムゾーンとは、接触は、セクション2.9に従ってフォーマット常駐します。
Contact Zero or many. A Contact instance contained within another Contact instance inherits the values of the parent(s). This recursive definition can be used to group common data pertaining to multiple points of contact and is especially useful when listing multiple contacts at the same organization.
ゼロまたは多くにお問い合わせください。別の連絡先のインスタンス内に含まれる連絡先のインスタンスは、親(S)の値を継承します。この再帰的な定義では、接触の複数のポイントに関連するグループ共通のデータに使用し、同じ組織で複数の連絡先を一覧表示する際に特に便利であることができます。
AdditionalData Zero or many. A mechanism by which to extend the data model.
AdditionalDataゼロまたは多数。データモデルを拡張するためのメカニズム。
At least one of the aggregate classes MUST be present in an instance of the Contact class. This is not enforced in the IODEF schema as there is no simple way to accomplish it.
集計クラスの少なくとも一つは、Contactクラスのインスタンス中に存在しなければなりません。それを達成する簡単な方法がないとしてこれはIODEFスキーマには適用されません。
The Contact class has five attributes:
Contactクラスは、5つの属性があります。
role Required. ENUM. Indicates the role the contact fulfills. This attribute is defined as an enumerated list:
役割が必要です。 ENUM。接触が果たす役割を示します。この属性は、列挙リストのように定義されます。
5. cc. An entity that is to be kept informed about the handling of the incident.
5. CC。事件の取り扱いについて情報保持するエンティティ。
6. ext-value. An escape value used to extend this attribute. See Section 5.1.
6. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-role Optional. STRING. A means by which to extend the role attribute. See Section 5.1.
EXT-役割オプション。 STRING。 role属性を拡張する手段。セクション5.1を参照してください。
type Required. ENUM. Indicates the type of contact being described. This attribute is defined as an enumerated list:
必須入力。 ENUM。説明されている連絡先のタイプを示します。この属性は、列挙リストのように定義されます。
1. person. The information for this contact references an individual.
1人。この連絡先の情報は、個人を参照します。
2. organization. The information for this contact references an organization.
2.組織。この連絡先の情報は、組織を参照します。
3. ext-value. An escape value used to extend this attribute. See Section 5.1.
3. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
EXT-typeオプション。 STRING。 type属性を拡張する手段。セクション5.1を参照してください。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。 ENUM。この属性は、セクション3.2で定義されています。
The RegistryHandle class represents a handle into an Internet registry or community-specific database. The handle is specified in the element content and the type attribute specifies the database.
RegistryHandleクラスは、インターネットレジストリやコミュニティ固有のデータベースへのハンドルを表します。ハンドルは、要素の内容に指定され、type属性は、データベースを指定します。
+---------------------+
| RegistryHandle |
+---------------------+
| STRING |
| |
| ENUM registry |
| STRING ext-registry |
+---------------------+
Figure 8: The RegistryHandle Class
図8:RegistryHandleクラス
The RegistryHandle class has two attributes:
RegistryHandleクラスには2つの属性があります。
registry Required. ENUM. The database to which the handle belongs. The default value is 'local'. The possible values are:
レジストリが必要です。 ENUM。ハンドルが属するデータベース。デフォルト値は「ローカル」です。可能な値は以下のとおりです。
8. ext-value. An escape value used to extend this attribute. See Section 5.1.
8. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-registry Optional. STRING. A means by which to extend the registry attribute. See Section 5.1.
EXT-レジストリオプション。 STRING。レジストリの属性を拡張する手段。セクション5.1を参照してください。
The PostalAddress class specifies a postal address formatted according to the POSTAL data type (Section 2.11).
PostalAddressのクラスは、郵便データタイプ(2.11)に従ってフォーマットされた住所を特定します。
+---------------------+
| PostalAddress |
+---------------------+
| POSTAL |
| |
| ENUM meaning |
| ENUM lang |
+---------------------+
Figure 9: The PostalAddress Class
図9:クラスのPostalAddress
The PostalAddress class has two attributes:
PostalAddressクラスは、2つの属性があります。
meaning Optional. ENUM. A free-form description of the element content.
オプションの意味。 ENUM。元素の含有量の自由形式の記述。
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
LANG必須。 ENUM。 RFC 4646あたりの有効な言語コードは[7]「:言語XS」の定義によって制約。このコードの解釈は、セクション6に記載されています。
The Email class specifies an email address formatted according to EMAIL data type (Section 2.14).
Emailクラスは、電子メールデータの種類(2.14)に従ってフォーマットの電子メールアドレスを指定します。
+--------------+
| Email |
+--------------+
| EMAIL |
| |
| ENUM meaning |
+--------------+
Figure 10: The Email Class
図10:電子メールのクラス
The Email class has one attribute:
Emailクラスは、1つの属性があります。
meaning Optional. ENUM. A free-form description of the element content.
オプションの意味。 ENUM。元素の含有量の自由形式の記述。
The Telephone and Fax classes specify a voice or fax telephone number respectively, and are formatted according to PHONE data type (Section 2.13).
電話およびFAXのクラスは、それぞれ、音声またはファックス電話番号を指定して、電話のデータタイプ(2.13)に従ってフォーマットされています。
+--------------------+
| {Telephone | Fax } |
+--------------------+
| PHONE |
| |
| ENUM meaning |
+--------------------+
Figure 11: The Telephone and Fax Classes
図11:電話およびFAXのクラス
The Telephone class has one attribute:
電話クラスは、1つの属性があります。
meaning Optional. ENUM. A free-form description of the element content (e.g., hours of coverage for a given number).
オプションの意味。 ENUM。元素の含有量の自由形式の記述(例えば、所定数のカバレッジの時間)。
The data model uses five different classes to represent a timestamp. Their definition is identical, but each has a distinct name to convey a difference in semantics.
データモデルは、タイムスタンプを表現するために五つの異なるクラスを使用しています。彼らの定義は同じですが、それぞれが意味論の違いを伝えるための明確な名前を持っています。
The element content of each class is a timestamp formatted according to the DATETIME data type (see Section 2.8).
各クラスの元素の含有量は、DATETIMEデータタイプ(2.8節を参照)に従ってフォーマットされたタイムスタンプです。
+----------------------------------+
| {Start| End| Report| Detect}Time |
+----------------------------------+
| DATETIME |
+----------------------------------+
Figure 12: The Time Classes
図12:時間のクラス
The StartTime class represents the time the incident began.
StartTimeクラスは、事件が始まった時間を表しています。
The EndTime class represents the time the incident ended.
終了時間のクラスでは、事件が終了した時間を表しています。
The DetectTime class represents the time the first activity of the incident was detected.
DetectTimeクラスは、入射の最初のアクティビティが検出された時間を表します。
The ReportTime class represents the time the incident was reported. This timestamp SHOULD coincide to the time at which the IODEF document is generated.
ReportTimeクラスは、事件が報告された時間を表しています。このタイムスタンプは、IODEF文書が生成された時刻に一致するはずです。
The DateTime class is a generic representation of a timestamp. Its semantics should be inferred from the parent class in which it is aggregated.
DateTimeクラスは、タイムスタンプの一般的な表現です。その意味は、それが集約されている親クラスから推測する必要があります。
The Method class describes the methodology used by the intruder to perpetrate the events of the incident. This class consists of a list of references describing the attack method and a free form description of the technique.
メソッドのクラスは、インシデントのイベントを犯すために侵入者によって使用される方法を記載しています。このクラスは、攻撃手法や技術の自由形式の説明を記述した参照のリストで構成されています。
+------------------+
| Method |
+------------------+
| ENUM restriction |<>--{0..*}--[ Reference ]
| |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ AdditionalData ]
+------------------+
Figure 13: The Method Class
図13:メソッドクラス
The Method class is composed of three aggregate classes.
メソッドのクラスは3つの集計クラスで構成されています。
Reference Zero or many. A reference to a vulnerability, malware sample, advisory, or analysis of an attack technique.
参考ゼロまたは多数。攻撃手法の脆弱性、マルウェアサンプル、顧問、又は分析を参照。
Description Zero or many. ML_STRING. A free-form text description of the methodology used by the intruder.
説明ゼロまたは多数。 ML_STRING。侵入者によって使用される方法論の自由形式のテキスト記述。
AdditionalData Zero or many. A mechanism by which to extend the data model.
AdditionalDataゼロまたは多数。データモデルを拡張するためのメカニズム。
Either an instance of the Reference or Description class MUST be present.
いずれかのリファレンスまたは説明クラスのインスタンスが存在しなければなりません。
The Method class has one attribute:
メソッドクラスは、1つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。 ENUM。この属性は、セクション3.2で定義されています。
The Reference class is a reference to a vulnerability, IDS alert, malware sample, advisory, or attack technique. A reference consists of a name, a URL to this reference, and an optional description.
リファレンスクラスは、脆弱性、IDS警告、マルウェアのサンプル、助言、あるいは攻撃手法への参照です。参照は、名前、この基準へのURL、およびオプションの説明から成ります。
+------------------+
| Reference |
+------------------+
| |<>----------[ ReferenceName ]
| |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ Description ]
+------------------+
Figure 14: The Reference Class
図14:参照クラス
The aggregate classes that constitute Reference:
リファレンスを構成する骨材のクラス:
ReferenceName One. ML_STRING. Name of the reference.
ワンReferenceName。 ML_STRING。参照の名前。
URL Zero or many. URL. A URL associated with the reference.
URLゼロまたは多数。 URL。参照に関連付けられたURL。
Description Zero or many. ML_STRING. A free-form text description of this reference.
説明ゼロまたは多数。 ML_STRING。このリファレンスの自由形式のテキスト記述。
The Assessment class describes the technical and non-technical repercussions of the incident on the CSIRT's constituency.
評価クラスは、CSIRTの選挙区に入射の技術的および非技術的な影響について説明します。
This class was derived from the IDMEF[17].
このクラスはIDMEF [17]に由来しました。
+------------------+
| Assessment |
+------------------+
| ENUM occurrence |<>--{0..*}--[ Impact ]
| ENUM restriction |<>--{0..*}--[ TimeImpact ]
| |<>--{0..*}--[ MonetaryImpact ]
| |<>--{0..*}--[ Counter ]
| |<>--{0..1}--[ Confidence ]
| |<>--{0..*}--[ AdditionalData ]
+------------------+
Figure 15: Assessment Class
図15:アセスメントクラス
The aggregate classes that constitute Assessment are:
アセスメントを構成する集約クラスは次のとおりです。
Impact Zero or many. Technical impact of the incident on a network.
インパクトゼロまたは多数。ネットワーク上の入射の技術的影響。
TimeImpact Zero or many. Impact of the activity measured with respect to time.
TimeImpactゼロまたは多数。活動の影響は、時間を基準にして測定します。
MonetaryImpact Zero or many. Impact of the activity measured with respect to financial loss.
MonetaryImpactゼロまたは多数。財務上の損失に対して測定活動の影響。
Counter Zero or more. A counter with which to summarize the magnitude of the activity.
カウンターゼロ以上。活動の大きさを要約するとカウンター。
Confidence Zero or one. An estimate of confidence in the assessment.
自信ゼロまたは1つ。評価の信頼の推定値。
AdditionalData Zero or many. A mechanism by which to extend the data model.
AdditionalDataゼロまたは多数。データモデルを拡張するためのメカニズム。
A least one instance of the possible three impact classes (i.e., Impact, TimeImpact, or MonetaryImpact) MUST be present.
可能な3つの影響クラス(すなわち、衝撃、TimeImpact、又はMonetaryImpact)の少なくとも一つのインスタンスが存在しなければなりません。
The Assessment class has two attributes:
評価クラスには2つの属性があります。
occurrence Optional. ENUM. Specifies whether the assessment is describing actual or potential outcomes. The default is "actual" and is assumed if not specified.
発生オプション。 ENUM。評価は、実際のまたは潜在的な結果を説明するかどうかを指定します。デフォルトでは、「実際の」であると指定されていない場合を想定しています。
2. potential. This assessment describes potential activity that might occur.
2.潜在的な。この評価は、発生する可能性がある潜在的活性を示します。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。 ENUM。この属性は、セクション3.2で定義されています。
The Impact class allows for categorizing and describing the technical impact of the incident on the network of an organization.
インパクトクラス分類と組織のネットワーク上の入射の技術的影響を記述することを可能にします。
This class is based on the IDMEF [17].
このクラスは、IDMEF [17]に基づいています。
+------------------+
| Impact |
+------------------+
| ML_STRING |
| |
| ENUM lang |
| ENUM severity |
| ENUM completion |
| ENUM type |
| STRING ext-type |
+------------------+
Figure 16: Impact Class
図16:インパクトクラス
The element content will be a free-form textual description of the impact.
元素の含有量は、衝撃の自由形式のテキスト記述であろう。
The Impact class has five attributes:
インパクトクラスは、5つの属性があります。
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
LANG必須。 ENUM。 RFC 4646あたりの有効な言語コードは[7]「:言語XS」の定義によって制約。このコードの解釈は、セクション6に記載されています。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重大度オプション。 ENUM。活動の相対的な重要度の推定値。許容値は以下の通りです。デフォルト値はありません。
completion Optional. ENUM. An indication whether the described activity was successful. The permitted values are shown below. There is no default value.
完了オプション。 ENUM。説明活動が成功したかどうかの表示。許容値は以下の通りです。デフォルト値はありません。
type Required. ENUM. Classifies the malicious activity into incident categories. The permitted values are shown below. The default value is "other".
必須入力。 ENUM。インシデントカテゴリに悪意のある活動を分類します。許容値は以下の通りです。デフォルト値は、「その他」です。
3. file. An action that impacts the integrity of a file or database was attempted.
3.ファイル。ファイルまたはデータベースの整合性を試みた影響アクション。
5. misconfiguration. An attempt was made to exploit a mis-configuration in a system.
5.設定ミス。試みは、システム内の設定ミスを活用するために作られました。
8. social-engineering. A social engineering attack was attempted.
8.ソーシャル・エンジニアリング。ソーシャルエンジニアリング攻撃を試みました。
11. ext-value. An escape value used to extend this attribute. See Section 5.1.
11. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
EXT-typeオプション。 STRING。 type属性を拡張する手段。セクション5.1を参照してください。
The TimeImpact class describes the impact of the incident on an organization as a function of time. It provides a way to convey down time and recovery time.
TimeImpactクラスは、時間の関数としての組織への入射の影響を記載しています。それは時間と回復時間をダウン伝えるための方法を提供します。
+---------------------+
| TimeImpact |
+---------------------+
| REAL |
| |
| ENUM severity |
| ENUM metric |
| STRING ext-metric |
| ENUM duration |
| STRING ext-duration |
+---------------------+
Figure 17: TimeImpact Class
図17:TimeImpactクラス
The element content is a positive, floating point (REAL) number specifying a unit of time. The duration and metric attributes will imply the semantics of the element content.
元素の含有量は、時間の単位を指定する正、浮動小数点(REAL)数です。期間およびメトリックの属性は、要素の内容の意味を暗示します。
The TimeImpact class has five attributes:
TimeImpactクラスには、5つの属性があります。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重大度オプション。 ENUM。活動の相対的な重要度の推定値。許容値は以下の通りです。デフォルト値はありません。
metric Required. ENUM. Defines the metric in which the time is expressed. The permitted values are shown below. There is no default value.
メトリック必須。 ENUM。時間が発現しているメトリックを定義します。許容値は以下の通りです。デフォルト値はありません。
1. labor. Total staff-time to recovery from the activity (e.g., 2 employees working 4 hours each would be 8 hours).
1.労働。活動からの回復に全スタッフ-時間(例えば、4時間ごとに作業2人の従業員は8時間になります)。
2. elapsed. Elapsed time from the beginning of the recovery to its completion (i.e., wall-clock time).
2.経過しました。その完了(すなわち、ウォールクロック時間)に回収の開始からの経過時間。
3. downtime. Duration of time for which some provided service(s) was not available.
3.ダウンタイム。時間の期間は、そのため、いくつか提供しているサービス(複数可)は利用できませんでした。
4. ext-value. An escape value used to extend this attribute. See Section 5.1.
4. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-metric Optional. STRING. A means by which to extend the metric attribute. See Section 5.1.
EXT-メトリックオプション。 STRING。メトリック属性を拡張する手段。セクション5.1を参照してください。
duration Required. ENUM. Defines a unit of time, that when combined with the metric attribute, fully describes a metric of impact that will be conveyed in the element content. The permitted values are shown below. The default value is "hour".
期間が必要です。 ENUM。メトリック属性と組み合わせた場合、完全に要素の内容の中で伝達される衝撃のメトリックを記述していることを、時間の単位を定義します。許容値は以下の通りです。デフォルト値は「時間」です。
8. ext-value. An escape value used to extend this attribute. See Section 5.1.
8. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-duration Optional. STRING. A means by which to extend the duration attribute. See Section 5.1.
EXT-期間オプション。 STRING。 duration属性を拡張する手段。セクション5.1を参照してください。
The MonetaryImpact class describes the financial impact of the activity on an organization. For example, this impact may consider losses due to the cost of the investigation or recovery, diminished productivity of the staff, or a tarnished reputation that will affect future opportunities.
MonetaryImpactクラスは、組織の活動の財務的影響を説明しています。たとえば、この影響は調査や復旧のコストによる損失、スタッフの減少、生産性、または将来の機会に影響を与える曇っ評判を考慮することができます。
+------------------+
| MonetaryImpact |
+------------------+
| REAL |
| |
| ENUM severity |
| STRING currency |
+------------------+
Figure 18: MonetaryImpact Class
図18:通貨インパクトクラス
The element content is a positive, floating point number (REAL) specifying a unit of currency described in the currency attribute.
元素の含有量は、通貨属性に記載の通貨の単位を指定する正の浮動小数点数(REAL)です。
The MonetaryImpact class has two attributes:
MonetaryImpactクラスは、2つの属性があります。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重大度オプション。 ENUM。活動の相対的な重要度の推定値。許容値は以下の通りです。デフォルト値はありません。
currency Required. STRING. Defines the currency in which the monetary impact is expressed. The permitted values are defined in ISO 4217:2001, Codes for the representation of currencies and funds [14]. There is no default value.
通貨が必要です。 STRING。金銭的な影響が発現している通貨を定義します。 2001、通貨及び資金の表現をコードする[14]:許容値はISO 4217に定義されています。デフォルト値はありません。
The Confidence class represents a best estimate of the validity and accuracy of the described impact (see Section 3.10) of the incident activity. This estimate can be expressed as a category or a numeric calculation.
信頼クラスは、入射活性の説明影響の妥当性と精度の最良の推定値(セクション3.10を参照)を表します。この推定値は、カテゴリや数値計算のように表現することができます。
This class if based upon the IDMEF [17]).
IDMEFに基づいている場合、このクラス[17])。
+------------------+
| Confidence |
+------------------+
| REAL |
| |
| ENUM rating |
+------------------+
Figure 19: Confidence Class
図19:信頼クラス
The element content expresses a numerical assessment in the confidence of the data when the value of the rating attribute is "numeric". Otherwise, this element should be empty.
要素の内容は、レーティング属性の値が「数値」であるデータの信頼で数値的な評価を表しています。それ以外の場合、この要素は空でなければなりません。
The Confidence class has one attribute.
自信クラスは属性が1つあります。
rating Required. ENUM. A rating of the analytical validity of the specified Assessment. The permitted values are shown below. There is no default value.
格付け必須。 ENUM。指定された評価の分析的妥当性の評価。許容値は以下の通りです。デフォルト値はありません。
4. numeric. The element content contains a number that conveys the confidence of the data. The semantics of this number outside the scope of this specification.
4.数値。要素の内容は、データの信頼性を伝える番号が含まれています。この仕様の範囲外で、この数の意味。
The History class is a log of the significant events or actions performed by the involved parties during the course of handling the incident.
歴史の授業は、事件を処理する過程で関係者によって実行される重要なイベントやアクションのログです。
The level of detail maintained in this log is left up to the discretion of those handling the incident.
このログに保持詳細のレベルは、入射を取り扱う者の裁量に任されています。
+------------------+
| History |
+------------------+
| ENUM restriction |<>--{1..*}--[ HistoryItem ]
| |
+------------------+
Figure 20: The History Class
図20:歴史クラス
The class that constitutes History is:
歴史を構成するクラスは、次のとおりです。
HistoryItem One or many. Entry in the history log of significant events or actions performed by the involved parties.
HistoryItemつまたは多数。関係者が実行する重要なイベントやアクションの履歴ログにエントリ。
The History class has one attribute:
歴史の授業は、1つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。 ENUM。この属性は、セクション3.2で定義されています。
The HistoryItem class is an entry in the History (Section 3.11) log that documents a particular action or event that occurred in the course of handling the incident. The details of the entry are a free-form description, but each can be categorized with the type attribute.
HistoryItemクラスは、事件を処理する過程で発生した特定のアクションやイベントを文書化履歴(3.11節)ログ内のエントリです。エントリの詳細については、自由形式の説明ですが、それぞれのtype属性で分類することができます。
+-------------------+
| HistoryItem |
+-------------------+
| ENUM restriction |<>----------[ DateTime ]
| ENUM action |<>--{0..1}--[ IncidentId ]
| STRING ext-action |<>--{0..1}--[ Contact ]
| |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ AdditionalData ]
+-------------------+
Figure 21: HistoryItem Class
図21:HistoryItemクラス
The aggregate classes that constitute HistoryItem are:
HistoryItemを構成する集約クラスは次のとおりです。
DateTime One. Timestamp of this entry in the history log (e.g., when the action described in the Description was taken).
DateTimeの一つ。履歴ログ内のこのエントリのタイムスタンプ(例えば、説明に記載アクションが取られた場合)。
IncidentID Zero or One. In a history log created by multiple parties, the IncidentID provides a mechanism to specify which CSIRT created a particular entry and references this organization's incident tracking number. When a single organization is maintaining the log, this class can be ignored.
IncidentID 0または1。複数の当事者が作成した履歴ログでは、IncidentIDは、CSIRTが特定のエントリーと参照この組織のインシデント追跡番号を作成するかを指定するためのメカニズムを提供します。単一の組織は、ログを維持している場合は、このクラスでは無視することができます。
Contact Zero or One. Provides contact information for the person that performed the action documented in this class.
0または1にお問い合わせください。このクラスで文書化アクションを実行した人の連絡先情報を提供します。
Description Zero or many. ML_STRING. A free-form textual description of the action or event.
説明ゼロまたは多数。 ML_STRING。アクションやイベントの自由形式のテキスト記述。
AdditionalData Zero or many. A mechanism by which to extend the data model.
AdditionalDataゼロまたは多数。データモデルを拡張するためのメカニズム。
The HistoryItem class has three attributes:
HistoryItemクラスには3つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。 ENUM。この属性は、3.2節で定義されています。
action Required. ENUM. Classifies a performed action or occurrence documented in this history log entry. As activity will likely have been instigated either through a previously conveyed expectation or internal investigation, this attribute is identical to the category attribute of the Expectation class. The difference is only one of tense. When an action is in this class, it has been completed. See Section 3.13.
アクションが必要です。 ENUM。この履歴ログのエントリに記載行っアクションまたは発生を分類します。活動はおそらくどちらかの以前に伝え期待や内部調査によって扇動されていますように、この属性は期待クラスのカテゴリ属性と同じです。違いは、緊張の1つにすぎません。アクションは、このクラスになると、それが完了しています。セクション3.13を参照してください。
ext-action Optional. STRING. A means by which to extend the action attribute. See Section 5.1.
EXT-アクションオプション。 STRING。 action属性を拡張する手段。セクション5.1を参照してください。
The EventData class describes a particular event of the incident for a given set of hosts or networks. This description includes the systems from which the activity originated and those targeted, an assessment of the techniques used by the intruder, the impact of the activity on the organization, and any forensic evidence discovered.
EventDataのクラスは、ホストまたはネットワークの所与のセットに対して入射の特定のイベントを記述する。この説明は、活動が発信されたシステムとターゲットとそれらの、侵入者によって使用される技術の評価、組織の活動の影響、および発見された法医学的証拠を含んでいます。
+------------------+
| EventData |
+------------------+
| ENUM restriction |<>--{0..*}--[ Description ]
| |<>--{0..1}--[ DetectTime ]
| |<>--{0..1}--[ StartTime ]
| |<>--{0..1}--[ EndTime ]
| |<>--{0..*}--[ Contact ]
| |<>--{0..1}--[ Assessment ]
| |<>--{0..*}--[ Method ]
| |<>--{0..*}--[ Flow ]
| |<>--{0..*}--[ Expectation ]
| |<>--{0..1}--[ Record ]
| |<>--{0..*}--[ EventData ]
| |<>--{0..*}--[ AdditionalData ]
+------------------+
Figure 22: The EventData Class
図22:EventDataのクラス
The aggregate classes that constitute EventData are:
EventDataのを構成する集約クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form textual description of the event.
説明ゼロ以上。 ML_STRING。イベントの自由形式のテキスト記述。
DetectTime Zero or one. The time the event was detected.
DetectTimeゼロまたは1つ。時間は、イベントが検出されました。
StartTime Zero or one. The time the event started.
StartTime 0または1。イベントが開始された時刻。
EndTime Zero or one. The time the event ended.
終了時間ゼロまたは1つ。時間イベントは終了しました。
Contact Zero or more. Contact information for the parties involved in the event.
ゼロ以上にお問い合わせください。イベントに関わる関係者のための情報を問い合わせてください。
Assessment Zero or one. The impact of the event on the target and the actions taken.
査定ゼロまたは1つ。ターゲットと取られた行動上のイベントの影響。
Method Zero or more. The technique used by the intruder in the event.
メソッドゼロ以上。イベントで侵入者によって使用される技術。
Flow Zero or more. A description of the systems or networks involved.
ゼロまたはそれ以上のフロー。関連するシステムやネットワークの説明。
Expectation Zero or more. The expected action to be performed by the recipient for the described event.
期待ゼロ以上。期待されるアクションが記述されているイベントのために受信者によって実行されます。
Record Zero or one. Supportive data (e.g., log files) that provides additional information about the event.
録音ゼロまたは1つ。イベントに関する追加情報を提供して支援データ(例えば、ログファイル)を。
EventData Zero or more. EventData instances contained within another EventData instance inherit the values of the parent(s); this recursive definition can be used to group common data pertaining to multiple events. When EventData elements are defined recursively, only the leaf instances (those EventData instances not containing other EventData instances) represent actual events.
EventDataのゼロ以上。別のEventDataのインスタンス内に含まれるEventDataのインスタンスは、親(S)の値を継承します。この再帰的な定義は、複数のイベントに関係するグループ共通のデータに使用することができます。 EventDataの要素が再帰的に定義されている場合、(それらEventDataのインスタンスは、他のEventDataのインスタンスを含まない)のみリーフインスタンスは、実際のイベントを表します。
AdditionalData Zero or more. An extension mechanism for data not explicitly represented in the data model.
AdditionalDataゼロ以上。明示的にデータモデルで表現されていないデータのための拡張メカニズム。
At least one of the aggregate classes MUST be present in an instance of the EventData class. This is not enforced in the IODEF schema as there is no simple way to accomplish it.
集約クラスの少なくとも一つがEventDataのクラスのインスタンス内に存在していなければなりません。それを達成する簡単な方法がないとしてこれはIODEFスキーマには適用されません。
The EventData class has one attribute:
EventDataのクラスは、1つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。 ENUM。この属性は、セクション3.2で定義されています。
There is substantial overlap in the Incident and EventData classes. Nevertheless, the semantics of these classes are quite different. The Incident class provides summary information about the entire incident, while the EventData class provides information about the individual events comprising the incident. In the most common case, the EventData class will provide more specific information for the general description provided in the Incident class. However, it may also be possible that the overall summarized information about the incident conflicts with some individual information in an EventData class when there is a substantial composition of various events in the incident. In such a case, the interpretation of the more specific EventData MUST supersede the more generic information provided in IncidentData.
インシデントおよびEventDataのクラスでの実質的な重複があります。それにもかかわらず、これらのクラスの意味は全く異なっています。 EventDataのクラスが入射を構成する個々のイベントに関する情報を提供しながら、インシデントクラスは、全体の入射に関する要約情報を提供します。最も一般的なケースでは、EventDataのクラスは、入射クラスに設けられた一般的な説明のためのより具体的な情報を提供するであろう。しかし、また、事件における様々なイベントの実質的な組成物があるとき全体がEventDataのクラスのいくつかの個人情報の入射競合に関する情報を要約することを可能とすることができます。このような場合に、より具体的なEventDataの解釈はIncidentDataに設けられた、より一般的な情報を優先しなければなりません。
The EventData class can be thought of as a container for the properties of an event in an incident. These properties include: the hosts involved, impact of the incident activity on the hosts, forensic logs, etc. With an instance of the EventData class, hosts (i.e., System class) are grouped around these common properties.
EventDataのクラスは、入射におけるイベントのプロパティのコンテナとして考えることができます。これらの特性は、以下が挙げられる:EventDataのクラスのインスタンスに関与するホスト、ホスト上の入射活動の影響、フォレンジックログ、等を、ホスト(すなわち、システム・クラス)は、これらの共通のプロパティの周りにグループ化されています。
The recursive definition (or instance property inheritance) of the EventData class (the EventData class is aggregated into the EventData class) provides a way to related information without requiring the explicit use of unique attribute identifiers in the classes or duplicating information. Instead, the relative depth (nesting) of a class is used to group (relate) information.
EventDataのクラスの再帰的定義(またはインスタンスのプロパティの継承)は(EventDataのクラスはEventDataのクラスに集約されている)クラスに固有の属性識別子の明示的な使用を必要とする、または情報を複製することなく、関連情報への道を提供します。代わりに、クラスの相対的深さ(ネスト)をグループ化するために使用される情報を(関連します)。
For example, an EventData class might be used to describe two machines involved in an incident. This description can be achieved using multiple instances of the Flow class. It happens that there is a common technical contact (i.e., Contact class) for these two machines, but the impact (i.e., Assessment class) on them is different. A depiction of the representation for this situation can be found in Figure 23.
例えば、EventDataのクラスは、事件に関与する2台のマシンを記述するために使用されるかもしれません。この説明は、フロークラスの複数のインスタンスを使用して達成することができます。これら二つのマシンのための共通の技術的な接触(すなわち、Contactクラス)があることが起こるが、それらへの影響(すなわち、評価クラス)が異なっています。このような状況の表現の描写を図23に見出すことができます。
+------------------+
| EventData |
+------------------+
| |<>----[ Contact ]
| |
| |<>----[ EventData ]<>----[ Flow ]
| | [ ]<>----[ Assessment ]
| |
| |<>----[ EventData ]<>----[ Flow ]
| | [ ]<>----[ Assessment ]
+------------------+
Figure 23: Recursion in the EventData Class
図23:EventDataのクラスでの再帰
The Expectation class conveys to the recipient of the IODEF document the actions the sender is requesting. The scope of the requested action is limited to purview of the EventData class in which this class is aggregated.
期待クラスは、IODEF文書の受信者、送信者が要求しているアクションに伝えます。要求されたアクションの範囲は、このクラスが集約されたEventDataのクラスの範囲に限定されます。
+-------------------+
| Expectation |
+-------------------+
| ENUM restriction |<>--{0..*}--[ Description ]
| ENUM severity |<>--{0..1}--[ StartTime ]
| ENUM action |<>--{0..1}--[ EndTime ]
| STRING ext-action |<>--{0..1}--[ Contact ]
+-------------------+
Figure 24: The Expectation Class
図24:期待クラス
The aggregate classes that constitute Expectation are:
期待を構成する集約クラスは次のとおりです。
Description Zero or many. ML_STRING. A free-form description of the desired action(s).
説明ゼロまたは多数。 ML_STRING。所望のアクション(単数または複数)の自由形式の記述。
StartTime Zero or one. The time at which the action should be performed. A timestamp that is earlier than the ReportTime specified in the Incident class denotes that the expectation should be fulfilled as soon as possible. The absence of this element leaves the execution of the expectation to the discretion of the recipient.
StartTime 0または1。アクションを実行すべき時刻。インシデントクラスで指定ReportTimeより早いタイムスタンプは期待ができるだけ早く満たされるべきであることを示しています。この要素が存在しない場合は、受信者の裁量に期待の実行を残します。
EndTime Zero or one. The time by which the action should be completed. If the action is not carried out by this time, it should no longer be performed.
終了時間ゼロまたは1つ。アクションが完了する必要がある時間。アクションは、この時点で行われていない場合、それはもはや行われてはなりません。
Contact Zero or one. The expected actor for the action.
ゼロまたは1つにお問い合わせください。アクションの期待の俳優。
The Expectations class has four attributes:
期待クラスは、4つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。 ENUM。この属性は、セクション3.2で定義されています。
severity Optional. ENUM. Indicates the desired priority of the action. This attribute is an enumerated list with no default value, and the semantics of these relative measures are context dependent.
重大度オプション。 ENUM。作用の所望の優先順位を示します。この属性は、デフォルト値を持たない列挙リストであり、これらの相対的な対策の意味は文脈に依存しています。
action Optional. ENUM. Classifies the type of action requested. This attribute is an enumerated list with no default value.
アクションオプション。 ENUM。要求されたアクションの種類を分類します。この属性は、デフォルト値を持たない列挙したリストです。
1. nothing. No action is requested. Do nothing with the information.
1.何もありません。アクションは要求されません。情報を何もしません。
2. contact-source-site. Contact the site(s) identified as the source of the activity.
2.連絡先・ソース・サイト。活動の源として特定部位(単数または複数)に問い合わせてください。
3. contact-target-site. Contact the site(s) identified as the target of the activity.
3.接触対象サイト。活動の対象として特定部位(単数または複数)に問い合わせてください。
6. block-host. Block traffic from the machine(s) listed as sources the event.
6.ブロックホスト。ソースイベントとしてリストされているマシン(複数可)からのブロックトラフィック。
7. block-network. Block traffic from the network(s) lists as sources in the event.
7.ブロック・ネットワーク。ネットワーク(複数可)からのブロックトラフィックは、イベントでソースとして一覧表示されます。
9. rate-limit-host. Rate-limit the traffic from the machine(s) listed as sources in the event.
9.レート制限ホスト。レート制限イベントにおけるソースとしてリストマシン(複数可)からのトラフィックを。
10. rate-limit-network. Rate-limit the traffic from the network(s) lists as sources in the event.
前記レートリミットネットワーク。レート制限(複数の)ネットワークからのトラフィックは、イベント中にソースとして一覧表示されます。
11. rate-limit-port. Rate-limit the port(s) listed as sources in the event.
前記レートリミットポート。レート制限イベントにおけるソースとしてリストされているポート(複数可)。
12. remediate-other. Remediate the activity in a way other than by rate limiting or blocking.
12.修正] - 他。レート制限または阻止することによって以外の方法での活動を修正します。
13. status-triage. Conveys receipts and the triaging of an incident.
13.ステータストリアージ。レシートや事件のトリアージを伝えます。
14. status-new-info. Conveys that new information was received for this incident.
14.ステータス・新情報。新しい情報がこの事件のために受信されたことを伝えます。
15. other. Perform some custom action described in the Description class.
15.その他。説明クラスで説明したいくつかのカスタムアクションを実行します。
16. ext-value. An escape value used to extend this attribute. See Section 5.1.
16. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-action Optional. STRING. A means by which to extend the action attribute. See Section 5.1.
EXT-アクションオプション。 STRING。 action属性を拡張する手段。セクション5.1を参照してください。
The Flow class groups related the source and target hosts.
フロークラスグループは、ソースホストとターゲットホストの関連しました。
+------------------+
| Flow |
+------------------+
| |<>--{1..*}--[ System ]
+------------------+
Figure 25: The Flow Class
図25:フロークラス
The aggregate class that constitutes Flow is:
フローを構成する集約クラスは以下のとおりです。
System One or More. A host or network involved in an event.
システムの1つ以上。イベントに関連するホストまたはネットワーク。
The Flow System class has no attributes.
フローSystemクラスには属性がありません。
The System class describes a system or network involved in an event. The systems or networks represented by this class are categorized according to the role they played in the incident through the category attribute. The value of this category attribute dictates the semantics of the aggregated classes in the System class. If the category attribute has a value of "source", then the aggregated classes denote the machine and service from which the activity is originating. With a category attribute value of "target" or "intermediary", then the machine or service is the one targeted in the activity. A value of "sensor" dictates that this System was part of an instrumentation to monitor the network.
Systemクラスは、イベントに関連するシステムやネットワークを記述する。このクラスによって表されるシステムやネットワークは、彼らがカテゴリ属性を通じて事件で果たした役割に応じて分類されます。このカテゴリ属性の値は、Systemクラスで集約されたクラスのセマンティクスが決まります。カテゴリ属性は「ソース」の値を持っている場合は、集約されたクラスは、アクティビティが発信されたマシンとサービスを表します。 「ターゲット」または「仲介者」のカテゴリ属性値では、その後、機械やサービスが活動中に対象の1です。 「センサー」の値は、このシステムは、ネットワークを監視するための器具の一部であったことを指示します。
+---------------------+
| System |
+---------------------+
| ENUM restriction |<>----------[ Node ]
| ENUM category |<>--{0..*}--[ Service ]
| STRING ext-category |<>--{0..*}--[ OperatingSystem ]
| STRING interface |<>--{0..*}--[ Counter ]
| ENUM spoofed |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ AdditionalData ]
+---------------------+
Figure 26: The System Class
図26:システムクラス
The aggregate classes that constitute System are:
システムを構成する集約クラスは次のとおりです。
Node One. A host or network involved in the incident.
ノードの一つ。事件に関与するホストまたはネットワーク。
Service Zero or more. A network service running on the system.
サービスゼロ以上。システム上で実行されているネットワークサービス。
OperatingSystem Zero or one. The operating system running on the system.
OperatingSystemのゼロまたは1つ。システム上で実行されているオペレーティングシステム。
Counter Zero or more. A counter with which to summarize properties of this host or network.
カウンターゼロ以上。このホストまたはネットワークの特性を要約すると、カウンタ。
Description Zero or more. ML_STRING. A free-form text description of the System.
説明ゼロ以上。 ML_STRING。システムの自由形式のテキスト記述。
AdditionalData Zero or many. A mechanism by which to extend the data model.
AdditionalDataゼロまたは多数。データモデルを拡張するためのメカニズム。
The System class has five attributes:
Systemクラスには、5つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。 ENUM。この属性は、セクション3.2で定義されています。
category Required. ENUM. Classifies the role the host or network played in the incident. The possible values are:
カテゴリは必須。 ENUM。ホストまたはネットワークが事件に果たした役割を分類します。可能な値は以下のとおりです。
5. infrastructure. The System was an infrastructure node of IODEF document exchange.
5.インフラストラクチャ。システムは、IODEFの文書交換のインフラストラクチャノードました。
6. ext-value. An escape value used to extend this attribute. See Section 5.1.
6. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.
EXT-カテゴリオプション。 STRING。カテゴリ属性を拡張する手段。セクション5.1を参照してください。
interface Optional. STRING. Specifies the interface on which the event(s) on this System originated. If the Node class specifies a network rather than a host, this attribute has no meaning.
オプションのインターフェース。 STRING。このシステム上のイベント(複数可)が発祥するインターフェイスを指定します。 Nodeクラスがネットワークではなくホストを指定した場合、この属性は意味を持ちません。
spoofed Optional. ENUM. An indication of confidence in whether this System was the true target or attacking host. The permitted values for this attribute are shown below. The default value is "unknown".
オプションの偽装されました。 ENUM。このシステムは、真のターゲットや攻撃ホストだったかどうかに自信を示します。この属性の許可された値は以下のとおりです。デフォルト値は「不明」です。
1. unknown. The accuracy of the category attribute value is unknown.
1.不明。カテゴリ属性値の精度は不明です。
2. yes. The category attribute value is probably incorrect. In the case of a source, the System is likely a decoy; with a target, the System was likely not the intended victim.
2.はい。カテゴリ属性の値は、おそらく間違っています。ソースの場合には、システムは、おそらくデコイです。ターゲットで、システムはおそらく意図した犠牲者はなかったです。
The Node class names a system (e.g., PC, router) or network.
Nodeクラス名システム(例えば、PC、ルータ)、またはネットワーク。
This class was derived from the IDMEF [17].
このクラスはIDMEF [17]に由来しました。
+---------------+
| Node |
+---------------+
| |<>--{0..*}--[ NodeName ]
| |<>--{0..*}--[ Address ]
| |<>--{0..1}--[ Location ]
| |<>--{0..1}--[ DateTime ]
| |<>--{0..*}--[ NodeRole ]
| |<>--{0..*}--[ Counter ]
+---------------+
Figure 27: The Node Class
図27:ノードクラス
The aggregate classes that constitute Node are:
ノードを構成する集約クラスは次のとおりです。
NodeName Zero or more. ML_STRING. The name of the Node (e.g., fully qualified domain name). This information MUST be provided if no Address information is given.
NodeNameゼロ以上。 ML_STRING。ノードの名前(例えば、完全修飾ドメイン名)。何のアドレス情報が指定されていない場合は、この情報が提供されなければなりません。
Address Zero or more. The hardware, network, or application address of the Node. If a NodeName is not provided, at least one Address MUST be specified.
ゼロ以上のアドレス。ノードのハードウェア、ネットワーク、またはアプリケーションのアドレス。 NodeNameが提供されていない場合は、少なくとも1つのアドレスを指定する必要があります。
Location Zero or one. ML_STRING. A free-from description of the physical location of the equipment.
場所ゼロまたは1つ。 ML_STRING。フリーから機器の物理的位置の記述。
DateTime Zero or one. A timestamp of when the resolution between the name and address was performed. This information SHOULD be provided if both an Address and NodeName are specified.
DateTimeのゼロまたは1つ。名前とアドレスの間で解決が実行されたときのタイムスタンプ。住所とnodeNameの両方が指定されている場合は、この情報が提供されるべきです。
NodeRole Zero or more. The intended purpose of the Node.
NodeRoleゼロ以上。ノードの使用目的。
Counter Zero or more. A counter with which to summarizes properties of this host or network.
カウンターゼロ以上。カウンタは、このホストまたはネットワークの特性をまとめました。
The Counter class summarize multiple occurrences of some event, or conveys counts or rates on various features (e.g., packets, sessions, events).
カウンタークラスは、いくつかのイベントの複数の発生を要約し、または様々な機能(例えば、パケット、セッション、イベント)にカウントまたはレートを伝えます。
The value of the counter is the element content with its units represented in the type attribute. A rate for a given feature can be expressed by setting the duration attribute. The complete semantics are entirely context dependent based on the class in which the Counter is aggregated.
カウンタの値は、タイプ属性で表されるその単位を有する元素の含有量です。所与の機能の速度はduration属性を設定することにより表すことができます。完全なセマンティクスはカウンターが集約されているクラスに基づいて、完全に文脈に依存しています。
+---------------------+
| Counter |
+---------------------+
| REAL |
| |
| ENUM type |
| STRING ext-type |
| STRING meaning |
| ENUM duration |
| STRING ext-duration |
+---------------------+
Figure 28: The Counter Class
図28:カウンタークラス
The Counter class has three attribute:
カウンタークラスは3つの属性があります。
type Required. ENUM. Specifies the units of the element content.
必須入力。 ENUM。要素の内容の単位を指定します。
5. alert. Count of notifications generated by another system (e.g., IDS or SIM).
5.警告。他のシステム(例えば、IDS又はSIM)によって生成された通知の数。
11. ext-value. An escape value used to extend this attribute. See Section 5.1.
11. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
EXT-typeオプション。 STRING。 type属性を拡張する手段。セクション5.1を参照してください。
duration Optional. ENUM. If present, the Counter class represents a rate rather than a count over the entire event. In that case, this attribute specifies the denominator of the rate (where the type attribute specified the nominator). The possible values of this attribute are defined in Section 3.10.2
期間オプション。 ENUM。存在する場合、カウンタークラスがイベント全体にわたり率ではなく数を表します。その場合、この属性は、(type属性が推薦を指定)率の分母を指定します。この属性の可能な値は、3.10.2項で定義されています
ext-duration Optional. STRING. A means by which to extend the duration attribute. See Section 5.1.
EXT-期間オプション。 STRING。 duration属性を拡張する手段。セクション5.1を参照してください。
The Address class represents a hardware (layer-2), network (layer-3), or application (layer-7) address.
Addressクラスは、ハードウェア(レイヤ2)、ネットワーク(レイヤ3)、またはアプリケーション(レイヤ7)アドレスを表します。
This class was derived from the IDMEF [17].
このクラスはIDMEF [17]に由来しました。
+---------------------+
| Address |
+---------------------+
| ENUM category |
| STRING ext-category |
| STRING vlan-name |
| INTEGER vlan-num |
+---------------------+
Figure 29: The Address Class
図29:アドレスクラス
The Address class has four attributes:
Addressクラスには4つの属性があります。
category Required. ENUM. The type of address represented. The permitted values for this attribute are shown below. The default value is "ipv4-addr".
カテゴリは必須。 ENUM。アドレスの種類が表さ。この属性の許可された値は以下のとおりです。デフォルト値は、「IPv4の-addrに」です。
4. ipv4-addr. IPv4 host address in dotted-decimal notation (a.b.c.d)
4. IPv4の-addrに。ドット付き十進表記でIPv4ホストアドレス(A.B.C.D)
5. ipv4-net. IPv4 network address in dotted-decimal notation, slash, significant bits (a.b.c.d/nn)
5. IPv4のネット。ドット付き10進表記のIPv4ネットワークアドレス、スラッシュ、上位ビット(A.B.C.D / NN)
6. ipv4-net-mask. IPv4 network address in dotted-decimal notation, slash, network mask in dotted-decimal notation (a.b.c.d/w.x.y.z)
6. IPv4のネットマスク。ドット付き10進表記のIPv4ネットワークアドレス、スラッシュ、ドット付き十進表記(A.B.C.D / w.x.y.z)におけるネットワークマスク
11. ext-value. An escape value used to extend this attribute. See Section 5.1.
11. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.
EXT-カテゴリオプション。 STRING。カテゴリ属性を拡張する手段。セクション5.1を参照してください。
vlan-name Optional. STRING. The name of the Virtual LAN to which the address belongs.
VLAN名オプション。 STRING。アドレスが属する仮想LANの名前。
vlan-num Optional. STRING. The number of the Virtual LAN to which the address belongs.
VLAN-numはオプション。 STRING。アドレスが属する仮想LANの数。
The NodeRole class describes the intended function performed by a particular host.
NodeRoleクラスは、特定のホストによって実行される意図された機能について説明します。
+---------------------+
| NodeRole |
+---------------------+
| ENUM category |
| STRING ext-category |
| ENUM lang |
+---------------------+
Figure 30: The NodeRole Class
図30:NodeRoleクラス
The NodeRole class has three attributes:
NodeRoleクラスには3つの属性があります。
category Required. ENUM. Functionality provided by a node.
カテゴリは必須。 ENUM。ノードによって提供される機能。
14. credential. Credential server (e.g., domain controller, Kerberos)
14.資格。信用証明書サーバ(例えば、ドメインコントローラ、ケルベロス)
20. ext-value. An escape value used to extend this attribute. See Section 5.1.
20. EXT値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.
EXT-カテゴリオプション。 STRING。カテゴリ属性を拡張する手段。セクション5.1を参照してください。
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
LANG必須。 ENUM。 RFC 4646あたりの有効な言語コードは[7]「:言語XS」の定義によって制約。このコードの解釈は、セクション6に記載されています。
The Service class describes a network service of a host or network. The service is identified by specific port or list of ports, along with the application listening on that port.
サービスクラスは、ホストまたはネットワークのネットワークサービスを記述する。サービスはそのポートでリスニングアプリケーションと一緒に、特定のポートまたはポートのリストで識別されます。
When Service occurs as an aggregate class of a System that is a source, then this service is the one from which activity of interest is originating. Conversely, when Service occurs as an aggregate class of a System that is a target, then that service is the one to which activity of interest is directed.
サービスがソースであるシステムの集約クラスとして発生した場合、このサービスは、関心のある活動が発信されているからです。サービス対象となるシステムの集合体クラスとして発生した場合、逆に、そのサービスは、関心の活性が向けられているものです。
This class was derived from the IDMEF [17].
このクラスはIDMEF [17]に由来しました。
+---------------------+
| Service |
+---------------------+
| INTEGER ip_protocol |<>--{0..1}--[ Port ]
| |<>--{0..1}--[ Portlist ]
| |<>--{0..1}--[ ProtoCode ]
| |<>--{0..1}--[ ProtoType ]
| |<>--{0..1}--[ ProtoFlags ]
| |<>--{0..1}--[ Application ]
+---------------------+
Figure 31: The Service Class
図31:サービスクラス
The aggregate classes that constitute Service are:
サービスを構成する集約クラスは次のとおりです。
Port Zero or one. INTEGER. A port number.
ポート0または1。整数。ポート番号。
Portlist Zero or one. PORTLIST. A list of port numbers formatted according to Section 2.10.
ポートリスト0または1。ポートリスト。 2.10に従ってフォーマットポート番号のリスト。
ProtoCode Zero or one. INTEGER. A layer-4 protocol-specific code field (e.g., ICMP code field).
ProtoCodeゼロまたは1つ。整数。レイヤ4プロトコル固有のコード・フィールド(例えば、ICMPコードフィールド)。
ProtoType Zero or one. INTEGER. A layer-4 protocol specific type field (e.g., ICMP type field).
プロトタイプゼロまたは1つ。整数。レイヤ4プロトコル特定のタイプ・フィールド(例えば、ICMPタイプフィールド)。
ProtoFlags Zero or one. INTEGER. A layer-4 protocol specific flag field (e.g., TCP flag field).
ProtoFlagsゼロまたは1つ。整数。レイヤ4プロトコル固有フラグフィールド(例えば、TCPフラグフィールド)。
Application Zero or more. The application bound to the specified Port or Portlist.
アプリケーションゼロ以上。指定したポートまたはポートリストにバインドされたアプリケーションです。
Either a Port or Portlist class MUST be specified for a given instance of a Service class.
どちらのポートまたはポートリストクラスでは、サービスクラスの特定のインスタンスを指定しなければなりません。
For a given source, System@type="source", a corresponding target, System@type="target", maybe defined, or vice versa. When a Portlist class is defined in the Service class of both the source and target in a given instance of the Flow class, there MUST be symmetry in the enumeration of the ports. Thus, if n-ports are listed for a source, n-ports should be listed for the target. Likewise, the ports should be listed in an identical sequence such that the n-th port in the source corresponds to the n-th port of the target. This symmetry in listing and sequencing of ports applies whether there are 1-to-1, 1-to-many, or many-to-many sources-to-targets. In the 1-to-many or many-to-many, the exact order in which the System classes are enumerated in the Flow class is significant.
所与のソースのための、システム@タイプは=「ソース」、対応する目標、システム@タイプ=「ターゲット」、多分定義され、またはその逆。ポートリストクラスはフロークラスの特定のインスタンスで、ソースとターゲットの両方のサービス・クラスで定義されている場合、ポートの列挙に対称性が存在していなければなりません。 Nポートがソースのリストされている場合はこのように、Nポートは、ターゲットに対して表示されるべきです。同様に、ポートは、ソースのn番目のポートは、ターゲットのn番目のポートに対応するように同一の配列にリストされなければなりません。リストとポートの配列決定におけるこの対称性は、1対1、1対多または多対多のソース・ツー・ターゲットがあるかどうか適用されます。 1対多または多対多、システムクラスはフロークラスに列挙されている正確な順序は重要ですで。
The Service class has one attribute:
サービスクラスは、1つの属性があります。
ip_protocol Required. INTEGER. The IANA protocol number.
IP_PROTOCOL必須。整数。 IANAプロトコル番号。
The Application class describes an application running on a System providing a Service.
Applicationクラスは、サービスを提供するシステム上で動作するアプリケーションを記述しています。
+--------------------+
| Application |
+--------------------+
| STRING swid |<>--{0..1}--[ URL ]
| STRING configid |
| STRING vendor |
| STRING family |
| STRING name |
| STRING version |
| STRING patch |
+--------------------+
Figure 32: The Application Class
図32:アプリケーションクラス
The aggregate class that constitutes Application is:
アプリケーションを構成する集約クラスは以下のとおりです。
URL Zero or one. URL. A URL describing the application.
URLゼロまたは1つ。 URL。アプリケーションを記述したURL。
The Application class has seven attributes:
Applicationクラスは、7つの属性があります。
swid Optional. STRING. An identifier that can be used to reference this software.
オプションSWID。 STRING。このソフトウェアを参照するために使用可能な識別子。
configid Optional. STRING. An identifier that can be used to reference a particular configuration of this software.
オプションConfigIDの。 STRING。このソフトウェアの特定の構成を参照するために使用することができる識別子。
vendor Optional. STRING. Vendor name of the software.
ベンダーオプション。 STRING。ソフトウェアのベンダ名。
family Optional. STRING. Family of the software.
家族オプション。 STRING。ソフトウェアのファミリー。
name Optional. STRING. Name of the software.
オプションの名前。 STRING。ソフトウェアの名称。
version Optional. STRING. Version of the software.
バージョンオプション。 STRING。ソフトウェアのバージョン。
patch Optional. STRING. Patch or service pack level of the software.
オプションのパッチを適用。 STRING。ソフトウェアのパッチやサービスパックレベル。
The OperatingSystem class describes the operating system running on a System. The definition is identical to the Application class (Section 3.17.1).
OperatingSystemクラスは、システム上で実行されているオペレーティングシステムについて説明します。定義は、Applicationクラス(セクション3.17.1)と同じです。
The Record class is a container class for log and audit data that provides supportive information about the incident. The source of this data will often be the output of monitoring tools. These logs should substantiate the activity described in the document.
Recordクラスは、インシデントに関する支援情報を提供するログおよび監査データのためのコンテナ・クラスです。このデータのソースは、多くの場合、監視ツールの出力となります。これらのログは、文書で説明した活動を立証する必要があります。
+------------------+
| Record |
+------------------+
| ENUM restriction |<>--{1..*}--[ RecordData ]
+------------------+
Figure 33: Record Class
図33:レコードクラス
The aggregate class that constitutes Record is:
録音を構成する集約クラスは以下のとおりです。
RecordData One or more. Log or audit data generated by a particular type of sensor. Separate instances of the RecordData class SHOULD be used for each sensor type.
たRecordData一つ以上。センサの特定のタイプによって生成されたデータをログまたは監査。たRecordDataクラスの別のインスタンスは、各センサタイプのために使用されるべきです。
The Record class has one attribute:
Recordクラスは、1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。 ENUM。この属性は、3.2節で定義されています。
The RecordData class groups log or audit data from a given sensor (e.g., IDS, firewall log) and provides a way to annotate the output.
たRecordDataクラスグループは、ログまたは監査データ所与のセンサ(例えば、IDS、ファイアウォールログ)からの出力に注釈を付けるための方法を提供します。
+------------------+
| RecordData |
+------------------+
| ENUM restriction |<>--{0..1}--[ DateTime ]
| |<>--{0..*}--[ Description ]
| |<>--{0..1}--[ Application ]
| |<>--{0..*}--[ RecordPattern ]
| |<>--{1..*}--[ RecordItem ]
| |<>--{0..*}--[ AdditionalData ]
+------------------+
Figure 34: The RecordData Class
図34:たRecordDataクラス
The aggregate classes that constitutes RecordData is:
たRecordDataを構成する骨材のクラスです。
DateTime Zero or one. Timestamp of the RecordItem data.
DateTimeのゼロまたは1つ。 RecordItemデータのタイムスタンプ。
Description Zero or more. ML_STRING. Free-form textual description of the provided RecordItem data. At minimum, this description should convey the significance of the provided RecordItem data.
説明ゼロ以上。 ML_STRING。提供RecordItemデータの自由形式のテキスト記述。最低でも、この記述は、提供RecordItemデータの重要性を伝える必要があります。
Application Zero or one. Information about the sensor used to generate the RecordItem data.
アプリケーションゼロまたは1つ。 RecordItemデータを生成するために使用されるセンサに関する情報。
RecordPattern Zero or more. A search string to precisely find the relevant data in a RecordItem.
RecordPatternゼロ以上。正確RecordItemで関連するデータを見つけるための検索文字列。
RecordItem One or more. Log, audit, or forensic data.
RecordItem一つ以上。ログ、監査、またはフォレンジックデータ。
AdditionalData Zero or one. An extension mechanism for data not explicitly represented in the data model.
AdditionalDataゼロまたは1つ。明示的にデータモデルで表現されていないデータのための拡張メカニズム。
The RecordData class has one attribute:
たRecordDataクラスは、1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。 ENUM。この属性は、3.2節で定義されています。
The RecordPattern class describes where in the content of the RecordItem relevant information can be found. It provides a way to reference subsets of information, identified by a pattern, in a large log file, audit trail, or forensic data.
RecordItem関連情報の内容で見つけることができる場所RecordPatternクラスについて説明します。これは、大規模なログ・ファイル、監査証跡、またはフォレンジックデータに、パターンによって識別された情報のサブセットを参照する方法を提供します。
+-----------------------+
| RecordPattern |
+-----------------------+
| STRING |
| |
| ENUM type |
| STRING ext-type |
| INTEGER offset |
| ENUM offsetunit |
| STRING ext-offsetunit |
| INTEGER instance |
+-----------------------+
Figure 35: The RecordPattern Class
図35:RecordPatternクラス
The specific pattern to search with in the RecordItem is defined in the body of the element. It is further annotated by four attributes:
RecordItem内で検索する特定のパターンは、素子の本体内に定義されています。それは、さらに4つの属性によって注釈されています。
type Required. ENUM. Describes the type of pattern being specified in the element content. The default is "regex".
必須入力。 ENUM。要素の内容に指定されたパターンの種類を記載しています。デフォルトでは、「正規表現」です。
2. binary. Binhex encoded binary pattern, per the HEXBIN data type.
2.バイナリ。 BinHexはHEXBINデータタイプごとに、バイナリパターンをコードしていました。
4. ext-value. An escape value used to extend this attribute. See Section 5.1.
4. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
EXT-typeオプション。 STRING。 type属性を拡張する手段。セクション5.1を参照してください。
offset Optional. INTEGER. Amount of units (determined by the offsetunit attribute) to seek into the RecordItem data before matching the pattern.
オプションのオフセット。整数。パターンに一致する前RecordItemデータにシークする(offsetunit属性によって決定される)単位の量。
offsetunit Optional. ENUM. Describes the units of the offset attribute. The default is "line".
オプションoffsetunit。 ENUM。オフセット属性のユニットを記述します。デフォルトでは「行」です。
3. ext-value. An escape value used to extend this attribute. See Section 5.1.
3. EXT-値。この属性を拡張するために使用するエスケープ値。セクション5.1を参照してください。
ext-offsetunit Optional. STRING. A means by which to extend the offsetunit attribute. See Section 5.1.
オプションのEXT-offsetunit。 STRING。 offsetunit属性を拡張する手段。セクション5.1を参照してください。
instance Optional. INTEGER. Number of types to apply the specified pattern.
オプションのインスタンス。整数。指定されたパターンを適用するタイプの数。
The RecordItem class provides a way to incorporate relevant logs, audit trails, or forensic data to support the conclusions made during the course of analyzing the incident. The class supports both the direct encapsulation of the data, as well as, provides primitives to reference data stored elsewhere.
RecordItemクラスは、インシデントの分析の過程で作られた結論を支持するために、関連するログ、監査証跡、またはフォレンジックデータを組み込むための方法を提供します。このクラスは、データの直接カプセル化の両方をサポートし、ならびに、他の場所に格納されたデータを参照するためのプリミティブを提供します。
This class is identical to AdditionalData class (Section 3.6).
このクラスは、AdditionalDataクラス(セクション3.6)と同じです。
This section defines additional requirements on creating and parsing IODEF documents.
このセクションでは、IODEF文書を作成し、解析する上で追加の要件を定義します。
Every IODEF document MUST begin with an XML declaration, and MUST specify the XML version used. If UTF-8 encoding is not used, the character encoding MUST also be explicitly specified. The IODEF conforms to all XML data encoding conventions and constraints.
すべてのIODEF文書はXML宣言で始まる必要があり、かつ使用されるXMLのバージョンを指定しなければなりません。 UTF-8エンコーディングが使用されていない場合は、文字エンコーディングを明示的に指定する必要があります。 IODEFは、すべてのXMLデータの符号化規則と制約に準拠しています。
The XML declaration with no character encoding will read as follows:
次のように無文字エンコーディングを持つXML宣言が読み込まれます。
<?xml version="1.0" ?>
<?xml version = "1.0"?>
When a character encoding is specified, the XML declaration will read like the following:
文字エンコーディングが指定されている場合、XML宣言は以下のように読みます:
<?xml version="1.0" encoding="charset" ?>
<?xml version = "1.0" エンコード= "文字セット"?>
Where "charset" is the name of the character encoding as registered with the Internet Assigned Numbers Authority (IANA), see [9].
IANA(Internet Assigned Numbers Authority)によって登録されたとして、「文字セット」は、文字エンコーディングの名前である場合、参照[9]。
The following characters have special meaning in XML and MUST be escaped with their entity reference equivalent: "&", "<", ">", "\"" (double quotation mark), and "'" (apostrophe). These entity references are "&", "<", ">", """, and "'" respectively.
以下の文字はXMLで特別な意味を持ち、その実体参照と同等でエスケープしなければならない:「&」、「<」、「>」、「\」」(ダブルクォーテーション)、および「'」(アポストロフィ)これらのエンティティ。 "'は、"、および、 "&QUOT"、 "&LT;"、 "&GT"、 "&#038" の参照は、それぞれ。
The IODEF schema declares a namespace of "urn:ietf:params:xml:ns:iodef-1.0" and registers it per [4]. Each IODEF document SHOULD include a valid reference to the IODEF schema using the "xsi:schemaLocation" attribute. An example of such a declaration would look as follows:
IODEFスキーマは、 ":IETF:paramsは:XML:NS:URN IODEF-1.0" の名前空間を宣言し、[4]ごとに登録します。属性:各IODEF文書は「のschemaLocation XSI」を使用してIODEFスキーマへの有効な参照を含むべきです。次のような宣言の例がなります。
<IODEF-Document version="1.00" lang="en-US" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" xsi:schemaLocation="urn:ietf:params:xmls:schema:iodef-1.0">
<IODEF-ドキュメントバージョン= "1.00" LANG = "EN-US" のxmlns:IODEF = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxsi:schemaLocationの= "壷:IETF:のparams:XMLS:スキーマ: IODEF-1.0" >
The IODEF documents MUST be well-formed XML and SHOULD be validated against the schema described in Section 8. However, mere conformance to the schema is not sufficient for a semantically valid IODEF document. There is additional specification in the text of Section 3 that cannot be readily encoded in the schema and it must also be considered by an IODEF parser. The following is a list of discrepancies in what is more strictly specified in the normative text (Section 3), but not enforced in the IODEF schema:
IODEF文書は整形式XMLでなければならない。しかし、セクション8に記載スキーマに対して検証する必要があり、スキーマへの単なる準拠には意味的に有効なIODEF文書には十分ではありません。容易スキーマでエンコードすることができない、それはまた、IODEFパーサによって考慮されなければならない第3のテキストで追加の仕様があります。以下は、より厳密に規定テキスト(第3節)に指定されたが、IODEFスキーマで施行されていないものの中に矛盾のリストです:
o The elements or attributes that are defined as POSTAL, NAME, PHONE, and EMAIL data-types are implemented as "xs:string", but more rigid formatting requirements are specified in the text.
要素または属性POSTAL、NAMEとして定義され、電話番号、電子メールデータ・タイプO「XS:文字列」として実装されているが、より剛性のフォーマット要件をテキストで指定されています。
o The IODEF-Document@lang and MLStringType@lang attributes are declared as an "xs:language" that constrains values with a regular expression. However, the value of this attribute still needs to be validated against the list of possible enumerated values is defined in [7].
正規表現を使用して値を制約:「言語XS」O IODEF-ドキュメント@ LANGとMLStringType @ LANG属性は次のように宣言されています。しかし、この属性の値は、まだ[7]で定義されている可能性列挙値のリストに照らして検証する必要があります。
o The MonetaryImpact@currency attribute is declared as an "xs: string", but the list of valid values as defined in [14].
[14]で定義されている:「文字列XS」が、有効な値のリストO MonetaryImpact @通貨属性は次のように宣言されています。
o All of the aggregated classes Contact and EventData are optional in the schema, but at least one of these aggregated classes MUST be present.
O集約クラスの連絡先とEventDataのすべてのは、スキーマ内のオプションですが、これらの集約クラスの少なくとも一方が存在しなければなりません。
o There are multiple conventions that can be used to categorize a system using the NodeRole class or to specify software with the Application and OperatingSystem classes. IODEF parsers MUST accept incident reports that do not use these fields in accordance with local conventions.
O NodeRoleクラスを使用してシステムを分類したり、アプリケーションとのOperatingSystemクラスを使用してソフトウェアを指定するために使用することができ、複数の規則があります。 IODEFパーサは地元の慣習に従ってこれらのフィールドを使用していないインシデントレポートを受け入れなければなりません。
o The Confidence@rating attribute determines whether the element content of Confidence should be empty.
Oの評価属性@信頼は信頼の要素の内容が空であるかどうかを決定します。
o The Address@type attribute determines the format of the element content.
Oアドレスの@ type属性は、要素のコンテンツのフォーマットを決定します。
o The attributes AdditionalData@dtype and RecordItem@dtype derived from iodef:ExtensionType determine the semantics and formatting of the element content.
O IODEF由来の属性AdditionalData @ DTYPEとRecordItem @ DTYPEは:ExtensionTypeは、要素の内容の意味とフォーマットを決定します。
o Symmetry in the enumerated ports of a Portlist class is required between sources and targets. See Section 3.17.
Oポートリストクラスの列挙ポートの対称性は、ソースとターゲットとの間に必要とされます。セクション3.17を参照してください。
In order to support the changing activity of CSIRTS, the IODEF data model will need to evolve along with them. This section discusses how new data elements that have no current representation in the data model can be incorporated into the IODEF. These techniques are designed so that adding new data will not require a change to the IODEF schema. With proven value, well documented extensions can be incorporated into future versions of the specification. However, this approach also supports private extensions relevant only to a closed consortium.
CSIRTの変更活動をサポートするために、IODEFデータモデルは、彼らと一緒に進化する必要があります。このセクションでは、データモデルでは電流の表現を持っていない新しいデータ要素がIODEFに組み込むことができる方法について説明します。新しいデータを追加することがIODEFスキーマへの変更を必要としないように、これらの技術は設計されています。実績のある値では、十分に文書の拡張子は、仕様の将来のバージョンに組み込むことができます。しかし、このアプローチはまた、唯一の、閉じたコンソーシアムに関連するプライベート拡張をサポートしています。
The data model supports a means by which to add new enumerated values to an attribute. For each attribute that supports this extension technique, there is a corresponding attribute in the same element whose name is identical, less a prefix of "ext-". This special attribute is referred to as the extension attribute, and the attribute being extended is referred to as an extensible attribute. For example, an extensible attribute named "foo" will have a corresponding extension attribute named "ext-foo". An element may have many extensible, and therefore many extension, attributes.
データモデルは、属性に新しい列挙値を追加する手段をサポートしています。この拡張技術をサポートする各属性について、名前と同一である、以下「EXT-」の接頭辞と同じ要素の対応する属性があります。この特別な属性は、拡張属性と呼ばれ、拡張された属性は、拡張属性と呼ばれます。たとえば、「foo」という名前の拡張可能な属性が「EXT-foo」という名前の、対応する拡張属性を持つことになります。要素は、属性、拡張可能な多く、そのため多くの拡張子を持つことができます。
In addition to a corresponding extension attribute, each extensible attribute has "ext-value" as one its possible values. This particular value serves as an escape sequence and has no valid meaning.
対応する拡張属性に加えて、各拡張可能な属性は、一つとして「EXT-値」は、その可能な値を有しています。この特定の値はエスケープシーケンスとして機能し、有効な意味を持ちません。
In order to add a new enumerated value to an extensible attribute, the value of this attribute MUST be set to "ext-value", and the new desired value MUST be set in the corresponding extension attribute. For example, an extended instance of the type attribute of the Impact class would look as follows:
拡張可能な属性に新しい列挙値を追加するために、この属性の値が「EXT-値」に設定しなければなりません、そして新たな目標値は、対応する拡張属性に設定しなければなりません。たとえば、次のようにインパクトクラスのtype属性の拡張されたインスタンスはなります。
<Impact type="ext-value" ext-type="new-attack-type">
<インパクトタイプ= "EXT-値" EXT-TYPE = "新しい攻撃型">
A given extension attribute MUST NOT be set unless the corresponding extensible attribute has been set to "ext-value".
対応する拡張可能な属性が「EXT-値」に設定されていない限り、指定した拡張属性を設定してはいけません。
The classes of the data model can be extended only through the use of the AdditionalData and RecordItem classes. These container classes, collectively referred to as the extensible classes, are implemented with the iodef:ExtensionType data type in the schema. They provide the ability to have new atomic or XML-encoded data elements in all of the top-level classes of the Incident class and a few of the more complicated subordinate classes. As there are multiple instances of the extensible classes in the data model, there is discretion on where to add a new data element. It is RECOMMENDED that the extension be placed in the most closely related class to the new information.
データモデルのクラスは、唯一AdditionalDataとRecordItemクラスを使用して拡張することができます。スキーマ内ExtensionTypeデータタイプ:集合的に拡張可能なクラスと呼ばれるこれらのコンテナクラスは、IODEFで実装されています。彼らは、インシデントクラスの最上位クラスのすべてと、より複雑な下位クラスのいくつかの新しい原子またはXMLでエンコードされたデータ要素を持っている能力を提供します。データモデルの拡張可能なクラスの複数のインスタンスがあるので、新しいデータ要素を追加する場所の裁量があります。拡張子が新しい情報に最も密接に関連したクラスに配置することを推奨します。
Extensions using the atomic data types (i.e., all values of the dtype attributes other than "xml") MUST:
:アトミックなデータ型(すなわち、DTYPEのすべての値が「XML」以外の属性)MUSTを使用して拡張
1. Set the element content of extensible class to the desired value, and
1.所望の値に拡張可能なクラスの要素の内容を設定し、そして
2. Set the dtype attribute to correspond to the data type of the element content.
2.要素コンテンツのデータ型に対応するDTYPE属性を設定します。
The following guidelines exist for extensions using XML:
次のガイドラインは、XMLを使用して拡張のために存在します。
1. The element content of the extensible class MUST be set to the desired value and the dtype attribute MUST be set to "xml".
1.拡張可能なクラスの元素の含有量を所望の値に設定しなければならなくて、DTYPE属性が「XML」に設定しなければなりません。
2. The extension schema MUST declare a separate namespace. It is RECOMMENDED that these extensions have the prefix "iodef-".
2.拡張スキーマは、別の名前空間を宣言する必要があります。これらの拡張機能は、「iodef-」接頭辞を持っていることが推奨されます。
3. It is RECOMMENDED that extension schemas follow the naming convention of the IODEF data model. The names of all elements are capitalized. For composed names, a capital letter is used for each word. Attribute names are lower case.
3.拡張スキーマは、IODEFデータモデルの命名規則に従うことをお勧めします。すべての要素の名前が資産計上されます。構成名については、大文字は、各単語のために使用されています。属性名は小文字です。
4. When a parser encounters an IODEF document with an extension it does not understand, this extension MUST be ignored (and not processed), but the remainder of the document MUST be processed. Parsers will be able to identify these extensions for which they have no processing logic through the namespace declaration. Parsers that encounter an unrecognized element in a namespace that they do support SHOULD reject the document as a syntax error.
パーサは、それが理解できない拡張でIODEF文書に遭遇4は、この拡張は無視(及び処理されていない)が、ドキュメントの残りの部分が処理されなければならないれなければなりません。パーサは、彼らが名前空間宣言を通る処理ロジックを持っていないそのため、これらの拡張機能を識別することができるようになります。彼らは構文エラーとして文書を拒絶すべきでサポートしない名前空間で認識されていない要素に遭遇するパーサ。
5. Implementations SHOULD NOT download schemas at runtime due to the security implications, and extensions MUST NOT be required to provide a resolvable location of their schema.
5.実装は、セキュリティ上の意味合いに、実行時にスキーマをダウンロードする必要はありません、拡張機能は、そのスキーマの解決可能な場所を提供するために必須ではありません。
The following schema and XML document excerpt provide a template for an extension schema and its use in the IODEF document.
次のスキーマとXML文書の抜粋は、拡張スキーマとIODEF文書での使用のためのテンプレートを提供しています。
This example schema defines a namespace of "iodef-extension1" and a single element named "newdata".
この例のスキーマは、「IODEF-拡張子1」と「NEWDATA」という単一の要素の名前空間を定義します。
<xs:schema targetNamespace="iodef-extension1.xsd" xmlns:iodef-extension1="iodef-extension1.xsd" xmlns:xs="http://www.w3.org/2001/XMLSchema"> attributeFormDefault="unqualified" elementFormDefault="qualified"> <xs:import namespace="urn:ietf:params:xml:ns:iodef-1.0" schemaLocation=" urn:ietf:params:xml:schema:iodef-1.0"/>
<XS:スキーマのtargetNamespaceが= "IODEF-extension1.xsd" のxmlns:IODEF-拡張子1 = "IODEF-extension1.xsd" のxmlns:XS = "http://www.w3.org/2001/XMLSchema"> attributeFormDefault = "非修飾"のelementFormDefault =" 資格 "> <XS:インポートの名前空間=" 壷:IETF:のparams:XML:NS:IODEF-1.0" のschemaLocation =」壷:IETF:のparams:XML:スキーマ:IODEF-1.0" />
<xs:element name="newdata" type="xs:string" /> </xs:schema>
<XS:要素名= "NEWDATA" タイプ= "XS:文字列" /> </ XS:スキーマ>
The following XML excerpt demonstrates the use of the above schema as an extension to the IODEF.
次のXMLの抜粋は、IODEFの拡張機能として上記のスキーマの使用方法を示します。
<IODEF-Document version="1.00" lang="en-US" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef=" urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef-extension1="iodef-extension1.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="iodef-extension1.xsd"> <Incident purpose="reporting"> ... <AdditionalData dtype="xml" meaning="xml"> <iodef-extension1:newdata> Field that could not be represented elsewhere </iodef-extension1:newdata> </AdditionalData> </Incident> </IODEF-Document>
<IODEF-ドキュメントバージョン= "1.00" LANG = "EN-US" のxmlns = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns:IODEF =」壷:IETF:のparams:XML:NS:iodef- 1.0" のxmlns:IODEF-拡張子1 = "IODEF-extension1.xsd" のxmlns:XSI = "http://www.w3.org/2001/XMLSchema-instance" のxsi:schemaLocationの= "IODEF-extension1.xsd"> <事件目的= "報告"> ... <AdditionalData DTYPE = "XML" の意味= "XML"> <IODEF-拡張子1:NEWDATA>他の場所で表現することができませんでしたフィールドを</ IODEF-拡張子1:NEWDATA> </ AdditionalData> </インシデント> </ IODEF-ドキュメント>
Internationalization and localization is of specific concern to the IODEF, since it is only through collaboration, often across language barriers, that certain incidents be resolved. The IODEF supports this goal by depending on XML constructs, and through explicit design choices in the data model.
それは、ある事件が解決されることを、唯一のコラボレーションを通じて、多くの場合、言語の壁を越えているため、国際化とローカリゼーションは、IODEFに固有の問題です。 IODEFは、XML構造に依存することによって、この目標をサポートし、データモデル内の明示的な設計上の選択項目を使用して。
Since IODEF is implemented as an XML Schema, it implicitly supports all the different character encodings, such as UTF-8 and UTF-16, possible with XML. Additionally, each IODEF document MUST specify the language in which their contents are encoded. The language can be specified with the attribute "xml:lang" (per Section 2.12 of [1]) in the top-level element (i.e., IODEF-Document@lang) and letting all other elements inherit that definition. All IODEF classes with a free-form text definition (i.e., all those defined of type iodef: MLStringType) can also specify a language different from the rest of the document. The valid language codes for the "xml:lang" attribute are described in RFC 4646 [7].
IODEFは、XMLスキーマとして実装されているので、それは暗黙的にXMLで可能なUTF-8とUTF-16など、すべての異なる文字エンコーディングを、サポートされています。また、各IODEF文書は、その内容がコード化されている言語を指定する必要があります。言語属性「XML:langの」と指定することができる([1]のセクション2.12当たり)トップレベルの要素(すなわち、IODEF-文献@ラング)で、他のすべての要素は、その定義を継承させます。自由形式のテキスト定義を持つすべてのIODEFクラスは(すなわち、タイプIODEFの定義されたすべての人々:MLStringType)も、文書の残りの部分から別の言語を指定することができます。 「XML:LANG」の有効な言語コード属性は、RFC 4646に記述されている[7]。
The data model supports multiple translations of free-form text. In the places where free-text is used for descriptive purposes, the given class always has a one-to-many cardinality to its parent (e.g., Description class). The intent is to allow the identical text to be encoded in different instances of the same class, but each being in a different language. This approach allows an IODEF document author to send recipients speaking different languages an identical document. The IODEF parser SHOULD extract the appropriate language relevant to the recipient.
データモデルは、自由形式のテキストの複数の翻訳をサポートしています。フリーテキストは、説明の目的のために使用されている場所では、指定されたクラスは、常にその親(例えば、説明class)に1対多のカーディナリティを持っています。意図は、同じテキストが同じクラスの異なるインスタンスで符号化することができるようにすることであるが、それぞれが異なる言語です。このアプローチは、異なる言語に同じ文書を話す受信者を送信するためにIODEF文書の作成者ができます。 IODEFパーサは、受信者に関連する適切な言語を抽出すべきです。
While the intent of the data model is to provide internationalization and localization, the intent is not to do so at the detriment of interoperability. While the IODEF does support different languages, the data model also relies heavily on standardized enumerated attributes that can crudely approximate the contents of the document. With this approach, a CSIRT should be able to make some sense of an IODEF document it receives even if the text based data elements are written in a language unfamiliar to the analyst.
データモデルの目的は、国際化とローカライズを提供することであるが、その意図は、相互運用性を犠牲にそうすることではありません。 IODEFは、異なる言語をサポートしていないが、データモデルもぞんざい文書の内容を近似することができる標準列挙属性に大きく依存しています。このアプローチでは、CSIRTは、テキストベースのデータ要素は、アナリストになじみのない言語で書かれている場合でも、受信IODEF文書のいくつかの意味を理解することができるはずです。
This section provides examples of an incident encoded in the IODEF. These examples do not necessarily represent the only way to encode a particular incident.
このセクションでは、IODEFで符号化事件の例を提供します。これらの実施例は、必ずしも特定のインシデントを符号化するための唯一の方法を表すものではありません。
An example of a CSIRT reporting an instance of the Code Red worm.
Code Redワームのインスタンスを報告するCSIRTの例。
<?xml version="1.0" encoding="UTF-8"?> <!-- This example demonstrates a report for a very old worm (Code Red) --> <IODEF-Document version="1.00" lang="en" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="reporting"> <IncidentID name="csirt.example.com">189493</IncidentID> <ReportTime>2001-09-13T23:19:24+00:00</ReportTime> <Description>Host sending out Code Red probes</Description> <!-- An administrative privilege was attempted, but failed --> <Assessment> <Impact completion="failed" type="admin"/> </Assessment> <Contact role="creator" type="organization"> <ContactName>Example.com CSIRT</ContactName> <RegistryHandle registry="arin">example-com</RegistryHandle> <Email>contact@csirt.example.com</Email> </Contact> <EventData> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.200</Address> <Counter type="event">57</Counter> </Node> </System> <System category="target">
<?xml version = "1.0" エンコード= "UTF-8"?> <! - この例では、非常に古いワーム(コードレッド)のレポートを示しています - > <IODEF-ドキュメントバージョン= "1.00" LANG =」 EN "のxmlns = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns:XSI = "http://www.w3.org/2001/XMLSchema-instance" のxsi:schemaLocationの=" 壷:IETF:のparams :XML:スキーマ:IODEF-1.0 "> <入射目的=" レポート "> <IncidentID名=" csirt.example.com "> 189493 </ IncidentID> <ReportTime> 2001-09-13T23:19:24 + 00: 00 </ ReportTime> <説明>ホストが送出するコードレッドプローブ</説明> <! - 管理者権限を試みたが、失敗しました - > <評価> <インパクト完了=タイプ= "admin" を "失敗" /> </アセスメント> <連絡先の役割= "生みの親" タイプ= "組織"> <担当者名> Example.com CSIRT </担当者名> <RegistryHandleレジストリ= "ARIN">例-COM </ RegistryHandle> <メール>接触する@ CSIRT。 example.com </メール> </お問い合わせ> <EventDataの> <フロー> <Systemカテゴリ= "ソース"> <ノード> <住所カテゴリ= "のIPv4-addrに"> 192.0.2.200 </住所> <カウンタータイプ=」イベント "> 57 </カウンタ> </ノード> </システム> <Systemカテゴリ= "ターゲット">
<Node> <Address category="ipv4-net">192.0.2.16/28</Address> </Node> <Service ip_protocol="6"> <Port>80</Port> </Service> </System> </Flow> <Expectation action="block-host" /> <!-- <RecordItem> has an excerpt from a log --> <Record> <RecordData> <DateTime>2001-09-13T18:11:21+02:00</DateTime> <Description>Web-server logs</Description> <RecordItem dtype="string"> 192.0.2.1 - - [13/Sep/2001:18:11:21 +0200] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX </RecordItem> <!-- Additional logs --> <RecordItem dtype="url"> http://mylogs.example.com/logs/httpd_access</RecordItem> </RecordData> </Record> </EventData> <History> <!-- Contact was previously made with the source network owner --> <HistoryItem action="contact-source-site"> <DateTime>2001-09-14T08:19:01+00:00</DateTime> <Description>Notification sent to constituency-contact@192.0.2.200</Description> </HistoryItem> </History> </Incident> </IODEF-Document>
<ノード> <住所カテゴリ= "IPv4のネット"> 192.0.2.16/28 </住所> </ノード> <サービスIP_PROTOCOL = "6"> <ポート> 80 </ポート> </サービス> </システム> </フロー> <期待のアクション= "ブロック-ホスト" /> < - <RecordItem>抜粋ログから持っている! - > <録画> <たRecordData> <日時> 2001-09-13T18:11:21+ 2:00 </日時> <概要> Webサーバのログ</説明> <RecordItem DTYPE = "文字列"> 192.0.2.1 - - [13/9月/ 2001:18:11:21 +0200]「GET /デフォルト?.idaファイルXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX </ RecordItem> <! - 追加のログ - > <RecordItem DTYPE = "URL"> http://mylogs.example.com/logs/httpd_access </ RecordItem> </たRecordData> < !/録音> </ EventDataの> <歴史> < - 連絡先は、以前のソースネットワークの所有者で作られた - > <HistoryItemアクション= "コンタクトソースサイト"> <日時> 2001-09-14T08:19:01 00:00 </日時> <説明>通知銭トンにconstituency-contact@192.0.2.200 </説明> </ HistoryItem> </歴史> </インシデント> </ IODEF-ドキュメント>
An example of a CSIRT reporting a scanning activity.
スキャン活動を報告するCSIRTの例。
<?xml version="1.0" encoding="UTF-8" ?> <!-- This example describes reconnaissance activity: one-to-one and one-to-many scanning -->
<?xml version = "1.0" エンコード= "UTF-8"?> < - この例では、偵察活動を説明します!一対一にし、1対多のスキャン - >
<IODEF-Document version="1.00" lang="en" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="reporting"> <IncidentID name="csirt.example.com">59334</IncidentID> <ReportTime>2006-08-02T05:54:02-05:00</ReportTime> <Assessment> <Impact type="recon" completion="succeeded" /> </Assessment> <Method> <!-- Reference to the scanning tool "nmap" --> <Reference> <ReferenceName>nmap</ReferenceName> <URL>http://nmap.toolsite.example.com</URL> </Reference> </Method> <!-- Organizational contact and that for staff in that organization --> <Contact role="creator" type="organization"> <ContactName>CSIRT for example.com</ContactName> <Email>contact@csirt.example.com</Email> <Telephone>+1 412 555 12345</Telephone> <!-- Since this <Contact> is nested, Joe Smith is part of the CSIRT for example.com --> <Contact role="tech" type="person" restriction="need-to-know"> <ContactName>Joe Smith</ContactName> <Email>smith@csirt.example.com</Email> </Contact> </Contact> <EventData> <!-- Scanning activity as follows: 192.0.2.1:60524 >> 192.0.2.3:137 192.0.2.1:60526 >> 192.0.2.3:138 192.0.2.1:60527 >> 192.0.2.3:139 192.0.2.1:60531 >> 192.0.2.3:445 --> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.200</Address> </Node> <Service ip_protocol="6"> <Portlist>60524,60526,60527,60531</Portlist> </Service> </System> <System category="target"> <Node>
<IODEF文書バージョン= "1.00" のlang = "EN" のxmlns = "URN:IETF:paramsは:XML:NS:IODEF-1.0" のxmlns:XSI = "http://www.w3.org/2001/XMLSchema-インスタンス」のxsi:schemaLocationの= "壷:IETF:のparams:XML:スキーマ:IODEF-1.0"> <インシデントの目的= "報告"> <IncidentID名= "csirt.example.com"> 59334 </ IncidentID> <ReportTime> 2006-08-02T05:54:02-05:00 </ ReportTime> <評価> <インパクト型は= "偵察" 完了= "成功" /> </評価> <メソッド> < - スキャンツールへの参照! "nmapの" - > <参考> <ReferenceName> nmapの</ ReferenceName> <URL> http://nmap.toolsite.example.com </ URL> </参照> </メソッド> <! - 組織の接触とそのその組織内のスタッフのために - example.com </担当者名> <メール> contact@csirt.example.com </メール> <電話用> <連絡先の役割= "生みの親" タイプ= "組織"> <担当者名> CSIRT > +1 412 555 12345 </電話番号> <! - この<連絡先以来>ネストされている、ジョー・スミスがexample.comのCSIRTの一部である - > <連絡先の役割= "ハイテク" タイプ= "人" 制限= 「知っておくべき」> <担当者名>ジョー・スミス</ [担当> <メール> smith@csirt.example.com </メール> </お問い合わせ> </お問い合わせ> <EventDataの> < - スキャン活動を次のように!192.0.2.1:60524 >> 192.0.2.3:137 192.0。 2.1:60526 >> 192.0.2.3:138 192.0.2.1:60527 >> 192.0.2.3:139 192.0.2.1:60531 >> 192.0.2.3:445 - > <フロー> <Systemカテゴリ= "ソース"> <ノード> <住所カテゴリ= "のIPv4-addrに"> 192.0.2.200 </住所> </ノード> <サービスIP_PROTOCOL = "6">説明<portlist> 60524,60526,60527,60531 </ポートリスト> </サービス> </システム> <Systemカテゴリ= "ターゲット"> <ノード>
<Address category="ipv4-addr">192.0.2.201</Address> </Node> <Service ip_protocol="6"> <Portlist>137-139,445</Portlist> </Service> </System> </Flow> <!-- Scanning activity as follows: 192.0.2.2 >> 192.0.2.3/28:445 --> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.240</Address> </Node> </System> <System category="target"> <Node> <Address category="ipv4-net">192.0.2.64/28</Address> </Node> <Service ip_protocol="6"> <Port>445</Port> </Service> </System> </Flow> </EventData> </Incident> </IODEF-Document>
<住所カテゴリ= "のIPv4-addrに"> 192.0.2.201 </住所> </ノード> <サービスIP_PROTOCOL = "6">説明<portlist> 137-139,445 </ポートリスト> </サービス> </システム> </フロー> <! - スキャン活動を次のように192.0.2.2 >> 192.0.2.3/28:445 - > <フロー> <Systemカテゴリ= "ソース"> <ノード> <住所カテゴリ= "のIPv4-addrに"> 192.0 .2.240 </住所> </ノード> </システム> <Systemカテゴリ= "ターゲット"> <ノード> <住所カテゴリ= "IPv4のネット"> 192.0.2.64/28 </住所> </ノード> <サービスIP_PROTOCOL = "6"> <ポート> 445 </ポート> </サービス> </システム> </フロー> </ EventDataの> </インシデント> </ IODEF-ドキュメント>
An example of a CSIRT reporting a bot-network.
ボットネットワークを報告するCSIRTの例。
<?xml version="1.0" encoding="UTF-8" ?> <!-- This example describes a compromise and subsequent installation of bots --> <IODEF-Document version="1.00" lang="en" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="mitigation"> <IncidentID name="csirt.example.com">908711</IncidentID> <ReportTime>2006-06-08T05:44:53-05:00</ReportTime> <Description>Large bot-net</Description> <Assessment> <Impact type="dos" severity="high" completion="succeeded" />
<XMLバージョン= "1.0" エンコードは= "UTF-8"?> = <IODEF-ドキュメントバージョン= "1.00" LANG = "EN" のxmlns <! - - この例では、妥協とその後のボットのインストールについて説明し>を"URN:IETF:paramsは:XML:NS:IODEF-1.0" のxmlns:XSI = "http://www.w3.org/2001/XMLSchema-instance" XSI:のschemaLocation = "URN:IETF:paramsは:XML:スキーマ:IODEF-1.0 "> <インシデント目的=" 緩和 "> <IncidentID名=" csirt.example.com "> 908711 </ IncidentID> <ReportTime> 2006-06-08T05:44:53から05:00 </ ReportTime > <説明>大ボットネット</説明> <評価> <インパクトタイプ=「ドス」重要度=「高」完了=「成功」/>
</Assessment>
<Method>
<!-- References a given piece of malware, "GT Bot" -->
<Reference>
<ReferenceName>GT Bot</ReferenceName>
</Reference>
<!-- References the vulnerability used to compromise the
machines -->
<Reference>
<ReferenceName>CA-2003-22</ReferenceName>
<URL>http://www.cert.org/advisories/CA-2003-22.html</URL>
<Description>Root compromise via this IE vulnerability to
install the GT Bot</Description>
</Reference>
</Method>
<!-- A member of the CSIRT that is coordinating this
incident -->
<Contact type="person" role="irt">
<ContactName>Joe Smith</ContactName>
<Email>jsmith@csirt.example.com</Email>
</Contact>
<EventData>
<Description>These hosts are compromised and acting as bots
communicating with irc.example.com.</Description>
<Flow>
<!-- bot running on 192.0.2.1 and sending DoS traffic at
10,000 bytes/second -->
<System category="source">
<Node>
<Address category="ipv4-addr">192.0.2.1</Address>
</Node>
<Counter type="byte" duration="second">10000</Counter>
<Description>bot</Description>
</System>
<!-- a second bot on 192.0.2.3 -->
<System category="source">
<Node>
<Address category="ipv4-addr">192.0.2.3</Address>
</Node>
<Counter type="byte" duration="second">250000</Counter>
<Description>bot</Description>
</System>
<!-- Command-and-control IRC server for these bots-->
<System category="intermediate">
<Node>
<NodeName>irc.example.com</NodeName>
<Address category="ipv4-addr">192.0.2.20</Address>
<DateTime>2006-06-08T01:01:03-05:00</DateTime>
</Node> <Description>IRC server on #give-me-cmd channel</Description> </System> </Flow> <!-- Request to take these machines offline --> <Expectation action="investigate"> <Description>Confirm the source and take machines off-line and remediate</Description> </Expectation> </EventData> </Incident> </IODEF-Document>
</ノード> <説明> IRCサーバ#与える-私を-CMDチャンネル</説明> </システム>の</フロー> <! - これらのマシンを取るための要求オフライン - > <期待のアクション= "調査"> <説明>ソースを確認して、オフラインマシンを取ると</説明>修正</期待> </ EventDataの> </インシデント> </ IODEF-文献>
An example of a CSIRT conveying a watch-list.
ウォッチリストを伝えるCSIRTの例。
<?xml version="1.0" encoding="UTF-8" ?> <!-- This example demonstrates a trivial IP watch-list --> <!-- @formatid is set to "watch-list-043" to demonstrate how additional semantics about this document could be conveyed assuming both parties understood it--> <IODEF-Document version="1.00" lang="en" formatid="watch-list-043" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="reporting" restriction="private"> <IncidentID name="csirt.example.com">908711</IncidentID> <ReportTime>2006-08-01T00:00:00-05:00</ReportTime> <Description>Watch-list of known bad IPs or networks</Description> <Assessment> <Impact type="admin" completion="succeeded" /> <Impact type="recon" completion="succeeded" /> </Assessment> <Contact type="organization" role="creator"> <ContactName>CSIRT for example.com</ContactName> <Email>contact@csirt.example.com</Email> </Contact> <!-- Separate <EventData> used to convey different <Expectation> --> <EventData> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.53</Address> </Node>
<XMLバージョン= "1.0" エンコードは= "UTF-8"?> <! - この例では、些細なIP監視リストを示しています - > <! - @formatidを "リスト-043を見る" に設定されていますこの文書についての意味は、両当事者がそれを理解想定し搬送することができる方法の追加証明 - > <IODEF-ドキュメントバージョン= "1.00" langは= "EN" のformatID = "ウォッチリスト-043" のxmlns = "壷:IETF:のparams: XML:NS:IODEF-1.0" のxmlns:XSI = "http://www.w3.org/2001/XMLSchema-instance" のxsi:schemaLocationの= "壷:IETF:のparams:XML:スキーマ:IODEF-1.0"> <インシデントの目的= "報告" 制限= "プライベート"> <IncidentID名= "csirt.example.com"> 908711 </ IncidentID> <ReportTime> 2006-08-01T00:00:00〜05:00 </ ReportTime> <既知の不正なIPアドレスやネットワーク</説明> <評価> <インパクトタイプ=「管理者」完了=「成功」/> <インパクトタイプ=「偵察」完了=「成功」/> </アセスメント>の説明>ウォッチリスト<連絡先の種類= "組織" 役割= "生みの親"> example.com </担当者名>のための<担当者名> CSIRT <メール> contact@csirt.example.com </メール> </お問い合わせ> <! - セパレート<EventDataの>異なる<期待>を伝えるために使用される - > <EventDataの> <フロー> <Systemカテゴリ= "ソース"> <ノード> <住所カテゴリ= "のIPv4-addrに"> 192.0.2.53 </住所> </ノード>
<Description>Source of numerous attacks</Description> </System> </Flow> <!-- Expectation class indicating that sender of list would like to be notified if activity from the host is seen --> <Expectation action="contact-sender" /> </EventData> <EventData> <Flow> <System category="source"> <Node> <Address category="ipv4-net">192.0.2.16/28</Address> </Node> <Description> Source of heavy scanning over past 1-month </Description> </System> </Flow> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.241</Address> </Node> <Description>C2 IRC server</Description> </System> </Flow> <!-- Expectation class recommends that these networks be filtered --> <Expectation action="block-host" /> </EventData> </Incident> </IODEF-Document>
数多くの攻撃の<説明>ソース</説明> </システム> </フロー>「= <期待のアクション<! - - 期待クラスホストからの活動が見られている場合は、リストの送信者に通知することを希望することを示しています>コンタクト差出人」/> </ EventDataの> <EventDataの> <フロー> <Systemカテゴリ= "ソース"> <ノード> <住所カテゴリ= "IPv4のネット"> 192.0.2.16/28 </住所> </ノード> <説明>過去1カ月を超える重いスキャンのソース</説明> </システム> </フロー> <フロー> <Systemカテゴリ= "ソース"> <ノード> <住所カテゴリ= "のIPv4-addrに"> 192.0。 2.241 </住所> </ノード> <説明> C2のIRCサーバ</説明> </システム> </フロー> <! - 期待クラスは、これらのネットワークをフィルタリングすることをお勧めします - > <期待のアクション= "ブロックホスト"/> </ EventDataの> </インシデント> </ IODEF-ドキュメント>
<?xml version="1.0" encoding="UTF-8"?> <xs:schema targetNamespace="urn:ietf:params:xml:ns:iodef-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema" elementFormDefault="qualified" attributeFormDefault="unqualified">
<?xml version = "1.0" エンコード= "UTF-8"?> <XS:スキーマのtargetNamespace = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns = "壷:IETF:のparams:XML:NS :IODEF-1.0" のxmlns:IODEF = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns:XS = "http://www.w3.org/2001/XMLSchema" のelementFormDefault = "資格" attributeFormDefault = >「修飾されていません」
<xs:annotation> <xs:documentation> Incident Object Description Exchange Format v1.00, see RFC 5070
<XS:注釈> <XS:ドキュメント>インシデントオブジェクト記述交換フォーマットのV1.00は、RFC 5070を参照してください
</xs:documentation> </xs:annotation>
</ XS:ドキュメンテーション> </ XS:注釈>
<!--
====================================================================
== IODEF-Document class ==
====================================================================
-->
<xs:element name="IODEF-Document">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Incident"
maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="version"
type="xs:string" fixed="1.00"/>
<xs:attribute name="lang"
type="xs:language" use="required"/>
<xs:attribute name="formatid"
type="xs:string"/>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Incident class ===
====================================================================
-->
<xs:element name="Incident">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IncidentID"/>
<xs:element ref="iodef:AlternativeID"
minOccurs="0"/>
<xs:element ref="iodef:RelatedActivity"
minOccurs="0"/>
<xs:element ref="iodef:DetectTime"
minOccurs="0"/>
<xs:element ref="iodef:StartTime"
minOccurs="0"/>
<xs:element ref="iodef:EndTime"
minOccurs="0"/>
<xs:element ref="iodef:ReportTime"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Assessment"
maxOccurs="unbounded"/>
<xs:element ref="iodef:Method"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Contact"
maxOccurs="unbounded"/>
<xs:element ref="iodef:EventData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:History"
minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="purpose" use="required">
<xs:simpleType>
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="traceback"/>
<xs:enumeration value="mitigation"/>
<xs:enumeration value="reporting"/>
<xs:enumeration value="other"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
<xs:attribute name="ext-purpose"
type="xs:string" use="optional"/>
<xs:attribute name="lang"
type="xs:language"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" default="private"/>
</xs:complexType>
</xs:element>
<!--
====================================================================
== IncidentID class ==
====================================================================
-->
<xs:element name="IncidentID" type="iodef:IncidentIDType"/>
<xs:complexType name="IncidentIDType">
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="name"
type="xs:string" use="required"/>
<xs:attribute name="instance"
type="xs:string" use="optional"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" default="public"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
<!--
====================================================================
== AlternativeID class ==
====================================================================
-->
<xs:element name="AlternativeID">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IncidentID"
maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type"/>
</xs:complexType>
</xs:element>
<!--
====================================================================
== RelatedActivity class ==
====================================================================
-->
<xs:element name="RelatedActivity">
<xs:complexType>
<xs:choice>
<xs:element ref="iodef:IncidentID"
maxOccurs="unbounded"/>
<xs:element ref="iodef:URL"
maxOccurs="unbounded"/>
</xs:choice>
<xs:attribute name="restriction"
type="iodef:restriction-type"/>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== AdditionalData class ===
====================================================================
-->
<xs:element name="AdditionalData" type="iodef:ExtensionType"/>
<!--
====================================================================
=== Contact class ===
====================================================================
-->
<xs:element name="Contact">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:ContactName"
minOccurs="0"/>
<xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:RegistryHandle" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:PostalAddress" minOccurs="0"/> <xs:element ref="iodef:Email" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Telephone" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Fax" minOccurs="0"/> <xs:element ref="iodef:Timezone" minOccurs="0"/> <xs:element ref="iodef:Contact" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="role" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="creator"/> <xs:enumeration value="admin"/> <xs:enumeration value="tech"/> <xs:enumeration value="irt"/> <xs:enumeration value="cc"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-role" type="xs:string" use="optional"/> <xs:attribute name="type" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="person"/> <xs:enumeration value="organization"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-type" type="xs:string" use="optional"/> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element>
<XS:要素REF = "IODEF:説明" のminOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素REF = "IODEF:RegistryHandle" のminOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素REF = "IODEF:のPostalAddress" のminOccurs = "0" /> <XS:要素REF = "IODEF:電子メール" のminOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素REF = "IODEF:電話" のminOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素REF = "IODEF:FAX" のminOccurs = "0" /> <XS:要素REF = "IODEF:タイムゾーン" のminOccurs = "0" /> <XS:要素minOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素REF = "IODEF:AdditionalData" のminOccurs = "0" のmaxOccurs = "無制限" /> </ XS::= "連絡先IODEFの" 参照シーケンス> <XS :属性名= "役割" 使用は= "必要"> <XS:単純> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "クリエイター" /> <XS:列挙値= "管理者" /> <XS:列挙値= "テック" /> <XS:列挙値= "IRT" /> <XS:列挙値= "CC" /> <XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名= "EXT-役割" タイプ= "XS:文字列" 使用= "オプション" /> <XS:単純>:<XS属性名= "タイプ" 使用= "必要"> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "人" /> <XS:列挙値=」組織 "/> <XS:列挙値=" EXT-値 "/> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名=" EXT型 "タイプ=" XS :文字列」使用= "オプション" /> <XS:属性名= "制限" タイプ= "IODEF:制限型" /> </ XS:complexTypeの> </ XS:要素>
<xs:element name="ContactName" type="iodef:MLStringType"/> <xs:element name="RegistryHandle"> <xs:complexType> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="registry"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="internic"/> <xs:enumeration value="apnic"/> <xs:enumeration value="arin"/> <xs:enumeration value="lacnic"/> <xs:enumeration value="ripe"/> <xs:enumeration value="afrinic"/> <xs:enumeration value="local"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-registry" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>
<XS:要素名= "担当者名" タイプ= "IODEF:MLStringType" /> <XS:要素名= "RegistryHandle"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "XS:文字列"> <XS:属性名= "レジストリ"> <XS:単純> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "はInterNIC" /> <XS:列挙値= "APNIC" /> < XS:列挙値= "ARIN" /> <XS:列挙値= "LACNIC" /> <XS:列挙値= "熟した" /> <XS:列挙値= "afrinic" /> <XS:列挙値=」ローカル "/> <XS:列挙値=" EXT-値 "/> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名=" EXT-レジストリ "タイプ=" XS :文字列」使用= "オプション" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素>
<xs:element name="PostalAddress"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute name="meaning" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="Email" type="iodef:ContactMeansType"/> <xs:element name="Telephone" type="iodef:ContactMeansType"/> <xs:element name="Fax" type="iodef:ContactMeansType"/>
<XS:要素名= "のPostalAddress"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:属性名=タイプ= "XS:文字列" "意味" を使用します= "オプション" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> <XS:要素名= "メール" タイプ= "IODEF:ContactMeansType" /> <XS:要素名= "電話" タイプ= "IODEF:ContactMeansType" /> <XS:要素名= "ファックス" タイプ= "IODEF:ContactMeansType" />
<xs:complexType name="ContactMeansType"> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="meaning" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent>
<XS:complexTypeの名前= "ContactMeansタイプ"> <XS:simpleContentを> <XSD:増設ベース= "XS:文字列"> <XS:属性名= "意味" タイプ= "XS:文字列" 使用= "オプション" / > </ XS:拡張> </ XS:simpleContentに>
</xs:complexType>
</ XS:complexTypeの>
<!--
====================================================================
=== Time-based classes ===
====================================================================
-->
<xs:element name="DateTime"
type="xs:dateTime"/>
<xs:element name="ReportTime"
type="xs:dateTime"/>
<xs:element name="DetectTime"
type="xs:dateTime"/>
<xs:element name="StartTime"
type="xs:dateTime"/>
<xs:element name="EndTime"
type="xs:dateTime"/>
<xs:element name="Timezone"
type="iodef:TimezoneType"/>
<xs:simpleType name="TimezoneType">
<xs:restriction base="xs:string">
<xs:pattern value="Z|[\+\-](0[0-9]|1[0-4]):[0-5][0-9]"/>
</xs:restriction>
</xs:simpleType>
<!--
====================================================================
=== History class ===
====================================================================
-->
<xs:element name="History">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:HistoryItem"
maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" default="default"/>
</xs:complexType>
</xs:element>
<xs:element name="HistoryItem">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:DateTime"/>
<xs:element ref="iodef:IncidentID"
minOccurs="0"/>
<xs:element ref="iodef:Contact"
minOccurs="0"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type"/>
<xs:attribute name="action"
type="iodef:action-type" use="required"/>
<xs:attribute name="ext-action"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Expectation class ===
====================================================================
-->
<xs:element name="Expectation">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:StartTime"
minOccurs="0"/>
<xs:element ref="iodef:EndTime"
minOccurs="0"/>
<xs:element ref="iodef:Contact"
minOccurs="0"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" default="default"/>
<xs:attribute name="severity"
type="iodef:severity-type"/>
<xs:attribute name="action"
type="iodef:action-type" default="other"/>
<xs:attribute name="ext-action"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Method class ===
====================================================================
-->
<xs:element name="Method">
<xs:complexType>
<xs:sequence>
<xs:choice maxOccurs="unbounded">
<xs:element ref="iodef:Reference"/>
<xs:element ref="iodef:Description"/>
</xs:choice>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type"/>
</xs:complexType>
</xs:element>
<xs:element name="Reference">
<xs:complexType>
<xs:sequence>
<xs:element name="ReferenceName"
type="iodef:MLStringType"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Assessment class ===
====================================================================
-->
<xs:element name="Assessment">
<xs:complexType>
<xs:sequence>
<xs:choice maxOccurs="unbounded">
<xs:element ref="iodef:Impact"/>
<xs:element ref="iodef:TimeImpact"/>
<xs:element ref="iodef:MonetaryImpact"/>
</xs:choice>
<xs:element ref="iodef:Counter"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Confidence" minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="occurrence">
<xs:simpleType>
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="actual"/>
<xs:enumeration value="potential"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <xs:element name="Impact"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute name="severity" type="iodef:severity-type"/> <xs:attribute name="completion"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="failed"/> <xs:enumeration value="succeeded"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="type" use="optional" default="unknown"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="admin"/> <xs:enumeration value="dos"/> <xs:enumeration value="extortion"/> <xs:enumeration value="file"/> <xs:enumeration value="info-leak"/> <xs:enumeration value="misconfiguration"/> <xs:enumeration value="recon"/> <xs:enumeration value="policy"/> <xs:enumeration value="social-engineering"/> <xs:enumeration value="user"/> <xs:enumeration value="unknown"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-type" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="TimeImpact"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:PositiveFloatType">
</ XS:属性> <XS:属性名= "制限" タイプ= "IODEF:制限型" /> </ XS:complexTypeの> </ XS:要素> <XS:要素名= "インパクト"> <XS :のcomplexType> <XS:simpleContentを> <XS:拡張ベース= "IODEF:MLStringType"> <XS:属性名= "重症度" タイプ= "IODEF:重篤度型" /> <XS:属性名= "完了"> <XS:単純> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "失敗" /> <XS:列挙値= "成功" /> </ XS:制限> </ XS:simpleTypeの> </ XS:属性> <XS:属性名= "タイプ" 使用= "オプションの" デフォルト= "不明">は、<XS:単純> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "管理者" /> <XS:列挙値= "ドス" /> <XS:列挙値= "ゆすり" /> <XS:列挙値= "ファイル" /> <XS:列挙値= "情報漏れ" / > <XS:列挙値= "設定ミス" /> <XS:列挙値= "偵察" /> <XS:列挙値= "ポリシー" /> <XS:列挙値= "ソーシャル・エンジニアリング" /> <XS:列挙値= "ユーザー" /> <XS:列挙値= "不明" /> <XS:列挙値= "EXT -value "/> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名=" EXT型」タイプ= "XS:文字列" 使用= "オプション" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> <XS:要素名= "TimeImpact"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF :PositiveFloatType ">
<xs:attribute name="severity" type="iodef:severity-type"/> <xs:attribute name="metric" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="labor"/> <xs:enumeration value="elapsed"/> <xs:enumeration value="downtime"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-metric" type="xs:string" use="optional"/> <xs:attribute name="duration" type="iodef:duration-type"/> <xs:attribute name="ext-duration" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="MonetaryImpact"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:PositiveFloatType"> <xs:attribute name="severity" type="iodef:severity-type"/> <xs:attribute name="currency" type="xs:string"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="Confidence"> <xs:complexType mixed="true"> <xs:attribute name="rating" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="low"/> <xs:enumeration value="medium"/> <xs:enumeration value="high"/> <xs:enumeration value="numeric"/> <xs:enumeration value="unknown"/> </xs:restriction> </xs:simpleType> </xs:attribute>
<XS:属性名= "重症度" タイプ= "IODEF:重篤度型" /> <XS:属性名= "メトリック" 使用は= "必要"> <XS:単純> <XS:制限ベース= "XS:NMTOKEN "> <XS:列挙値=" 労働 "/> <XS:列挙値=" 経過 "/> <XS:列挙値=" 停止時間 "/> <XS:列挙値=" EXT-値 "/> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名= "EXT-メトリック" タイプ= "XS:文字列" 使用= "オプション" /> <XS:属性名= "継続"タイプ= "IODEF:持続型" /> <XS:属性名= "EXT-期間" タイプ= "XS:文字列" 使用= "オプション" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> <XS:要素名= "MonetaryImpact"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:PositiveFloatType"> <XS:属性名= "深刻度"タイプ=" IODEF:重大度タイプ "/> <XS:属性名=" 通貨」タイプ= "XS:文字列" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> <XS:要素名= "自信"> <XS:complexTypeの混合= "真の"> <XS:属性名= "評価" 使用= "必要"> <XS:単純> <XS:制限ベース= "XS:NMTOKENは"> <XS:列挙値= "低" /> <XS:列挙値= "中" /> <XS:列挙値= "ハイ" /> <XS:列挙値= "数値" /> <XS:列挙値= "不明" /> </ XS:制限> </ XS:単純> </ XS:属性>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== EventData class ===
====================================================================
-->
<xs:element name="EventData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:DetectTime"
minOccurs="0"/>
<xs:element ref="iodef:StartTime"
minOccurs="0"/>
<xs:element ref="iodef:EndTime"
minOccurs="0"/>
<xs:element ref="iodef:Contact"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Assessment"
minOccurs="0"/>
<xs:element ref="iodef:Method"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Flow"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Expectation"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Record"
minOccurs="0"/>
<xs:element ref="iodef:EventData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" default="default"/>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Flow class ===
====================================================================
-->
<xs:element name="Flow">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:System"
maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== System class ===
====================================================================
-->
<xs:element name="System">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Node"/>
<xs:element ref="iodef:Service"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:OperatingSystem"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Counter"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type"/>
<xs:attribute name="interface"
type="xs:string"/>
<xs:attribute name="category">
<xs:simpleType>
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="source"/>
<xs:enumeration value="target"/>
<xs:enumeration value="intermediate"/>
<xs:enumeration value="sensor"/>
<xs:enumeration value="infrastructure"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
<xs:attribute name="ext-category"
type="xs:string" use="optional"/>
<xs:attribute name="spoofed"
default="unknown">
<xs:simpleType>
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="unknown"/>
<xs:enumeration value="yes"/>
<xs:enumeration value="no"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Node class ===
====================================================================
-->
<xs:element name="Node">
<xs:complexType>
<xs:sequence>
<xs:choice maxOccurs="unbounded">
<xs:element name="NodeName"
type="iodef:MLStringType" minOccurs="0"/>
<xs:element ref="iodef:Address"
minOccurs="0" maxOccurs="unbounded"/>
</xs:choice>
<xs:element ref="iodef:Location"
minOccurs="0"/>
<xs:element ref="iodef:DateTime"
minOccurs="0"/>
<xs:element ref="iodef:NodeRole"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Counter"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="Address">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="category" default="ipv4-addr">
<xs:simpleType>
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="asn"/>
<xs:enumeration value="atm"/>
<xs:enumeration value="e-mail"/>
<xs:enumeration value="mac"/>
<xs:enumeration value="ipv4-addr"/>
<xs:enumeration value="ipv4-net"/>
<xs:enumeration value="ipv4-net-mask"/>
<xs:enumeration value="ipv6-addr"/>
<xs:enumeration value="ipv6-net"/>
<xs:enumeration value="ipv6-net-mask"/>
<xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-category" type="xs:string" use="optional"/> <xs:attribute name="vlan-name" type="xs:string"/> <xs:attribute name="vlan-num" type="xs:integer"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="Location" type="iodef:MLStringType"/> <xs:element name="NodeRole"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute name="category" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="client"/> <xs:enumeration value="server-internal"/> <xs:enumeration value="server-public"/> <xs:enumeration value="www"/> <xs:enumeration value="mail"/> <xs:enumeration value="messaging"/> <xs:enumeration value="streaming"/> <xs:enumeration value="voice"/> <xs:enumeration value="file"/> <xs:enumeration value="ftp"/> <xs:enumeration value="p2p"/> <xs:enumeration value="name"/> <xs:enumeration value="directory"/> <xs:enumeration value="credential"/> <xs:enumeration value="print"/> <xs:enumeration value="application"/> <xs:enumeration value="database"/> <xs:enumeration value="infra"/> <xs:enumeration value="log"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-category" type="xs:string" use="optional"/> </xs:extension>
<XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名= "EXT-カテゴリ" タイプ= "XS:文字列" 使用= "オプション" /> <XS:属性名= "VLAN名" タイプ= "XS:文字列" /> <XS:属性名= "VLAN-NUM" タイプ= "XS:整数" /> </ XS:拡張子> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> <XS:要素名= "場所" タイプ= "IODEF:MLStringType" /> <XS:要素名= "NodeRole"> <XS :complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:> <XS "に必要な" 属性名= "カテゴリ" 使用=:単純には> <XS:制限ベース= "XS:NMTOKEN "> <XS:列挙値=" クライアント "/> <XS:列挙値=" サーバ内部 "/> <XS:列挙値=" サーバー公開 "/> <XS:列挙値=" WWW "/> <XS:列挙値= "メール" /> <XS:列挙値= "メッセージ" /> <XS:列挙値= "ストリーミング" /> <XS:列挙値= "声" /> <XS:列挙値= "ファイル" /> <XS:列挙値= "FTP" /> <XS:列挙値= "P2P" /> <XS:列挙値= "名前" /> <XS:列挙値= "ディレクトリ" /> <XS:列挙値= "資格" /> <XS:列挙値= "印刷" /> <XS:列挙値= "アプリケーション" /> <XS:列挙値= "データベース" / > <XS:列挙値= "下記" /> <XS:列挙値= "ログイン" /> <XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名= "EXT-カテゴリ" タイプ= "XS:文字列" 使用= "オプション" /> </ XS:拡張>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Service Class ===
====================================================================
-->
<xs:element name="Service">
<xs:complexType>
<xs:sequence>
<xs:choice minOccurs="0">
<xs:element name="Port"
type="xs:integer"/>
<xs:element name="Portlist"
type="iodef:PortlistType"/>
</xs:choice>
<xs:element name="ProtoType"
type="xs:integer" minOccurs="0"/>
<xs:element name="ProtoCode"
type="xs:integer" minOccurs="0"/>
<xs:element name="ProtoField"
type="xs:integer" minOccurs="0"/>
<xs:element ref="iodef:Application"
minOccurs="0"/>
</xs:sequence>
<xs:attribute name="ip_protocol"
type="xs:integer" use="required"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="PortlistType">
<xs:restriction base="xs:string">
<xs:pattern value="\d+(\-\d+)?(,\d+(\-\d+)?)*"/>
</xs:restriction>
</xs:simpleType>
<!--
====================================================================
=== Counter class ===
====================================================================
-->
<xs:element name="Counter">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:double">
<xs:attribute name="type" use="required">
<xs:simpleType>
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="byte"/>
<xs:enumeration value="packet"/>
<xs:enumeration value="flow"/>
<xs:enumeration value="session"/>
<xs:enumeration value="event"/>
<xs:enumeration value="alert"/>
<xs:enumeration value="message"/>
<xs:enumeration value="host"/>
<xs:enumeration value="site"/>
<xs:enumeration value="organization"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
<xs:attribute name="ext-type"
type="xs:string" use="optional"/>
<xs:attribute name="meaning"
type="xs:string" use="optional"/>
<xs:attribute name="duration"
type="iodef:duration-type"/>
<xs:attribute name="ext-duration"
type="xs:string" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<!--
====================================================================
=== Record class ===
====================================================================
-->
<xs:element name="Record">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:RecordData"
maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type"/>
</xs:complexType>
</xs:element>
<xs:element name="RecordData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:DateTime"
minOccurs="0"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Application"
minOccurs="0"/> <xs:element ref="iodef:RecordPattern" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:RecordItem" maxOccurs="unbounded"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <xs:element name="RecordPattern"> <xs:complexType> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="type" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="regex"/> <xs:enumeration value="binary"/> <xs:enumeration value="xpath"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-type" type="xs:string" use="optional"/> <xs:attribute name="offset" type="xs:integer" use="optional"/> <xs:attribute name="offsetunit" use="optional" default="line"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="line"/> <xs:enumeration value="byte"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-offsetunit" type="xs:string" use="optional"/> <xs:attribute name="instance" type="xs:integer" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>
minOccurs = "0" /> <XS:要素REF = "IODEF:RecordPattern" のminOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素REF = "IODEF:RecordItem" のmaxOccurs = "無制限" /> <XS :要素REF = "IODEF:AdditionalData" のminOccurs = "0" のmaxOccurs = "無制限" /> </ XS:配列> <XS:属性名= "制限" タイプ= "IODEF:制限型" /> </ XS :のcomplexType> </ XS:要素> <XS:要素名= "RecordPattern"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "XS:文字列"> <XS:属性名= "タイプ"単純> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "正規表現" /> <XS:列挙値= "バイナリ" /> <XS:列挙値= "必要"> <XSを使用= "のxpath" /> <XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名= "EXT型" タイプ= "XS:文字列" 使用= "オプション" /> <XS:属性名は= "オフセット" タイプ= "XS:整数" 使用= "オプション" /> <XS:属性名= "offsetunit" 使用= "オプション" デフォルト= "行"> <XS:単純> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "行" /> <XS:enume比値= "バイト" /> <XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:単純> </ XS:属性> <XS:属性名= "EXT-offsetunit"タイプ= "XS:文字列" 使用= "オプション" /> <XS:属性名= "インスタンス" タイプ= "XS:整数" 使用= "オプション" /> </ XS:拡張> </ XS:simpleContentに> < / XS:complexTypeの> </ XS:要素>
<xs:element name="RecordItem"
type="iodef:ExtensionType"/>
<!--
====================================================================
=== Classes that describe software ===
====================================================================
-->
<xs:complexType name="SoftwareType">
<xs:sequence>
<xs:element ref="iodef:URL"
minOccurs="0"/>
</xs:sequence>
<xs:attribute name="swid"
type="xs:string" default="0"/>
<xs:attribute name="configid"
type="xs:string" default="0"/>
<xs:attribute name="vendor"
type="xs:string"/>
<xs:attribute name="family"
type="xs:string"/>
<xs:attribute name="name"
type="xs:string"/>
<xs:attribute name="version"
type="xs:string"/>
<xs:attribute name="patch"
type="xs:string"/>
</xs:complexType>
<xs:element name="Application"
type="iodef:SoftwareType"/>
<xs:element name="OperatingSystem"
type="iodef:SoftwareType"/>
<!--
====================================================================
=== Miscellaneous simple classes ===
====================================================================
-->
<xs:element name="Description"
type="iodef:MLStringType"/>
<xs:element name="URL"
type="xs:anyURI"/>
<!--
====================================================================
=== Data Types ===
====================================================================
-->
<xs:simpleType name="PositiveFloatType">
<xs:restriction base="xs:float">
<xs:minExclusive value="0"/>
</xs:restriction>
</xs:simpleType>
<xs:complexType name="MLStringType">
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="lang"
type="xs:language" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
<xs:complexType name="ExtensionType" mixed="true">
<xs:sequence>
<xs:any namespace="##any" processContents="lax"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="dtype"
type="iodef:dtype-type" use="required"/>
<xs:attribute name="ext-dtype"
type="xs:string" use="optional"/>
<xs:attribute name="meaning"
type="xs:string"/>
<xs:attribute name="formatid"
type="xs:string"/>
<xs:attribute name="restriction"
type="iodef:restriction-type"/>
</xs:complexType>
<!--
====================================================================
=== Global attribute type declarations ===
====================================================================
-->
<xs:simpleType name="restriction-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="default"/>
<xs:enumeration value="public"/>
<xs:enumeration value="need-to-know"/>
<xs:enumeration value="private"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="severity-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="low"/> <xs:enumeration value="medium"/> <xs:enumeration value="high"/> </xs:restriction> </xs:simpleType>
<XS:単純名= "重篤度型"> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "低" /> <XS:列挙値= "中" /> <XS:列挙値= "ハイ" /> </ XS:制限> </ XS:simpleTypeの>
<xs:simpleType name="duration-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="second"/> <xs:enumeration value="minute"/> <xs:enumeration value="hour"/> <xs:enumeration value="day"/> <xs:enumeration value="month"/> <xs:enumeration value="quarter"/> <xs:enumeration value="year"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType>
<XS:simpleTypeの名前= "持続型"> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "第二" /> <XS:列挙値= "分" /> <XS:列挙値= "時間" /> <XS:列挙値= "日" /> <XS:列挙値= "月" /> <XS:列挙値= "四半期" /> <XS:列挙値= "年" / > <XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:simpleTypeの>
<xs:simpleType name="action-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="nothing"/> <xs:enumeration value="contact-source-site"/> <xs:enumeration value="contact-target-site"/> <xs:enumeration value="contact-sender"/> <xs:enumeration value="investigate"/> <xs:enumeration value="block-host"/> <xs:enumeration value="block-network"/> <xs:enumeration value="block-port"/> <xs:enumeration value="rate-limit-host"/> <xs:enumeration value="rate-limit-network"/> <xs:enumeration value="rate-limit-port"/> <xs:enumeration value="remediate-other"/> <xs:enumeration value="status-triage"/> <xs:enumeration value="status-new-info"/> <xs:enumeration value="other"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType>
<XS:単純型名= "アクション・タイプ"> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "何を" /> <XS:列挙値= "コンタクトソースサイトの" /> <XS:列挙値= "接触-対象サイト" /> <XS:列挙値= "接触-差出人" /> <XS:列挙値= "調査" /> <XS:列挙値は= "ブロックホスト" /> <XS:列挙値= "ブロックネットワーク" /> <XS:列挙値= "ブロックポート" /> <XS:列挙値= "レート制限ホスト" /> <XS:列挙値=」レート制限ネットワーク「/> <XS:列挙値=」レート制限ポート「/> <XS:列挙値=」修復、他の「/> <XS:列挙値=」ステータス・トリアージ "/> < XS:列挙値= "ステータス新情報" /> <XS:列挙値= "その他" /> <XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:単純>
<xs:simpleType name="dtype-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="boolean"/> <xs:enumeration value="byte"/> <xs:enumeration value="character"/> <xs:enumeration value="date-time"/> <xs:enumeration value="integer"/> <xs:enumeration value="ntpstamp"/> <xs:enumeration value="portlist"/> <xs:enumeration value="real"/> <xs:enumeration value="string"/> <xs:enumeration value="file"/> <xs:enumeration value="path"/> <xs:enumeration value="frame"/>
<XS:単純型名= "DTYPE型"> <XS:制限ベース= "XS:NMTOKEN"> <XS:列挙値= "ブーリアン" /> <XS:列挙値= "バイト" /> <XS:列挙値= "文字" /> <XS:列挙値= "日時" /> <XS:列挙値= "整数" /> <XS:列挙値= "ntpstamp" /> <XS:列挙値= "ポートリスト"/> <XS:列挙値=" 本物 "/> <XS:列挙値=" 文字列 "/> <XS:列挙値=" ファイル "/> <XS:列挙値=" パス "/> <XS:列挙値=「フレーム」/>
<xs:enumeration value="packet"/> <xs:enumeration value="ipv4-packet"/> <xs:enumeration value="ipv6-packet"/> <xs:enumeration value="url"/> <xs:enumeration value="csv"/> <xs:enumeration value="winreg"/> <xs:enumeration value="xml"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:schema>
<XS:列挙値= "パケット" /> <XS:列挙値= "IPv4のパケット" /> <XS:列挙値= "IPv6のパケット" /> <XS:列挙値= "URL" /> <XS :列挙値= "CSV" /> <XS:列挙値= "winregを" /> <XS:列挙値= "XML" /> <XS:列挙値= "EXT-値" /> </ XS:制限> </ XS:単純> </ XS:スキーマ>
The IODEF data model itself does not directly introduce security issues. Rather, it simply defines a representation for incident information. As the data encoded by the IODEF might be considered privacy sensitive by the parties exchanging the information or by those described by it, care needs to be taken in ensuring the appropriate disclosure during both document exchange and subsequent processing. The former must be handled by a messaging format, but the latter risk must be addressed by the systems that process, store, and archive IODEF documents and information derived from them.
IODEFデータモデル自体は、直接セキュリティ上の問題を紹介しません。むしろ、それは単にインシデント情報の表現を定義します。 IODEFによって符号化されたデータは、プライバシー情報を交換するパーティーにより、またはそれによって記載されたものにより敏感であると考えられるかもしれないように、注意が文書交換とその後の処理の両方の間に適切な開示を確実に採取する必要があります。前者は、メッセージング・フォーマットで処理する必要がありますが、後者のリスクは、それらに由来する処理、保存、およびアーカイブIODEF文書及び情報システムによって対処されなければなりません。
The contents of an IODEF document may include a request for action or an IODEF parser may independently have logic to take certain actions based on information that it finds. For this reason, care must be taken by the parser to properly authenticate the recipient of the document and ascribe an appropriate confidence to the data prior to action.
IODEF文書の内容は、アクションまたは独立して、検出した情報に基づいて特定のアクションを取るためのロジックを有することができるIODEFパーサのための要求を含むことができます。このため、注意が適切に文書の受信者を認証し、前のアクションへのデータへの適切な信頼を帰するために、パーサによって行われなければなりません。
The underlying messaging format and protocol used to exchange instances of the IODEF MUST provide appropriate guarantees of confidentiality, integrity, and authenticity. The use of a standardized security protocol is encouraged. The Real-time Inter-network Defense (RID) protocol [18] and its associated transport binding IODEF/RID over SOAP [19] provide such security.
IODEFのインスタンスを交換するために使用根本的なメッセージフォーマットとプロトコルは、機密性、完全性、および信頼性の適切な保証を提供しなければなりません。標準化されたセキュリティプロトコルの使用が奨励されています。リアルタイムインターネットワーク防衛(RID)プロトコル[18]およびその関連するトランスポートSOAP上RID IODEF / [19]このようなセキュリティを提供する結合。
In order to suggest data processing and handling guidelines of the encoded information, the IODEF allows a document sender to convey a privacy policy using the restriction attribute. The various instances of this attribute allow different data elements of the document to be covered by dissimilar policies. While flexible, it must be stressed that this approach only serves as a guideline from the sender, as the recipient is free to ignore it. The issue of enforcement is not a technical problem.
データ処理と符号化情報の取り扱いに関するガイドラインを提案するためには、IODEFは、文書の送信者が制限属性を使用して、プライバシーポリシーを伝えることができます。この属性の様々なインスタンスは、ドキュメントの異なるデータ要素は、異なるポリシーでカバーすることができます。可撓性が、受信者がそれを無視して自由であるように、このアプローチのみ、送信者からの指針として役立つことを強調しなければなりません。執行の問題は技術的な問題ではありません。
This document uses URNs to describe an XML namespace and schema conforming to a registry mechanism described in [15]
この文書では、[15]に記載されたレジストリ・メカニズムに準拠するXML名前空間とスキーマを記述するためのURNを使用し
Registration for the IODEF namespace:
IODEF名前空間の登録:
o URI: urn:ietf:params:xml:ns:iodef-1.0
O URI:URN:IETF:のparams:XML:NS:IODEF-1.0
o Registrant Contact: See the first author of the "Author's Address" section of this document.
O登録者連絡先:このドキュメントの「著者のアドレス」セクションの最初の著者を参照してください。
o XML: None. Namespace URIs do not represent an XML specification.
OのXML:なし。名前空間URIはXMLの仕様を示すものではありません。
Registration for the IODEF XML schema:
IODEFのXMLスキーマの登録:
o URI: urn:ietf:params:xml:schema:iodef-1.0
O URI:URN:IETF:のparams:XML:スキーマ:IODEF-1.0
o Registrant Contact: See the first author of the "Author's Address" section of this document.
O登録者連絡先:このドキュメントの「著者のアドレス」セクションの最初の著者を参照してください。
o XML: See the "IODEF Schema" in Section 8 of this document.
OのXML:このドキュメントのセクション8に「IODEFスキーマ」を参照してください。
The following groups and individuals, listed alphabetically, contributed substantially to this document and should be recognized for their efforts.
アルファベット順にリストされている次のグループや個人は、本文書に大きく貢献し、彼らの努力のために認識されるべきです。
o Patrick Cain, Cooper-Cain Group, Inc.
Oパトリック・ケイン、クーパー・カイングループ株式会社
o The eCSIRT.net Project
eCSIRT.netプロジェクトO
o The Incident Object Description and Exchange Format Working-Group of the TERENA task-force (TF-CSIRT)
インシデントオブジェクト説明とTERENAタスクフォースの交換フォーマットワーキング・グループ(TF-CSIRT)O
o Glenn Mansfield Keeni, Cyber Solutions, Inc.
グレンマンスフィールドKeeni O、サイバーソリューションズ株式会社
o Hiroyuki Kido, NARA Institute of Science and Technology
お ひろゆき きど、 なら いんsちつて おf Sしえんせ あんd てchのぉgy
o Kathleen Moriarty, MIT Lincoln Laboratory
Oキャスリーン・モリアーティ、リンカーン研究所
o Brian Trammell, CERT/NetSA
トラメルはブライアン、CERT / NetSAです
[1] World Wide Web Consortium, "Extensible Markup Language (XML) 1.0 (Second Edition)", W3C Recommendation , October 2000, <http://www.w3.org/TR/2000/REC-xml-20001006>.
[1]ワールド・ワイド・ウェブ・コンソーシアム、 "拡張マークアップ言語(XML)1.0(第二版)"、W3C勧告、2000年10月、<http://www.w3.org/TR/2000/REC-xml-20001006>。
[2] World Wide Web Consortium, "XML XML Schema Part 1: Structures Second Edition", W3C Recommendation , October 2004, <http://www.w3.org/TR/xmlschema-1/>.
[2]ワールド・ワイド・ウェブ・コンソーシアム、 "XMLのXMLスキーマパート1:構造第二版"、W3C勧告、2004年10月、<http://www.w3.org/TR/xmlschema-1/>。
[3] World Wide Web Consortium, "XML Schema Part 2: Datatypes Second Edition", W3C Recommendation , October 2004, <http://www.w3.org/TR/xmlschema-2/>.
[3]ワールド・ワイド・ウェブ・コンソーシアム、 "XMLスキーマパート2:データ型第二版"、W3C勧告、2004年10月、<http://www.w3.org/TR/xmlschema-2/>。
[4] World Wide Web Consortium, "Namespaces in XML", W3C Recommendation , January 1999, <http://www.w3.org/TR/REC-xml-names/>.
[4]ワールド・ワイド・ウェブ・コンソーシアム、 "XMLで名前空間"、W3C勧告、1999年1月、<http://www.w3.org/TR/REC-xml-names/>。
[5] World Wide Web Consortium, "XML Path Language (XPath) 2.0", W3C Candidate Recommendation , June 2006, <http://www.w3.org/TR/xpath20/>.
[5]ワールド・ワイド・ウェブ・コンソーシアム、 "XMLパス言語(XPath)2.0"、W3C勧告候補、2006年6月、<http://www.w3.org/TR/xpath20/>。
[6] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", RFC 2119, March 1997.
[6]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、RFC 2119、1997年3月を。
[7] Philips, A. and M. Davis, "Tags for Identifying of Languages", RFC 4646, September 2006.
[7]フィリップス、A.とM.デイヴィス、RFC 4646、 "言語の識別のためのタグ"、2006年9月。
[8] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifiers (URI): Generic Syntax", RFC 3986, January 2005`.
[8]バーナーズ - リー、T.、フィールディング、R.、およびL. Masinter、 "ユニフォームリソース識別子(URI):汎用構文"、RFC 3986年1月2005`。
[9] Freed, N. and J. Postel, "IANA Charset Registration Procedures", BCP 2978, October 2000.
[9]フリード、N.とJ.ポステル、 "IANA文字セット登録手順"、BCP 2978、2000年10月。
[10] Sciberras, A., "Schema for User Applications", RFC 4519, June 2006.
[10] Sciberras、A.、 "ユーザー・アプリケーションのためのスキーマ"、RFC 4519、2006年6月。
[11] Resnick, P., "Internet Message Format", RFC 2822, April 2001.
[11]レズニック、P.、 "インターネットメッセージ形式"、RFC 2822、2001年4月。
[12] Klyne, G. and C. Newman, "Date and Time on the Internet: Timestamps", RFC 3339, July 2002.
[12] Klyne、G.とC.ニューマン、 "インターネット上の日付と時刻:タイムスタンプ"、RFC 3339、2002年7月。
[13] International Organization for Standardization, "International Standard: Data elements and interchange formats - Information interchange - Representation of dates and times", ISO 8601, Second Edition, December 2000.
[13]国際標準化機構、「国際標準:データ要素と交換フォーマット - 情報交換 - 日付と時刻の表現」、ISO 8601、第2版、2000年12月。
[14] International Organization for Standardization, "International Standard: Codes for the representation of currencies and funds, ISO 4217:2001", ISO 4217:2001, August 2001.
標準化のための[14]国際機関、 "国際標準:通貨と資金の表現のためのコード、ISO 4217:2001"、ISO 4217:2001、2001年8月。
[15] Mealling, M., "The IETF XML Registry", RFC 3688, January 2004.
[15] Mealling、M.、 "IETF XMLレジストリ"、RFC 3688、2004年1月。
[16] Keeni, G., Demchenko, Y., and R. Danyliw, "Requirements for the Format for Incident Information Exchange (FINE)", Work in Progress, June 2006.
[16] Keeni、G.、Demchenko、Y.、およびR. Danyliw、 "インシデント情報交換(FINE)のためのフォーマットのための要件"、進歩、2006年6月での作業。
[17] Debar, H., Curry, D., Debar, H., and B. Feinstein, "Intrusion Detection Message Exchange Format", RFC 4765, March 2007.
[17]禁ずる、H.、カレー、D.、禁ずる、H.、およびB.ファインスタイン、 "侵入検知メッセージ交換形式"、RFC 4765、2007年3月。
[18] Moriarty, K., "Real-time Inter-network Defense", Work in Progress, April 2007.
[18]モリアーティ、K.、「リアルタイムインターネットワーク防衛」、進歩、2007年4月に作業。
[19] Moriarty, K. and B. Trammell, "IODEF/RID over SOAP", Work in Progress, April 2007.
[19]モリアーティ、K.とB.トラメル、 "IODEF / SOAP経由RID"、進歩、2007年4月に作業。
[20] Shafranovich, Y., "Common Format and MIME Type for Comma-Separated Values (CSV) File", RFC 4180, October 2005.
[20] Shafranovich、Y.、 "カンマ区切り値(CSV)ファイルのための共通フォーマットとMIMEタイプ"、RFC 4180、2005年10月。
Authors' Addresses
著者のアドレス
Roman Danyliw CERT - Software Engineering Institute Pittsburgh, PA USA
ローマDanyliw CERT - ソフトウェア工学研究所ピッツバーグ、PA USA
EMail: rdd@cert.org
メールアドレス:rdd@cert.org
Jan Meijer
ジャン・メエヘル
EMail: jan@flyingcloggies.nl
メールアドレス:jan@flyingcloggies.nl
Yuri Demchenko University of Amsterdam Amsterdam Netherlands
アムステルダムアムステルダム、オランダのユーリDemchenko大学
EMail: demch@chello.nl
メールアドレス:demch@chello.nl
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。