Pour rendre plus facilement analysables les innombrables rapports
d'incidents de sécurité qui circulent sur Internet tous les jours, ce
RFC spécifie un format standard XML, nommé IODEF, pour
décrire ces incidents. Ce RFC décrivait la
version 1, une version 2, plus étendue, a ensuite été publiée dans le .
Tous les jours, des organisations comme les
CERT envoient et reçoivent des rapports
détaillés concernant une attaque sur un réseau informatique ou un
serveur. Ces rapports sont longs et détaillés mais, la plupart du
temps, ce n'est pas une attaque isolée qui est intéressante, c'est
l'image qui apparait lorsqu'on synthétise tous les rapports, et qu'on
voit alors les tendances, par exemple l'arrivée d'un nouveau
ver ou bien une attaque concertée contre un
pays donné. D'où l'importance de pouvoir analyser automatiquement ces
rapports, ce qui impose un modèle de données et un format standard, ce
que fournit ce RFC.
Le modèle de données est proche des modèles
objet, par
exemple dans la descriptions des classes d'objets
manipulés (comme la classe Incident en section 3.2, avec la
cardinalité des attributs). Ces classes sont
composés avec des données élémentaires (booléens, entiers, dates)
décrits dans la section 2. Le schéma XML complet, écrit en W3C Schema,
figure dans la section 8.
Une première tentative de normaliser un tel format avait été faite
avec IDMEF, dans le mais n'avait pas rencontré de
consensus. Notre RFC représente désormais la solution standard.
Voici un exemple d'un rapport d'incident, tiré du RFC et qui décrit
une reconnaissance menée par un agresseur potentiel :
59334
2006-08-02T05:54:02-05:00
nmap
http://nmap.toolsite.example.com
CSIRT for example.com
contact@csirt.example.com
+1 412 555 12345
Joe Smith
smith@csirt.example.com
192.0.2.200
60524,60526,60527,60531
192.0.2.201
137-139,445
192.0.2.240
192.0.2.64/28
445
]]>