インシデントオブジェクト記述交換フォーマット
 |
 |
コンピュータ セキュリティに使用されるIODEF ( Incident Object Description Exchange Format ) は、コンピュータ セキュリティ インシデント レスポンス チーム( CSIRT )間で交換する目的でコンピュータ セキュリティ情報を記述するために使用されるデータ形式です。
IODEFメッセージは、機械的な形式ではなく、人間が読める形式で構成されています。形式の詳細はRFC 5070で説明されており、RFC 6685で更新されています。形式のバージョン2はRFC 7970で定義されており、以前のバージョンに取って代わります。このRFCでは、XMLによるデータモデルの実装と関連するDTDが示されています。IODEF v2の詳細な実装ガイダンスは、RFC 8274で定義されています。
IODEFの主な特徴の一つは、侵入検知システム用に開発されたIDMEF侵入検知メッセージ交換フォーマットとの互換性です。このため、IODEFはIDMEFをベースとしており、後方互換性も確保されています。
形式
IODEFはオブジェクト指向の構造化フォーマットで、最初のバージョンでは47のクラスで構成されています。IODEFとIDMEFフォーマットには多くの共通点があります。フィールド構造はIDMEFに類似しており、拡張可能なフォーマットです。IODEFメッセージに関連する任意の情報を追加できる通常の追加データクラスに加えて、ほとんどの列挙型には「ext」フィールドが用意されています。このフィールドは、提案された選択肢がどれも適切でない場合に使用されます。
主なフィールドのリストは次のとおりです。
| フィールド名 | フィールド数 | 説明 |
|---|---|---|
| インシデントID | 1 | IODEF ドキュメントを作成した CSIRT によってこのインシデントに割り当てられたインシデント識別番号。 |
| 代替ID | 0または1 | ドキュメントに記載されているインシデントを参照するために他の CSIRT が使用するインシデント ID 番号。 |
| 関連アクティビティ | 0または1 | この文書に記載されているインシデントにリンクされているインシデントの ID 番号。 |
| 検出時間 | 0または1 | インシデントが初めて検出された時刻。 |
| 開始時間 | 0または1 | インシデントが始まった時刻。 |
| 終了時間 | 0または1 | 事件が終了した時刻。 |
| レポート時間 | 1 | インシデントが報告された時刻。 |
| 説明 | 0以上 | ( ML_STRING) イベントのフォーマットされていないテキストによる説明。 |
| 評価 | 0以上 | インシデントの影響の特徴。 |
| 方法 | 0以上 | 事件発生時に侵入者が使用した手法。 |
| 接触 | 0以上 | 事件に関係するグループの連絡先情報。 |
| イベントデータ | 0以上 | 事件に関係する出来事の説明。 |
| 歴史 | 0以上 | インシデント管理中に発生したイベントまたは注目すべきアクションのログ。 |
| 追加データ | 0以上 | データ モデルを拡張するメカニズム。 |
IODEFを使用したソフトウェア
- プレリュードSIEM
- IODEFLIB : IODEF XML 形式 (RFC 5070) を使用してサイバーインシデントレポートを作成、解析、編集するための Python ライブラリ
- RT-IODEF : RT チケットを IODEF メッセージに変換し、説明タグに基づいて IODEF を RT のカスタム フィールドにマッピングする Perl モジュール
- Mantis IODEF インポーター : Mantis サイバー脅威インテリジェンス管理フレームワーク用の IODEF (v1.0) インポーター
- ArcSight-IODEF-Perl : ArcSight XML を標準化された iodef メッセージに変換する Perl モジュール
- IODEF実装
- IODEF DBI
- IODEF Pb : このライブラリは、IODEF (RFC 5070) を Google プロトコル バッファ シリアル化ライブラリにマッピングします。
- XML :: IODEF – IODEFドキュメントを簡単に作成/解析するためのPerlモジュール
- Stix 出力フォーマッタ: Iodef::Pb::Simple
- PHPでIODEFを解析するためのライブラリ
外部リンク
