[要約] RFC 5070は、インシデントオブジェクトの記述を交換するためのフォーマットを定義しています。その目的は、セキュリティインシデントの情報共有を容易にすることです。
Network Working Group R. Danyliw Request for Comments: 5070 CERT Category: Standards Track J. Meijer UNINETT Y. Demchenko University of Amsterdam December 2007
The Incident Object Description Exchange Format
インシデントオブジェクト説明交換形式
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Abstract
概要
The Incident Object Description Exchange Format (IODEF) defines a data representation that provides a framework for sharing information commonly exchanged by Computer Security Incident Response Teams (CSIRTs) about computer security incidents. This document describes the information model for the IODEF and provides an associated data model specified with XML Schema.
インシデントオブジェクト説明交換形式(IODEF)は、コンピューターセキュリティインシデントに関するコンピューターセキュリティインシデント対応チーム(CSIRT)によって一般的に交換される情報を共有するためのフレームワークを提供するデータ表現を定義します。このドキュメントでは、IODEFの情報モデルについて説明し、XMLスキーマで指定された関連データモデルを提供します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 5 1.2. Notations . . . . . . . . . . . . . . . . . . . . . . . . 5 1.3. About the IODEF Data Model . . . . . . . . . . . . . . . . 5 1.4. About the IODEF Implementation . . . . . . . . . . . . . . 6 2. IODEF Data Types . . . . . . . . . . . . . . . . . . . . . . . 6 2.1. Integers . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2. Real Numbers . . . . . . . . . . . . . . . . . . . . . . . 7 2.3. Characters and Strings . . . . . . . . . . . . . . . . . . 7 2.4. Multilingual Strings . . . . . . . . . . . . . . . . . . . 7 2.5. Bytes . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.6. Hexadecimal Bytes . . . . . . . . . . . . . . . . . . . . 7 2.7. Enumerated Types . . . . . . . . . . . . . . . . . . . . . 8 2.8. Date-Time Strings . . . . . . . . . . . . . . . . . . . . 8 2.9. Timezone String . . . . . . . . . . . . . . . . . . . . . 8 2.10. Port Lists . . . . . . . . . . . . . . . . . . . . . . . . 8 2.11. Postal Address . . . . . . . . . . . . . . . . . . . . . . 9 2.12. Person or Organization . . . . . . . . . . . . . . . . . . 9 2.13. Telephone and Fax Numbers . . . . . . . . . . . . . . . . 9 2.14. Email String . . . . . . . . . . . . . . . . . . . . . . . 9 2.15. Uniform Resource Locator strings . . . . . . . . . . . . . 9 3. The IODEF Data Model . . . . . . . . . . . . . . . . . . . . . 9 3.1. IODEF-Document Class . . . . . . . . . . . . . . . . . . . 10 3.2. Incident Class . . . . . . . . . . . . . . . . . . . . . . 10 3.3. IncidentID Class . . . . . . . . . . . . . . . . . . . . . 14 3.4. AlternativeID Class . . . . . . . . . . . . . . . . . . . 14 3.5. RelatedActivity Class . . . . . . . . . . . . . . . . . . 15 3.6. AdditionalData Class . . . . . . . . . . . . . . . . . . . 16 3.7. Contact Class . . . . . . . . . . . . . . . . . . . . . . 18 3.7.1. RegistryHandle Class . . . . . . . . . . . . . . . . . 21 3.7.2. PostalAddress Class . . . . . . . . . . . . . . . . . 22 3.7.3. Email Class . . . . . . . . . . . . . . . . . . . . . 22 3.7.4. Telephone and Fax Classes . . . . . . . . . . . . . . 23 3.8. Time Classes . . . . . . . . . . . . . . . . . . . . . . . 23 3.8.1. StartTime . . . . . . . . . . . . . . . . . . . . . . 24 3.8.2. EndTime . . . . . . . . . . . . . . . . . . . . . . . 24 3.8.3. DetectTime . . . . . . . . . . . . . . . . . . . . . . 24 3.8.4. ReportTime . . . . . . . . . . . . . . . . . . . . . . 24 3.8.5. DateTime . . . . . . . . . . . . . . . . . . . . . . . 24 3.9. Method Class . . . . . . . . . . . . . . . . . . . . . . . 24 3.9.1. Reference Class . . . . . . . . . . . . . . . . . . . 25 3.10. Assessment Class . . . . . . . . . . . . . . . . . . . . . 25 3.10.1. Impact Class . . . . . . . . . . . . . . . . . . . . . 27 3.10.2. TimeImpact Class . . . . . . . . . . . . . . . . . . . 29 3.10.3. MonetaryImpact Class . . . . . . . . . . . . . . . . . 30 3.10.4. Confidence Class . . . . . . . . . . . . . . . . . . . 31 3.11. History Class . . . . . . . . . . . . . . . . . . . . . . 32 3.11.1. HistoryItem Class . . . . . . . . . . . . . . . . . . 33 3.12. EventData Class . . . . . . . . . . . . . . . . . . . . . 34 3.12.1. Relating the Incident and EventData Classes . . . . . 36 3.12.2. Cardinality of EventData . . . . . . . . . . . . . . . 37 3.13. Expectation Class . . . . . . . . . . . . . . . . . . . . 37 3.14. Flow Class . . . . . . . . . . . . . . . . . . . . . . . . 40 3.15. System Class . . . . . . . . . . . . . . . . . . . . . . . 40 3.16. Node Class . . . . . . . . . . . . . . . . . . . . . . . . 42 3.16.1. Counter Class . . . . . . . . . . . . . . . . . . . . 43 3.16.2. Address Class . . . . . . . . . . . . . . . . . . . . 45 3.16.3. NodeRole Class . . . . . . . . . . . . . . . . . . . . 46 3.17. Service Class . . . . . . . . . . . . . . . . . . . . . . 48 3.17.1. Application Class . . . . . . . . . . . . . . . . . . 50 3.18. OperatingSystem Class . . . . . . . . . . . . . . . . . . 51 3.19. Record Class . . . . . . . . . . . . . . . . . . . . . . . 51
3.19.1. RecordData Class . . . . . . . . . . . . . . . . . . . 51 3.19.2. RecordPattern Class . . . . . . . . . . . . . . . . . 53 3.19.3. RecordItem Class . . . . . . . . . . . . . . . . . . . 54 4. Processing Considerations . . . . . . . . . . . . . . . . . . 54 4.1. Encoding . . . . . . . . . . . . . . . . . . . . . . . . . 54 4.2. IODEF Namespace . . . . . . . . . . . . . . . . . . . . . 55 4.3. Validation . . . . . . . . . . . . . . . . . . . . . . . . 55 5. Extending the IODEF . . . . . . . . . . . . . . . . . . . . . 56 5.1. Extending the Enumerated Values of Attributes . . . . . . 56 5.2. Extending Classes . . . . . . . . . . . . . . . . . . . . 57 6. Internationalization Issues . . . . . . . . . . . . . . . . . 59 7. Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 7.1. Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 7.2. Reconnaissance . . . . . . . . . . . . . . . . . . . . . . 61 7.3. Bot-Net Reporting . . . . . . . . . . . . . . . . . . . . 63 7.4. Watch List . . . . . . . . . . . . . . . . . . . . . . . . 65 8. The IODEF Schema . . . . . . . . . . . . . . . . . . . . . . . 66 9. Security Considerations . . . . . . . . . . . . . . . . . . . 87 10. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 88 11. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 88 12. References . . . . . . . . . . . . . . . . . . . . . . . . . . 89 12.1. Normative References . . . . . . . . . . . . . . . . . . . 89 12.2. Informative References . . . . . . . . . . . . . . . . . . 90
Organizations require help from other parties to mitigate malicious activity targeting their network and to gain insight into potential threats. This coordination might entail working with an ISP to filter attack traffic, contacting a remote site to take down a bot-network, or sharing watch-lists of known malicious IP addresses in a consortium.
組織は、ネットワークをターゲットにした悪意のある活動を緩和し、潜在的な脅威に関する洞察を得るために、他の関係者の支援を必要とします。この調整には、ISPと協力して攻撃トラフィックをフィルタリングしたり、リモートサイトに連絡してボットネットワークを倒したり、コンソーシアムで既知の悪意のあるIPアドレスの時計リストを共有したりすることを伴う場合があります。
The Incident Object Description Exchange Format (IODEF) is a format for representing computer security information commonly exchanged between Computer Security Incident Response Teams (CSIRTs). It provides an XML representation for conveying incident information across administrative domains between parties that have an operational responsibility of remediation or a watch-and-warning over a defined constituency. The data model encodes information about hosts, networks, and the services running on these systems; attack methodology and associated forensic evidence; impact of the activity; and limited approaches for documenting workflow.
インシデントオブジェクト説明Exchange Format(IODEF)は、コンピューターセキュリティインシデント対応チーム(CSIRTS)間で一般的に交換されるコンピューターセキュリティ情報を表すための形式です。これは、修復の運用上の責任を負っている当事者間で行政ドメイン間でインシデント情報を伝えるためのXML表現を提供し、定義された選挙区に対する監視と警戒を提供します。データモデルは、これらのシステムで実行されているホスト、ネットワーク、およびサービスに関する情報をエンコードします。攻撃方法と関連する法医学的証拠。アクティビティの影響;ワークフローを文書化するための限られたアプローチ。
The overriding purpose of the IODEF is to enhance the operational capabilities of CSIRTs. Community adoption of the IODEF provides an improved ability to resolve incidents and convey situational awareness by simplifying collaboration and data sharing. This structured format provided by the IODEF allows for:
IODEFの最優先の目的は、CSIRTの運用機能を強化することです。IODEFのコミュニティの採用は、コラボレーションとデータ共有を簡素化することにより、インシデントを解決し、状況認識を伝える改善された能力を提供します。IODEFによって提供されるこの構造化された形式は、次のことを許可します。
o increased automation in processing of incident data, since the resources of security analysts to parse free-form textual documents will be reduced;
o 自由形式のテキストドキュメントを解析するセキュリティアナリストのリソースが削減されるため、インシデントデータの処理における自動化の増加。
o decreased effort in normalizing similar data (even when highly structured) from different sources; and
o 異なるソースからの(高度に構造化されている場合でも)同様のデータを正常化する努力の減少。と
o a common format on which to build interoperable tools for incident handling and subsequent analysis, specifically when data comes from multiple constituencies.
o 特にデータが複数の選挙区からデータが届く場合、インシデント処理とその後の分析のための相互運用可能なツールを構築するための共通形式。
Coordinating with other CSIRTs is not strictly a technical problem. There are numerous procedural, trust, and legal considerations that might prevent an organization from sharing information. The IODEF does not attempt to address them. However, operational implementations of the IODEF will need to consider this broader context.
他のCSIRTとの調整は、厳密に技術的な問題ではありません。組織が情報を共有することを妨げる可能性のある手続き、信頼、および法的考慮事項が数多くあります。IODEFはそれらに対処しようとしません。ただし、IODEFの運用実装では、この広範なコンテキストを考慮する必要があります。
Sections 3 and 8 specify the IODEF data model with text and an XML schema. The types used by the data model are covered in Section 2. Processing considerations, the handling of extensions, and internationalization issues related to the data model are covered in Sections 4, 5, and 6, respectively. Examples are listed in Section 7. Section 1 provides the background for the IODEF, and Section 9 documents the security considerations.
セクション3および8テキストとXMLスキーマを使用したIODEFデータモデルを指定します。データモデルで使用されるタイプは、セクション2で説明されています。データモデルに関連する考慮事項、拡張の取り扱い、および国際化の問題については、それぞれセクション4、5、および6で説明します。例については、セクション7にリストされています。セクション1には、IODEFの背景を説明し、セクション9でセキュリティに関する考慮事項を記載しています。
The key words "MUST," "MUST NOT," "REQUIRED," "SHALL," "SHALL NOT," "SHOULD," "SHOULD NOT," "RECOMMENDED," "MAY," and "OPTIONAL" in this document are to be interpreted as described in RFC2119 [6].
「必須」、「必須」、「必須」、「必須」、「しなければならない」、「そうしない」、「そうは思わない」、「はらない」、「推奨」、「5月」、「オプション」RFC2119 [6]に記載されているように解釈される。
Definitions for some of the common computer security-related terminology used in this document can be found in Section 2 of [16].
このドキュメントで使用されている一般的なコンピューターセキュリティ関連の用語のいくつかの定義は、[16]のセクション2に記載されています。
The normative IODEF data model is specified with the text in Section 3 and the XML schema in Section 8. To help in the understanding of the data elements, Section 3 also depicts the underlying information model using Unified Modeling Language (UML). This abstract presentation of the IODEF is not normative.
Normative IODEFデータモデルは、セクション3のテキストとセクション8のXMLスキーマで指定されています。データ要素の理解を支援するために、セクション3は、統一モデリング言語(UML)を使用した基礎となる情報モデルも示しています。IODEFのこの抽象的なプレゼンテーションは規範的ではありません。
For clarity in this document, the term "XML document" will be used when referring generically to any instance of an XML document. The term "IODEF document" will be used to refer to specific elements and attributes of the IODEF schema. The terms "class" and "element" will be used interchangeably to reference either the corresponding data element in the information or data models, respectively.
このドキュメントで明確にするために、「XMLドキュメント」という用語は、XMLドキュメントの任意のインスタンスを一般的に参照するときに使用されます。「IODEFドキュメント」という用語は、IODEFスキーマの特定の要素と属性を参照するために使用されます。「クラス」と「要素」という用語は、それぞれ情報モデルの対応するデータ要素またはデータモデルのいずれかをそれぞれ参照するために交換可能に使用されます。
The IODEF data model is a data representation that provides a framework for sharing information commonly exchanged by CSIRTs about computer security incidents. A number of considerations were made in the design of the data model.
IODEFデータモデルは、コンピューターセキュリティインシデントに関するCSIRTによって一般的に交換される情報を共有するためのフレームワークを提供するデータ表現です。データモデルの設計には多くの考慮事項がありました。
o The data model serves as a transport format. Therefore, its specific representation is not the optimal representation for on-disk storage, long-term archiving, or in-memory processing.
o データモデルは、トランスポート形式として機能します。したがって、その特定の表現は、ディスク上のストレージ、長期アーカイブ、またはメモリ内処理の最適な表現ではありません。
o As there is no precise widely agreed upon definition for an incident, the data model does not attempt to dictate one through its implementation. Rather, a broad understanding is assumed in the IODEF that is flexible enough to encompass most operators.
o インシデントの定義に広く合意された正確な合意がないため、データモデルは実装を通じて1つを指示しようとはしません。むしろ、ほとんどのオペレーターを包含するのに十分な柔軟性があるIODEFでは、幅広い理解が想定されています。
o Describing an incident for all definitions would require an extremely complex data model. Therefore, the IODEF only intends to be a framework to convey commonly exchanged incident information. It ensures that there are ample mechanisms for extensibility to support organization-specific information, and techniques to reference information kept outside of the explicit data model.
o すべての定義のインシデントを説明するには、非常に複雑なデータモデルが必要です。したがって、IODEFは、一般的に交換されるインシデント情報を伝えるためのフレームワークになることのみを意図しています。これにより、組織固有の情報をサポートするための拡張性のための十分なメカニズムと、明示的なデータモデルの外側に保持される情報を参照する手法が保証されます。
o The domain of security analysis is not fully standardized and must rely on free-form textual descriptions. The IODEF attempts to strike a balance between supporting this free-form content, while still allowing automated processing of incident information.
o セキュリティ分析のドメインは完全に標準化されておらず、自由形式のテキストの説明に依存する必要があります。IODEFは、インシデント情報の自動処理を許可しながら、このフリーフォームコンテンツをサポートすることとのバランスをとることを試みます。
o The IODEF is only one of several security relevant data representations being standardized. Attempts were made to ensure they were complimentary. The data model of the Intrusion Detection Message Exchange Format [17] influenced the design of the IODEF.
o IODEFは、標準化されているいくつかのセキュリティ関連のデータ表現の1つにすぎません。それらが無料であることを確認するために試みが行われました。侵入検知メッセージ交換形式[17]のデータモデルは、IODEFの設計に影響を与えました。
Further discussion of the desirable properties for the IODEF can be found in the Requirements for the Format for Incident Information Exchange (FINE) [16].
IODEFの望ましい特性のさらなる議論は、インシデント情報交換(FINC)の形式の要件に記載されています[16]。
The IODEF implementation is specified as an Extensible Markup Language (XML) [1] Schema [2] in Section 8.
IODEF実装は、セクション8の拡張可能なマークアップ言語(XML)[1]スキーマ[2]として指定されています。
Implementing the IODEF in XML provides numerous advantages. Its extensibility makes it ideal for specifying a data encoding framework that supports various character encodings. Likewise, the abundance of related technologies (e.g., XSL, XPath, XML-Signature) makes for simplified manipulation. However, XML is fundamentally a text representation, which makes it inherently inefficient when binary data must be embedded or large volumes of data must be exchanged.
XMLにIODEFを実装すると、多くの利点があります。その拡張性により、さまざまな文字エンコーディングをサポートするデータエンコーディングフレームワークを指定するのに理想的です。同様に、関連するテクノロジーの豊富さ(XSL、XPath、XML-Signatureなど)は、単純化された操作になります。ただし、XMLは基本的にテキスト表現であるため、バイナリデータを組み込み、大量のデータを交換する必要がある場合に本質的に非効率的になります。
The various data elements of the IODEF data model are typed. This section discusses these data types. When possible, native Schema data types were adopted, but for more complicated formats, regular expressions (see Appendix F of [3]) or external standards were used.
IODEFデータモデルのさまざまなデータ要素が入力されます。このセクションでは、これらのデータ型について説明します。可能な場合、ネイティブスキーマデータ型が採用されましたが、より複雑な形式では、正規表現([3]の付録Fを参照)または外部標準が使用されました。
An integer is represented by the INTEGER data type. Integer data MUST be encoded in Base 10.
整数は、整数データ型で表されます。整数データはベース10にエンコードする必要があります。
The INTEGER data type is implemented as an "xs:integer" [3] in the schema.
整数データ型は、スキーマで「xs:integer」[3]として実装されています。
Real (floating-point) attributes are represented by the REAL data type. Real data MUST be encoded in Base 10.
リアル(フローティングポイント)属性は、実際のデータ型で表されます。実際のデータはベース10にエンコードする必要があります。
The REAL data type is implemented as an "xs:float" [3] in the schema.
実際のデータ型は、スキーマの「xs:float」[3]として実装されています。
A single character is represented by the CHARACTER data type. A character string is represented by the STRING data type. Special characters must be encoded using entity references. See Section 4.1.
単一の文字は、文字データ型で表されます。文字文字列は、文字列データ型で表されます。特殊文字は、エンティティ参照を使用してエンコードする必要があります。セクション4.1を参照してください。
The CHARACTER and STRING data types are implement as an "xs:string" [3] in the schema.
文字と文字列のデータ型は、スキーマの「xs:string」[3]として実装されています。
STRING data that represents multi-character attributes in a language different than the default encoding of the document is of the ML_STRING data type.
ドキュメントのデフォルトエンコードとは異なる言語でマルチキャラクター属性を表す文字列データは、ML_STRINGデータ型です。
The ML_STRING data type is implemented as an "iodef:MLStringType" in the schema.
ML_STRINGデータ型は、スキーマの「IODEF:MLSTRINGTYPE」として実装されています。
A binary octet is represented by the BYTE data type. A sequence of binary octets is represented by the BYTE[] data type. These octets are encoded using base64.
バイナリオクテットは、バイトデータ型で表されます。バイナリオクテットのシーケンスは、バイト[]データ型で表されます。これらのオクテットは、base64を使用してエンコードされています。
The BYTE data type is implemented as an "xs:base64Binary" [3] in the schema.
バイトデータ型は、スキーマの「xs:base64binary」[3]として実装されています。
A binary octet is represented by the HEXBIN (and HEXBIN[]) data type. This octet is encoded as a character tuple consisting of two hexadecimal digits.
バイナリオクテットは、ヘクスビン(およびヘクスビン[])データ型で表されます。このオクテットは、2つの16進数桁で構成されるキャラクターのタプルとしてエンコードされています。
The HEXBIN data type is implemented as an "xs:hexBinary" [3] in the schema.
Hexbinデータ型は、スキーマの「XS:Hexbinary」[3]として実装されています。
Enumerated types are represented by the ENUM data type, and consist of an ordered list of acceptable values. Each value has a representative keyword. Within the IODEF schema, the enumerated type keywords are used as attribute values.
列挙されたタイプは、列挙データ型で表され、許容値の順序付けられたリストで構成されています。各値には、代表的なキーワードがあります。IODEFスキーマ内では、列挙された型キーワードが属性値として使用されます。
The ENUM data type is implemented as a series of "xs:NMTOKEN" in the schema.
列挙データ型は、スキーマに一連の「XS:NMTOKEN」として実装されています。
Date-time strings are represented by the DATETIME data type. Each date-time string identifies a particular instant in time; ranges are not supported.
日付の文字列は、DateTimeデータ型で表されます。各日付の文字列は、特定の瞬間を識別します。範囲はサポートされていません。
Date-time strings are formatted according to a subset of ISO 8601: 2000 [13] documented in RFC 3339 [12].
日付の文字列は、RFC 3339 [12]で文書化されたISO 8601:2000 [13]のサブセットに従ってフォーマットされます。
The DATETIME data type is implemented as an "xs:dateTime" [3] in the schema.
DateTimeデータ型は、スキーマで「XS:DateTime」[3]として実装されています。
A timezone offset from UTC is represented by the TIMEZONE data type. It is formatted according to the following regular expression: "Z|[\+\-](0[0-9]|1[0-4]):[0-5][0-9]".
UTCからのタイムゾーンオフセットは、TimeZoneデータ型で表されます。次の正規表現に従ってフォーマットされます:「z | [\ \ - ](0 [0-9] | 1 [0-4]):[0-5] [0-9]」。
The TIMEZONE data type is implemented as an "xs:string" with a regular expression constraint in the schema. This regular expression is identical to the timezone representation implemented in an "xs: dateTime".
TimeZoneデータ型は、スキーマに正規式の制約を伴う「XS:String」として実装されています。この正規表現は、「XS:DateTime」で実装されたタイムゾーン表現と同一です。
A list of network ports are represented by the PORTLIST data type. A PORTLIST consists of a comma-separated list of numbers and ranges (N-M means ports N through M, inclusive). It is formatted according to the following regular expression: "\d+(\-\d+)?(,\d+(\-\d+)?)*". For example, "2,5-15,30,32,40-50,55-60".
ネットワークポートのリストは、ポートリストデータ型で表されます。ポートリストは、数値と範囲のコンマ分離されたリストで構成されています(N-Mは、ポートNからM、包括的)。次の正規表現に従ってフォーマットされます: "\ d(\ - \ d)?(、\ d(\ - \ d)?)*"。たとえば、「2,5-15,30,32,40-50,55-60」。
The PORTLIST data type is implemented as an "xs:string" with a regular expression constraint in the schema.
ポートリストのデータ型は、スキーマに正規式の制約を伴う「XS:文字列」として実装されています。
A postal address is represented by the POSTAL data type. This data type is an ML_STRING whose format is documented in Section 2.23 of RFC 4519 [10]. It defines a postal address as a free-form multi-line string separated by the "$" character.
郵便アドレスは、郵便データ型で表されます。このデータ型は、RFC 4519のセクション2.23にフォーマットが文書化されているML_STRINGです[10]。郵便アドレスを、「$」文字で区切られたフリーフォームのマルチライン文字列として定義します。
The POSTAL data type is implemented as an "xs:string" in the schema.
郵便データ型は、スキーマの「xs:string」として実装されています。
The name of an individual or organization is represented by the NAME data type. This data type is an ML_STRING whose format is documented in Section 2.3 of RFC 4519 [10].
個人または組織の名前は、名前データ型で表されます。このデータ型は、RFC 4519のセクション2.3 [10]にフォーマットが文書化されているML_STRINGです。
The NAME data type is implemented as an "xs:string" in the schema.
名前データ型は、スキーマの「xs:string」として実装されています。
A telephone or fax number is represented by the PHONE data type. The format of the PHONE data type is documented in Section 2.35 of RFC 4519 [10].
電話またはファックス番号は、電話データ型で表されます。電話データ型の形式は、RFC 4519 [10]のセクション2.35に文書化されています。
The PHONE data type is implemented as an "xs:string" in the schema.
電話データ型は、スキーマの「XS:String」として実装されています。
An email address is represented by the EMAIL data type. The format of the EMAIL data type is documented in Section 3.4.1 RFC 2822 [11]
メールアドレスは、電子メールデータ型で表されます。電子メールデータ型の形式は、セクション3.4.1 RFC 2822 [11]に文書化されています。
The EMAIL data type is implemented as an "xs:string" in the schema.
電子メールデータ型は、スキーマの「xs:string」として実装されています。
A uniform resource locator (URL) is represented by the URL data type. The format of the URL data type is documented in RFC 2396 [8].
均一なリソースロケーター(URL)は、URLデータ型で表されます。URLデータ型の形式は、RFC 2396 [8]で文書化されています。
The URL data type is implemented as an "xs:anyURI" in the schema.
URLデータ型は、スキーマの「xs:Anyuri」として実装されています。
In this section, the individual components of the IODEF data model will be discussed in detail. For each class, the semantics will be described and the relationship with other classes will be depicted with UML. When necessary, specific comments will be made about corresponding definition in the schema in Section 8
このセクションでは、IODEFデータモデルの個々のコンポーネントについて詳しく説明します。各クラスについて、セマンティクスが説明され、他のクラスとの関係がUMLに描かれます。必要に応じて、セクション8のスキーマの対応する定義について特定のコメントがなされます
The IODEF-Document class is the top level class in the IODEF data model. All IODEF documents are an instance of this class.
IODEF-Documentクラスは、IODEFデータモデルのトップレベルクラスです。すべてのIODEFドキュメントは、このクラスのインスタンスです。
+-----------------+ | IODEF-Document | +-----------------+ | STRING version |<>--{1..*}--[ Incident ] | ENUM lang | | STRING formatid | +-----------------+
Figure 1: IODEF-Document Class
図1:iodef-documentクラス
The aggregate class that constitute IODEF-Document is:
IODEF-Documentを構成する集約クラスは次のとおりです。
Incident One or more. The information related to a single incident.
インシデント1つ以上。単一のインシデントに関連する情報。
The IODEF-Document class has three attributes:
IODEF-Documentクラスには3つの属性があります。
version Required. STRING. The IODEF specification version number to which this IODEF document conforms. The value of this attribute MUST be "1.00"
必要なバージョン。弦。このIODEFドキュメントが適合するIODEF仕様バージョン番号。この属性の値は「1.00」でなければなりません
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
ラングが必要です。列挙。「XS:言語」の定義によって制約されているRFC 4646 [7]あたりの有効な言語コード。このコードの解釈は、セクション6で説明されています。
formatid Optional. STRING. A free-form string to convey processing instructions to the recipient of the document. Its semantics must be negotiated out-of-band.
Formatidオプション。弦。ドキュメントの受信者に処理手順を伝えるためのフリーフォーム文字列。そのセマンティクスは、帯域外に交渉する必要があります。
Every incident is represented by an instance of the Incident class. This class provides a standardized representation for commonly exchanged incident data.
すべてのインシデントは、インシデントクラスのインスタンスで表されます。このクラスは、一般的に交換されるインシデントデータの標準化された表現を提供します。
+--------------------+ | Incident | +--------------------+ | ENUM purpose |<>----------[ IncidentID ] | STRING ext-purpose |<>--{0..1}--[ AlternativeID ] | ENUM lang |<>--{0..1}--[ RelatedActivity ] | ENUM restriction |<>--{0..1}--[ DetectTime ] | |<>--{0..1}--[ StartTime ] | |<>--{0..1}--[ EndTime ] | |<>----------[ ReportTime ] | |<>--{0..*}--[ Description ] | |<>--{1..*}--[ Assessment ] | |<>--{0..*}--[ Method ] | |<>--{1..*}--[ Contact ] | |<>--{0..*}--[ EventData ] | |<>--{0..1}--[ History ] | |<>--{0..*}--[ AdditionalData ] +--------------------+
Figure 2: The Incident Class
図2:インシデントクラス
The aggregate classes that constitute Incident are:
インシデントを構成する集計クラスは次のとおりです。
IncidentID One. An incident tracking number assigned to this incident by the CSIRT that generated the IODEF document.
Incisid One。IODEFドキュメントを生成したCSIRTによってこのインシデントに割り当てられたインシデント追跡番号。
AlternativeID Zero or one. The incident tracking numbers used by other CSIRTs to refer to the incident described in the document.
AlternativeID Zeroまたは1。インシデントトラッキング番号は、文書に記載されているインシデントを参照するために他のCSIRTによって使用されます。
RelatedActivity Zero or one. The incident tracking numbers of related incidents.
関連するアクティビティゼロまたは1。関連インシデントのインシデント追跡数。
DetectTime Zero or one. The time the incident was first detected.
Time Zeroまたは1を検出します。インシデントが最初に検出された時。
StartTime Zero or one. The time the incident started.
開始時刻ゼロまたは1。事件が始まった時。
EndTime Zero or one. The time the incident ended.
エンドタイムゼロまたは1。事件が終了した時。
ReportTime One. The time the incident was reported.
レポートタイム1。事件が報告された時。
Description Zero or more. ML_STRING. A free-form textual description of the incident.
説明ゼロ以上。ML_STRING。インシデントの自由形式のテキスト説明。
Assessment One or more. A characterization of the impact of the incident.
1つ以上の評価。インシデントの影響の特性評価。
Method Zero or more. The techniques used by the intruder in the incident.
メソッドゼロ以上。事件で侵入者が使用するテクニック。
Contact One or more. Contact information for the parties involved in the incident.
1つ以上に連絡してください。事件に関与する当事者の連絡先情報。
EventData Zero or more. Description of the events comprising the incident.
EventData Zero以上。インシデントを含むイベントの説明。
History Zero or one. A log of significant events or actions that occurred during the course of handling the incident.
履歴ゼロまたは1。インシデントの処理中に発生した重要なイベントまたはアクションのログ。
AdditionalData Zero or more. Mechanism by which to extend the data model.
追加のゼロ以上。データモデルを拡張するメカニズム。
The Incident class has four attributes:
インシデントクラスには4つの属性があります。
purpose Required. ENUM. The purpose attribute represents the reason why the IODEF document was created. It is closely related to the Expectation class (Section 3.13). This attribute is defined as an enumerated list:
目的が必要です。列挙。目的属性は、IODEFドキュメントが作成された理由を表します。これは、期待クラス(セクション3.13)と密接に関連しています。この属性は、列挙されたリストとして定義されます。
1. traceback. The document was sent for trace-back purposes.
1. トレースバック。このドキュメントは、トレースバックの目的で送信されました。
2. mitigation. The document was sent to request aid in mitigating the described activity.
2. 緩和。文書は、説明されたアクティビティの緩和に援助を要求するために送信されました。
3. reporting. The document was sent to comply with reporting requirements.
3. 報告。このドキュメントは、報告要件に準拠するために送信されました。
4. other. The document was sent for purposes specified in the Expectation class.
4. 他の。この文書は、期待クラスで指定された目的のために送信されました。
5. ext-value. An escape value used to extend this attribute. See Section 5.1.
5. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-purpose Optional. STRING. A means by which to extend the purpose attribute. See Section 5.1.
延長オプション。弦。目的属性を拡張する手段。セクション5.1を参照してください。
lang Optional. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
オプションのラング。列挙。「XS:言語」の定義によって制約されているRFC 4646 [7]あたりの有効な言語コード。このコードの解釈は、セクション6で説明されています。
restriction Optional. ENUM. This attribute indicates the disclosure guidelines to which the sender expects the recipient to adhere for the information represented in this class and its children. This guideline provides no security since there are no specified technical means to ensure that the recipient of the document handles the information as the sender requested.
制限オプション。列挙。この属性は、送信者が受信者がこのクラスとその子供に表されている情報を遵守することを期待する開示ガイドラインを示します。このガイドラインは、ドキュメントの受信者が送信者が要求したように情報を処理することを保証するための特定の技術的手段がないため、セキュリティを提供しません。
The value of this attribute is logically inherited by the children of this class. That is to say, the disclosure rules applied to this class, also apply to its children.
この属性の値は、このクラスの子供たちによって論理的に継承されます。つまり、このクラスに適用される開示規則も子供にも適用されます。
It is possible to set a granular disclosure policy, since all of the high-level classes (i.e., children of the Incident class) have a restriction attribute. Therefore, a child can override the guidelines of a parent class, be it to restrict or relax the disclosure rules (e.g., a child has a weaker policy than an ancestor; or an ancestor has a weak policy, and the children selectively apply more rigid controls). The implicit value of the restriction attribute for a class that did not specify one can be found in the closest ancestor that did specify a value.
すべての高レベルクラス(つまり、インシデントクラスの子供)には制限属性があるため、粒状開示ポリシーを設定することができます。したがって、子どもは、開示ルールを制限または緩和するために、親クラスのガイドラインをオーバーライドできます(たとえば、子供は祖先よりも弱いポリシーを持っています。コントロール)。指定しなかったクラスの制限属性の暗黙の値は、値を指定した最も近い祖先に見つけることができます。
This attribute is defined as an enumerated value with a default value of "private". Note that the default value of the restriction attribute is only defined in the context of the Incident class. In other classes where this attribute is used, no default is specified.
この属性は、「プライベート」のデフォルト値を持つ列挙値として定義されます。制限属性のデフォルト値は、インシデントクラスのコンテキストでのみ定義されることに注意してください。この属性が使用される他のクラスでは、デフォルトは指定されていません。
1. public. There are no restrictions placed in the information.
1. 公共。情報には制限がありません。
2. need-to-know. The information may be shared with other parties that are involved in the incident as determined by the recipient of this document (e.g., multiple victim sites can be informed of each other).
2. 知っておく必要があります。情報は、このドキュメントの受信者によって決定された事件に関与している他の当事者と共有される場合があります(たとえば、複数の被害者サイトにお互いを通知することができます)。
3. private. The information may not be shared.
3. プライベート。情報が共有されない場合があります。
4. default. The information can be shared according to an information disclosure policy pre-arranged by the communicating parties.
4. デフォルト。情報は、通信当事者によって事前に配置された情報開示ポリシーに従って共有できます。
The IncidentID class represents an incident tracking number that is unique in the context of the CSIRT and identifies the activity characterized in an IODEF Document. This identifier would serve as an index into the CSIRT incident handling system. The combination of the name attribute and the string in the element content MUST be a globally unique identifier describing the activity. Documents generated by a given CSIRT MUST NOT reuse the same value unless they are referencing the same incident.
IncisisIDクラスは、CSIRTのコンテキストで一意のインシデント追跡番号を表し、IODEFドキュメントで特徴付けられるアクティビティを識別します。この識別子は、CSIRTインシデント処理システムへのインデックスとして機能します。要素コンテンツの名前属性と文字列の組み合わせは、アクティビティを説明するグローバルに一意の識別子でなければなりません。特定のCSIRTによって生成されたドキュメントは、同じインシデントを参照していない限り、同じ値を再利用してはなりません。
+------------------+ | IncidentID | +------------------+ | STRING | | | | STRING name | | STRING instance | | ENUM restriction | +------------------+
Figure 3: The IncidentID Class
図3:IncissIDクラス
The IncidentID class has three attributes:
IncisisIDクラスには3つの属性があります。
name Required. STRING. An identifier describing the CSIRT that created the document. In order to have a globally unique CSIRT name, the fully qualified domain name associated with the CSIRT MUST be used.
名前が必要です。弦。ドキュメントを作成したCSIRTを説明する識別子。グローバルに一意のCSIRT名を持つには、CSIRTに関連付けられた完全に適格なドメイン名を使用する必要があります。
instance Optional. STRING. An identifier referencing a subset of the named incident.
インスタンスオプション。弦。指定されたインシデントのサブセットを参照する識別子。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The AlternativeID class lists the incident tracking numbers used by CSIRTs, other than the one generating the document, to refer to the identical activity described the IODEF document. A tracking number listed as an AlternativeID references the same incident detected by another CSIRT. The incident tracking numbers of the CSIRT that generated the IODEF document should never be considered an AlternativeID.
AlternativeIDクラスには、IODEFドキュメントを参照するために、ドキュメントを生成するもの以外のCSIRTが使用するインシデントトラッキング番号をリストします。代替IDとしてリストされている追跡番号は、別のCSIRTによって検出されたのと同じインシデントを参照します。IODEFドキュメントを生成したCSIRTのインシデントトラッキング番号は、代替IDと見なされるべきではありません。
+------------------+ | AlternativeID | +------------------+ | ENUM restriction |<>--{1..*}--[ IncidentID ] | | +------------------+
Figure 4: The AlternativeID Class
図4:AlternativeIDクラス
The aggregate class that constitutes AlternativeID is:
代替品を構成する集約クラスは次のとおりです。
IncidentID One or more. The incident tracking number of another CSIRT.
1つ以上のincissid。別のcsirtのトラッキング番号。
The AlternativeID class has one attribute:
AlternativeIDクラスには1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The RelatedActivity class lists either incident tracking numbers of incidents or URLs (not both) that refer to activity related to the one described in the IODEF document. These references may be to local incident tracking numbers or to those of other CSIRTs.
関連するアクティビティクラスには、IODEFドキュメントで説明されているアクティビティに関連するアクティビティを指すインシデントトラッキング数またはURL(両方ではない)のいずれかをリストします。これらの参照は、ローカルインシデント追跡番号または他のcsirtの数字に対するものです。
The specifics of how a CSIRT comes to believe that two incidents are related are considered out of scope.
CSIRTが2つのインシデントが関連していると信じるようになる方法の詳細は、範囲外であると見なされます。
+------------------+ | RelatedActivity | +------------------+ | ENUM restriction |<>--{0..*}--[ IncidentID ] | |<>--{0..*}--[ URL ] +------------------+
Figure 5: RelatedActivity Class
図5:関連するアクティビティクラス
The aggregate classes that constitutes RelatedActivity are:
関連するアクティブを構成する集計クラスは次のとおりです。
IncidentID One or more. The incident tracking number of a related incident.
1つ以上のincissid。関連するインシデントの数を追跡するインシデント。
URL One or more. URL. A URL to activity related to this incident.
1つ以上のURL。URL。この事件に関連する活動へのURL。
The RelatedActivity class has one attribute:
関連するアクティビティクラスには1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The AdditionalData class serves as an extension mechanism for information not otherwise represented in the data model. For relatively simple information, atomic data types (e.g., integers, strings) are provided with a mechanism to annotate their meaning. The class can also be used to extend the data model (and the associated Schema) to support proprietary extensions by encapsulating entire XML documents conforming to another Schema (e.g., IDMEF). A detailed discussion for extending the data model and the schema can be found in Section 5.
追加のDataクラスは、データモデルに別の方法で表されない情報の拡張メカニズムとして機能します。比較的単純な情報の場合、原子データ型(整数、文字列など)には、その意味に注釈を付けるメカニズムが提供されます。また、クラスを使用して、データモデル(および関連するスキーマ)を拡張して、別のスキーマ(IDMEFなど)に準拠しているXMLドキュメント全体をカプセル化することにより、独自の拡張機能をサポートすることもできます。データモデルとスキーマを拡張するための詳細な説明は、セクション5に記載されています。
Unlike XML, which is self-describing, atomic data must be documented to convey its meaning. This information is described in the 'meaning' attribute. Since these description are outside the scope of the specification, some additional coordination may be required to ensure that a recipient of a document using the AdditionalData classes can make sense of the custom extensions.
自己説明のXMLとは異なり、その意味を伝えるために原子データを文書化する必要があります。この情報は、「意味」属性で説明されています。これらの説明は仕様の範囲外であるため、追加のDATAクラスを使用してドキュメントの受信者がカスタム拡張機能を理解できるようにするために、いくつかの追加調整が必要になる場合があります。
+------------------+ | AdditionalData | +------------------+ | ANY | | | | ENUM dtype | | STRING ext-dtype | | STRING meaning | | STRING formatid | | ENUM restriction | +------------------+
Figure 6: The AdditionalData Class
図6:追加Dataクラス
The AdditionalData class has five attributes:
追加のDataクラスには5つの属性があります。
dtype Required. ENUM. The data type of the element content. The permitted values for this attribute are shown below. The default value is "string".
DTYPEが必要です。列挙。要素コンテンツのデータ型。この属性の許可された値を以下に示します。デフォルト値は「文字列」です。
1. boolean. The element content is of type BOOLEAN.
1. ブール。要素コンテンツは型ブール値です。
2. byte. The element content is of type BYTE.
2. バイト。要素コンテンツはタイプバイトです。
3. character. The element content is of type CHARACTER.
3. キャラクター。要素コンテンツはタイプの文字です。
4. date-time. The element content is of type DATETIME.
4. 日付時刻。要素コンテンツはタイプデータタイムです。
5. integer. The element content is of type INTEGER.
5. 整数。要素コンテンツは整数型です。
6. portlist. The element content is of type PORTLIST.
6. ポートリスト。要素コンテンツはタイプポートリストです。
7. real. The element content is of type REAL.
7. 本物。要素コンテンツはタイプの本物です。
8. string. The element content is of type STRING.
8. 弦。要素コンテンツは型文字列です。
9. file. The element content is a base64 encoded binary file encoded as a BYTE[] type.
9. ファイル。要素コンテンツは、バイト[]タイプとしてエンコードされたbase64エンコードされたバイナリファイルです。
10. frame. The element content is a layer-2 frame encoded as a HEXBIN type.
10. フレーム。要素コンテンツは、ヘクスビン型としてエンコードされたレイヤー2フレームです。
11. packet. The element content is a layer-3 packet encoded as a HEXBIN type.
11. パケット。要素コンテンツは、ヘクスビン型としてエンコードされたレイヤー-3パケットです。
12. ipv4-packet. The element content is an IPv4 packet encoded as a HEXBIN type.
12. IPv4-パケット。要素コンテンツは、ヘクスビン型としてエンコードされたIPv4パケットです。
13. ipv6-packet. The element content is an IPv6 packet encoded as a HEXBIN type.
13. IPv6-パケット。要素コンテンツは、ヘキシビンタイプとしてエンコードされたIPv6パケットです。
14. path. The element content is a file-system path encoded as a STRING type.
14. 道。要素コンテンツは、文字列型としてエンコードされたファイルシステムパスです。
15. url. The element content is of type URL.
15. URL。要素コンテンツは型URLです。
16. csv. The element content is a common separated value (CSV) list per Section 2 of [20] encoded as a STRING type.
16. CSV。要素コンテンツは、文字列型としてエンコードされた[20]のセクション2ごとに共通の分離値(CSV)リストです。
17. winreg. The element content is a Windows registry key encoded as a STRING type.
17. Winreg。要素コンテンツは、文字列型としてエンコードされたWindowsレジストリキーです。
18. xml. The element content is XML (see Section 5).
18. XML。要素コンテンツはXMLです(セクション5を参照)。
19. ext-value. An escape value used to extend this attribute. See Section 5.1.
19. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-dtype Optional. STRING. A means by which to extend the dtype attribute. See Section 5.1.
ext-DTYPEオプション。弦。DTYPE属性を拡張する手段。セクション5.1を参照してください。
meaning Optional. STRING. A free-form description of the element content.
オプションの意味。弦。要素コンテンツの自由形式の説明。
formatid Optional. STRING. An identifier referencing the format and semantics of the element content.
Formatidオプション。弦。要素コンテンツの形式とセマンティクスを参照する識別子。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The Contact class describes contact information for organizations and personnel involved in the incident. This class allows for the naming of the involved party, specifying contact information for them, and identifying their role in the incident.
連絡先クラスは、インシデントに関与する組織と担当者の連絡先情報について説明します。このクラスは、関係者の命名を可能にし、彼らの連絡先情報を指定し、事件における彼らの役割を特定します。
People and organizations are treated interchangeably as contacts; one can be associated with the other using the recursive definition of the class (the Contact class is aggregated into the Contact class). The 'type' attribute disambiguates the type of contact information being provided.
人と組織は、連絡先として交換可能に扱われます。一方は、クラスの再帰定義を使用して、もう一方に関連付けることができます(連絡先クラスは連絡先クラスに集約されます)。「タイプ」属性は、提供されている連絡先情報のタイプを明確にします。
The inheriting definition of Contact provides a way to relate information without requiring the explicit use of identifiers in the classes or duplication of data. A complete point of contact is derived by a particular traversal from the root Contact class to the leaf Contact class. As such, multiple points of contact might be specified in a single instance of a Contact class. Each child Contact class logically inherits contact information from its ancestors.
連絡先の継承定義は、クラス内の識別子の明示的な使用またはデータの複製を必要とせずに情報を関連付ける方法を提供します。完全な接触点は、ルート接触クラスから葉の接触クラスへの特定のトラバーサルによって導き出されます。そのため、連絡先クラスの単一のインスタンスで、複数の連絡先が指定される場合があります。各子供の連絡先クラスは、祖先からの連絡先情報を論理的に継承します。
+------------------+ | Contact | +------------------+ | ENUM role |<>--{0..1}--[ ContactName ] | STRING ext-role |<>--{0..*}--[ Description ] | ENUM type |<>--{0..*}--[ RegistryHandle ] | STRING ext-type |<>--{0..1}--[ PostalAddress ] | ENUM restriction |<>--{0..*}--[ Email ] | |<>--{0..*}--[ Telephone ] | |<>--{0..1}--[ Fax ] | |<>--{0..1}--[ Timezone ] | |<>--{0..*}--[ Contact ] | |<>--{0..*}--[ AdditionalData ] +------------------+
Figure 7: The Contact Class
図7:連絡先クラス
The aggregate classes that constitute the Contact class are:
連絡先クラスを構成する集約クラスは次のとおりです。
ContactName Zero or one. ML_STRING. The name of the contact. The contact may either be an organization or a person. The type attribute disambiguates the semantics.
Zeroまたは1つの連絡先。ML_STRING。連絡先の名前。連絡先は組織または人のいずれかです。型属性は、セマンティクスを除外します。
Description Zero or many. ML_STRING. A free-form description of this contact. In the case of a person, this is often the organizational title of the individual.
説明ゼロまたは多く。ML_STRING。この連絡先の自由形式の説明。人の場合、これは多くの場合、個人の組織的なタイトルです。
RegistryHandle Zero or many. A handle name into the registry of the contact.
レジストリハンドルゼロまたは多く。連絡先のレジストリへのハンドル名。
PostalAddress Zero or one. The postal address of the contact.
郵便放棄ゼロまたは1。連絡先の郵便アドレス。
Email Zero or many. The email address of the contact.
ゼロまたは多くの電子メールを送信します。連絡先のメールアドレス。
Telephone Zero or many. The telephone number of the contact.
電話ゼロまたは多く。連絡先の電話番号。
Fax Zero or one. The facsimile telephone number of the contact.
ファックスゼロまたは1。連絡先のファクシミリ電話番号。
Timezone Zero or one. TIMEZONE. The timezone in which the contact resides formatted according to Section 2.9.
タイムゾーンゼロまたは1。タイムゾーン。連絡先が存在するタイムゾーンは、セクション2.9に従ってフォーマットされています。
Contact Zero or many. A Contact instance contained within another Contact instance inherits the values of the parent(s). This recursive definition can be used to group common data pertaining to multiple points of contact and is especially useful when listing multiple contacts at the same organization.
ゼロまたは多くに連絡してください。別の連絡先インスタンスに含まれる連絡先インスタンスは、親の値を継承します。この再帰定義は、複数の連絡先に関連する共通データをグループ化するために使用でき、同じ組織に複数の連絡先をリストする場合に特に役立ちます。
AdditionalData Zero or many. A mechanism by which to extend the data model.
追加のゼロまたは多く。データモデルを拡張するメカニズム。
At least one of the aggregate classes MUST be present in an instance of the Contact class. This is not enforced in the IODEF schema as there is no simple way to accomplish it.
集約クラスの少なくとも1つは、連絡先クラスの例で存在する必要があります。IODEFスキーマでは、それを達成する簡単な方法がないため、これは強制されていません。
The Contact class has five attributes:
連絡先クラスには5つの属性があります。
role Required. ENUM. Indicates the role the contact fulfills. This attribute is defined as an enumerated list:
必要な役割。列挙。接触が果たす役割を示します。この属性は、列挙されたリストとして定義されます。
1. creator. The entity that generate the document.
1. 作成者。ドキュメントを生成するエンティティ。
2. admin. An administrative contact for a host or network.
2. 管理者。ホストまたはネットワークの管理上の連絡先。
3. tech. A technical contact for a host or network.
3. 技術。ホストまたはネットワークの技術的な連絡先。
4. irt. The CSIRT involved in handling the incident.
4. IRT。事件の処理に関与するCSIRT。
5. cc. An entity that is to be kept informed about the handling of the incident.
5. CC。インシデントの取り扱いについて知らされているエンティティ。
6. ext-value. An escape value used to extend this attribute. See Section 5.1.
6. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-role Optional. STRING. A means by which to extend the role attribute. See Section 5.1.
エクストロールオプション。弦。役割属性を拡張する手段。セクション5.1を参照してください。
type Required. ENUM. Indicates the type of contact being described. This attribute is defined as an enumerated list:
必要なタイプ。列挙。説明されている連絡先のタイプを示します。この属性は、列挙されたリストとして定義されます。
1. person. The information for this contact references an individual.
1. 人。この連絡先の情報は個人を参照しています。
2. organization. The information for this contact references an organization.
2. 組織。この連絡先の情報は、組織を参照しています。
3. ext-value. An escape value used to extend this attribute. See Section 5.1.
3. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
extタイプのオプション。弦。型属性を拡張する手段。セクション5.1を参照してください。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The RegistryHandle class represents a handle into an Internet registry or community-specific database. The handle is specified in the element content and the type attribute specifies the database.
レジストリハンドルクラスは、インターネットレジストリまたはコミュニティ固有のデータベースへのハンドルを表します。ハンドルは要素コンテンツで指定されており、型属性はデータベースを指定します。
+---------------------+ | RegistryHandle | +---------------------+ | STRING | | | | ENUM registry | | STRING ext-registry | +---------------------+
Figure 8: The RegistryHandle Class
図8:レジストリハンドルクラス
The RegistryHandle class has two attributes:
レジストリハンドルクラスには2つの属性があります。
registry Required. ENUM. The database to which the handle belongs. The default value is 'local'. The possible values are:
レジストリが必要です。列挙。ハンドルが属するデータベース。デフォルト値は「ローカル」です。考えられる値は次のとおりです。
1. internic. Internet Network Information Center
1. 内部。インターネットネットワーク情報センター
2. apnic. Asia Pacific Network Information Center
2. apnic。アジア太平洋ネットワーク情報センター
3. arin. American Registry for Internet Numbers
3. アリン。インターネット番号のためのアメリカのレジストリ
4. lacnic. Latin-American and Caribbean IP Address Registry
4. lacnic。ラテンアメリカおよびカリブ海のIPアドレスレジストリ
5. ripe. Reseaux IP Europeens
5. 熟した。Reseaux IPヨーロッパ人
6. afrinic. African Internet Numbers Registry
6. アフリニック。アフリカのインターネット番号レジストリ
7. local. A database local to the CSIRT 8. ext-value. An escape value used to extend this attribute. See Section 5.1.
7. 地元。CSIRT 8のローカルデータベース8. ext-Value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-registry Optional. STRING. A means by which to extend the registry attribute. See Section 5.1.
ext-Registryオプション。弦。レジストリ属性を拡張する手段。セクション5.1を参照してください。
The PostalAddress class specifies a postal address formatted according to the POSTAL data type (Section 2.11).
PostalAddressクラスは、郵便データ型(セクション2.11)に従ってフォーマットされた郵便アドレスを指定します。
+---------------------+ | PostalAddress | +---------------------+ | POSTAL | | | | ENUM meaning | | ENUM lang | +---------------------+
Figure 9: The PostalAddress Class
図9:PostalAddressクラス
The PostalAddress class has two attributes:
PostalAddressクラスには2つの属性があります。
meaning Optional. ENUM. A free-form description of the element content.
オプションの意味。列挙。要素コンテンツの自由形式の説明。
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
ラングが必要です。列挙。「XS:言語」の定義によって制約されているRFC 4646 [7]あたりの有効な言語コード。このコードの解釈は、セクション6で説明されています。
The Email class specifies an email address formatted according to EMAIL data type (Section 2.14).
電子メールクラスは、電子メールデータ型(セクション2.14)に従ってフォーマットされた電子メールアドレスを指定します。
+--------------+ | Email | +--------------+ | EMAIL | | | | ENUM meaning | +--------------+
Figure 10: The Email Class
図10:電子メールクラス
The Email class has one attribute:
電子メールクラスには1つの属性があります。
meaning Optional. ENUM. A free-form description of the element content.
オプションの意味。列挙。要素コンテンツの自由形式の説明。
The Telephone and Fax classes specify a voice or fax telephone number respectively, and are formatted according to PHONE data type (Section 2.13).
電話とファックスのクラスは、それぞれ音声またはファックスの電話番号を指定し、電話データタイプ(セクション2.13)に従ってフォーマットされています。
+--------------------+ | {Telephone | Fax } | +--------------------+ | PHONE | | | | ENUM meaning | +--------------------+
Figure 11: The Telephone and Fax Classes
図11:電話とファックスのクラス
The Telephone class has one attribute:
電話クラスには1つの属性があります。
meaning Optional. ENUM. A free-form description of the element content (e.g., hours of coverage for a given number).
オプションの意味。列挙。要素コンテンツの自由形式の説明(特定の番号のカバレッジの時間など)。
The data model uses five different classes to represent a timestamp. Their definition is identical, but each has a distinct name to convey a difference in semantics.
データモデルは、5つの異なるクラスを使用してタイムスタンプを表します。それらの定義は同一ですが、それぞれにセマンティクスの違いを伝えるための明確な名前があります。
The element content of each class is a timestamp formatted according to the DATETIME data type (see Section 2.8).
各クラスの要素コンテンツは、DateTimeデータ型に従ってフォーマットされたタイムスタンプです(セクション2.8を参照)。
+----------------------------------+ | {Start| End| Report| Detect}Time | +----------------------------------+ | DATETIME | +----------------------------------+
Figure 12: The Time Classes
図12:時間クラス
The StartTime class represents the time the incident began.
開始時刻クラスは、インシデントが始まった時期を表します。
The EndTime class represents the time the incident ended.
エンドタイムクラスは、インシデントが終了した時間を表します。
The DetectTime class represents the time the first activity of the incident was detected.
検出時間クラスは、インシデントの最初のアクティビティが検出された時間を表します。
The ReportTime class represents the time the incident was reported. This timestamp SHOULD coincide to the time at which the IODEF document is generated.
レポートタイムクラスは、インシデントが報告された時間を表します。このタイムスタンプは、IODEFドキュメントが生成される時間と一致する必要があります。
The DateTime class is a generic representation of a timestamp. Its semantics should be inferred from the parent class in which it is aggregated.
DateTimeクラスは、タイムスタンプの一般的な表現です。そのセマンティクスは、それが集約されている親クラスから推測されるべきです。
The Method class describes the methodology used by the intruder to perpetrate the events of the incident. This class consists of a list of references describing the attack method and a free form description of the technique.
メソッドクラスは、侵入者がインシデントの出来事を実行するために使用する方法論を説明します。このクラスは、攻撃方法を説明する参照のリストと、手法の自由なフォームの説明で構成されています。
+------------------+ | Method | +------------------+ | ENUM restriction |<>--{0..*}--[ Reference ] | |<>--{0..*}--[ Description ] | |<>--{0..*}--[ AdditionalData ] +------------------+
Figure 13: The Method Class
図13:メソッドクラス
The Method class is composed of three aggregate classes.
メソッドクラスは、3つの集計クラスで構成されています。
Reference Zero or many. A reference to a vulnerability, malware sample, advisory, or analysis of an attack technique.
参照ゼロまたは多く。攻撃技術の脆弱性、マルウェアサンプル、アドバイザリー、または分析への言及。
Description Zero or many. ML_STRING. A free-form text description of the methodology used by the intruder.
説明ゼロまたは多く。ML_STRING。侵入者が使用する方法論の自由形式のテキストの説明。
AdditionalData Zero or many. A mechanism by which to extend the data model.
追加のゼロまたは多く。データモデルを拡張するメカニズム。
Either an instance of the Reference or Description class MUST be present.
参照クラスまたは説明クラスのインスタンスが存在する必要があります。
The Method class has one attribute:
メソッドクラスには1つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The Reference class is a reference to a vulnerability, IDS alert, malware sample, advisory, or attack technique. A reference consists of a name, a URL to this reference, and an optional description.
参照クラスは、脆弱性、IDSアラート、マルウェアサンプル、アドバイザリー、または攻撃手法への参照です。参照は、名前、このリファレンスのURL、およびオプションの説明で構成されています。
+------------------+ | Reference | +------------------+ | |<>----------[ ReferenceName ] | |<>--{0..*}--[ URL ] | |<>--{0..*}--[ Description ] +------------------+
Figure 14: The Reference Class
図14:参照クラス
The aggregate classes that constitute Reference:
参照を構成する集約クラス:
ReferenceName One. ML_STRING. Name of the reference.
参照名1。ML_STRING。参照名。
URL Zero or many. URL. A URL associated with the reference.
URLゼロまたは多く。URL。参照に関連付けられたURL。
Description Zero or many. ML_STRING. A free-form text description of this reference.
説明ゼロまたは多く。ML_STRING。このリファレンスのフリーフォームテキストの説明。
The Assessment class describes the technical and non-technical repercussions of the incident on the CSIRT's constituency.
評価クラスは、CSIRTの選挙区に関する事件の技術的および非技術的な影響について説明しています。
This class was derived from the IDMEF[17].
このクラスは、IDMEF [17]から派生しました。
+------------------+ | Assessment | +------------------+ | ENUM occurrence |<>--{0..*}--[ Impact ] | ENUM restriction |<>--{0..*}--[ TimeImpact ] | |<>--{0..*}--[ MonetaryImpact ] | |<>--{0..*}--[ Counter ] | |<>--{0..1}--[ Confidence ] | |<>--{0..*}--[ AdditionalData ] +------------------+
Figure 15: Assessment Class
図15:評価クラス
The aggregate classes that constitute Assessment are:
評価を構成する集計クラスは次のとおりです。
Impact Zero or many. Technical impact of the incident on a network.
ゼロまたは多くの衝突。ネットワーク上のインシデントの技術的影響。
TimeImpact Zero or many. Impact of the activity measured with respect to time.
TimeImpactゼロまたは多く。時間に関して測定された活動の影響。
MonetaryImpact Zero or many. Impact of the activity measured with respect to financial loss.
NemetaryImpactゼロまたは多く。経済的損失に関して測定された活動の影響。
Counter Zero or more. A counter with which to summarize the magnitude of the activity.
ゼロ以上のカウンター。アクティビティの大きさを要約するカウンター。
Confidence Zero or one. An estimate of confidence in the assessment.
自信ゼロまたは1。評価に対する信頼の推定。
AdditionalData Zero or many. A mechanism by which to extend the data model.
追加のゼロまたは多く。データモデルを拡張するメカニズム。
A least one instance of the possible three impact classes (i.e., Impact, TimeImpact, or MonetaryImpact) MUST be present.
可能な3つのインパクトクラスの少なくとも1つのインスタンス(つまり、インパクト、TimeImpact、またはNemetaryImpact)が存在する必要があります。
The Assessment class has two attributes:
評価クラスには2つの属性があります。
occurrence Optional. ENUM. Specifies whether the assessment is describing actual or potential outcomes. The default is "actual" and is assumed if not specified.
オプションの発生。列挙。評価が実際の結果を説明しているのか潜在的な結果を説明しているかを指定します。デフォルトは「実際」であり、指定されていない場合は想定されます。
1. actual. This assessment describes activity that has occurred.
1. 実際。この評価では、発生した活動について説明しています。
2. potential. This assessment describes potential activity that might occur.
2. 潜在的。この評価では、発生する可能性のある潜在的な活動について説明しています。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The Impact class allows for categorizing and describing the technical impact of the incident on the network of an organization.
インパクトクラスは、組織のネットワークに対するインシデントの技術的影響を分類および説明することができます。
This class is based on the IDMEF [17].
このクラスはIDMEF [17]に基づいています。
+------------------+ | Impact | +------------------+ | ML_STRING | | | | ENUM lang | | ENUM severity | | ENUM completion | | ENUM type | | STRING ext-type | +------------------+
Figure 16: Impact Class
図16:インパクトクラス
The element content will be a free-form textual description of the impact.
要素コンテンツは、インパクトの自由形式のテキストの説明になります。
The Impact class has five attributes:
インパクトクラスには5つの属性があります。
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
ラングが必要です。列挙。「XS:言語」の定義によって制約されているRFC 4646 [7]あたりの有効な言語コード。このコードの解釈は、セクション6で説明されています。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重大度オプション。列挙。活動の相対的な重症度の推定。許可された値を以下に示します。デフォルト値はありません。
1. low. Low severity
1. 低い。低い重症度
2. medium. Medium severity
2. 中くらい。中程度の重症度
3. high. High severity
3. 高い。高い重症度
completion Optional. ENUM. An indication whether the described activity was successful. The permitted values are shown below. There is no default value.
完了オプション。列挙。記載されているアクティビティが成功したかどうかの兆候。許可された値を以下に示します。デフォルト値はありません。
1. failed. The attempted activity was not successful.
1. 失敗した。試みられた活動は成功しませんでした。
2. succeeded. The attempted activity succeeded.
2. 成功した。試みられた活動は成功しました。
type Required. ENUM. Classifies the malicious activity into incident categories. The permitted values are shown below. The default value is "other".
必要なタイプ。列挙。悪意のあるアクティビティをインシデントカテゴリに分類します。許可された値を以下に示します。デフォルト値は「その他」です。
1. admin. Administrative privileges were attempted.
1. 管理者。管理特権が試みられました。
2. dos. A denial of service was attempted.
2. dos。サービスの拒否が試みられました。
3. file. An action that impacts the integrity of a file or database was attempted.
3. ファイル。ファイルまたはデータベースの整合性に影響を与えるアクションが試みられました。
4. info-leak. An attempt was made to exfiltrate information.
4. 情報リーク。情報を除去する試みがなされました。
5. misconfiguration. An attempt was made to exploit a mis-configuration in a system.
5. 不正行為。システム内の誤解を悪用しようとする試みが行われました。
6. policy. Activity violating site's policy was attempted.
6. ポリシー。サイトのポリシーに違反する活動が試みられました。
7. recon. Reconnaissance activity was attempted.
7. 偵察。偵察活動が試みられました。
8. social-engineering. A social engineering attack was attempted.
8. ソーシャルエンジニアリング。ソーシャルエンジニアリング攻撃が試みられました。
9. user. User privileges were attempted.
9. ユーザー。ユーザー特権が試みられました。
10. unknown. The classification of this activity is unknown.
10. 知らない。このアクティビティの分類は不明です。
11. ext-value. An escape value used to extend this attribute. See Section 5.1.
11. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
extタイプのオプション。弦。型属性を拡張する手段。セクション5.1を参照してください。
The TimeImpact class describes the impact of the incident on an organization as a function of time. It provides a way to convey down time and recovery time.
TimeImpactクラスは、組織に対するインシデントの影響を時間の関数として説明しています。ダウンタイムと回復時間を伝える方法を提供します。
+---------------------+ | TimeImpact | +---------------------+ | REAL | | | | ENUM severity | | ENUM metric | | STRING ext-metric | | ENUM duration | | STRING ext-duration | +---------------------+
Figure 17: TimeImpact Class
図17:TimeImpactクラス
The element content is a positive, floating point (REAL) number specifying a unit of time. The duration and metric attributes will imply the semantics of the element content.
要素コンテンツは、時間単位を指定する正の浮動ポイント(実際の)数です。持続時間とメトリック属性は、要素コンテンツのセマンティクスを意味します。
The TimeImpact class has five attributes:
TimeImpactクラスには5つの属性があります。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重大度オプション。列挙。活動の相対的な重症度の推定。許可された値を以下に示します。デフォルト値はありません。
1. low. Low severity
1. 低い。低い重症度
2. medium. Medium severity
2. 中くらい。中程度の重症度
3. high. High severity
3. 高い。高い重症度
metric Required. ENUM. Defines the metric in which the time is expressed. The permitted values are shown below. There is no default value.
メトリックが必要です。列挙。時間が表されるメトリックを定義します。許可された値を以下に示します。デフォルト値はありません。
1. labor. Total staff-time to recovery from the activity (e.g., 2 employees working 4 hours each would be 8 hours).
1. 労働。アクティビティからの回復までのスタッフタイムの合計(たとえば、それぞれ4時間働いている2人の従業員は8時間です)。
2. elapsed. Elapsed time from the beginning of the recovery to its completion (i.e., wall-clock time).
2. 経過。回復の開始から完成までの経過時間(すなわち、壁1杯)まで。
3. downtime. Duration of time for which some provided service(s) was not available.
3. ダウンタイム。提供されたサービスが提供されていない期間は利用できませんでした。
4. ext-value. An escape value used to extend this attribute. See Section 5.1.
4. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-metric Optional. STRING. A means by which to extend the metric attribute. See Section 5.1.
extmetricオプション。弦。メトリック属性を拡張する手段。セクション5.1を参照してください。
duration Required. ENUM. Defines a unit of time, that when combined with the metric attribute, fully describes a metric of impact that will be conveyed in the element content. The permitted values are shown below. The default value is "hour".
期間が必要です。列挙。時間単位を定義します。メトリック属性と組み合わせると、要素コンテンツで伝達される影響のメトリックを完全に説明します。許可された値を以下に示します。デフォルト値は「時間」です。
1. second. The unit of the element content is seconds.
1. 2番。要素コンテンツの単位は秒です。
2. minute. The unit of the element content is minutes.
2. 分。要素コンテンツの単位は議事録です。
3. hour. The unit of the element content is hours.
3. 時間。要素コンテンツの単位は時間です。
4. day. The unit of the element content is days.
4. 日。要素コンテンツの単位は日です。
5. month. The unit of the element content is months.
5. 月。要素コンテンツの単位は数か月です。
6. quarter. The unit of the element content is quarters.
6. クォーター。要素コンテンツの単位は四半期です。
7. year. The unit of the element content is years.
7.
8. ext-value. An escape value used to extend this attribute. See Section 5.1.
8. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-duration Optional. STRING. A means by which to extend the duration attribute. See Section 5.1.
エクステーションオプション。弦。持続時間属性を延長する手段。セクション5.1を参照してください。
The MonetaryImpact class describes the financial impact of the activity on an organization. For example, this impact may consider losses due to the cost of the investigation or recovery, diminished productivity of the staff, or a tarnished reputation that will affect future opportunities.
金銭的インパクトクラスは、組織に対する活動の経済的影響について説明しています。たとえば、この影響は、調査または回復のコスト、スタッフの生産性の低下、または将来の機会に影響を与える損傷のある評判による損失を考慮する場合があります。
+------------------+ | MonetaryImpact | +------------------+ | REAL | | | | ENUM severity | | STRING currency | +------------------+
Figure 18: MonetaryImpact Class
図18:金融衝撃クラス
The element content is a positive, floating point number (REAL) specifying a unit of currency described in the currency attribute.
要素コンテンツは、通貨属性に記載されている通貨単位を指定する正の浮動小数点数(実際の)です。
The MonetaryImpact class has two attributes:
金銭的影響クラスには2つの属性があります。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重大度オプション。列挙。活動の相対的な重症度の推定。許可された値を以下に示します。デフォルト値はありません。
1. low. Low severity
1. 低い。低い重症度
2. medium. Medium severity
2. 中くらい。中程度の重症度
3. high. High severity
3. 高い。高い重症度
currency Required. STRING. Defines the currency in which the monetary impact is expressed. The permitted values are defined in ISO 4217:2001, Codes for the representation of currencies and funds [14]. There is no default value.
必要な通貨。弦。金銭的影響が表現される通貨を定義します。許可された値は、ISO 4217:2001で定義されており、通貨と資金の表現に関するコードです[14]。デフォルト値はありません。
The Confidence class represents a best estimate of the validity and accuracy of the described impact (see Section 3.10) of the incident activity. This estimate can be expressed as a category or a numeric calculation.
信頼クラスは、インシデントアクティビティの説明された影響(セクション3.10を参照)の妥当性と精度の最良の推定値を表します。この推定値は、カテゴリまたは数値計算として表現できます。
This class if based upon the IDMEF [17]).
このクラスは、IDMEF [17]に基づいています。
+------------------+ | Confidence | +------------------+ | REAL | | | | ENUM rating | +------------------+
Figure 19: Confidence Class
図19:信頼クラス
The element content expresses a numerical assessment in the confidence of the data when the value of the rating attribute is "numeric". Otherwise, this element should be empty.
要素コンテンツは、評価属性の値が「数値」である場合、データの信頼性に数値評価を表します。それ以外の場合、この要素は空にする必要があります。
The Confidence class has one attribute.
自信クラスには1つの属性があります。
rating Required. ENUM. A rating of the analytical validity of the specified Assessment. The permitted values are shown below. There is no default value.
評価が必要です。列挙。指定された評価の分析的妥当性の評価。許可された値を以下に示します。デフォルト値はありません。
1. low. Low confidence in the validity.
1. 低い。妥当性に対する低い信頼。
2. medium. Medium confidence in the validity.
2. 中くらい。妥当性に対する中程度の信頼。
3. high. High confidence in the validity.
3. 高い。有効性に対する高い信頼。
4. numeric. The element content contains a number that conveys the confidence of the data. The semantics of this number outside the scope of this specification.
4. 数値。要素コンテンツには、データの信頼性を伝える数字が含まれています。この仕様の範囲外のこの数のセマンティクス。
The History class is a log of the significant events or actions performed by the involved parties during the course of handling the incident.
歴史のクラスは、インシデントの処理中に関係者によって実行される重要なイベントまたは行動のログです。
The level of detail maintained in this log is left up to the discretion of those handling the incident.
このログで維持されている詳細レベルは、インシデントを処理する人の裁量に任されています。
+------------------+ | History | +------------------+ | ENUM restriction |<>--{1..*}--[ HistoryItem ] | | +------------------+
Figure 20: The History Class
図20:歴史クラス
The class that constitutes History is:
歴史を構成するクラスは次のとおりです。
HistoryItem One or many. Entry in the history log of significant events or actions performed by the involved parties.
HistoryItem 1または多く。関係者によって実行された重要なイベントまたは行動の歴史ログへの参入。
The History class has one attribute:
歴史クラスには1つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The HistoryItem class is an entry in the History (Section 3.11) log that documents a particular action or event that occurred in the course of handling the incident. The details of the entry are a free-form description, but each can be categorized with the type attribute.
HistoryItemクラスは、インシデントの処理中に発生した特定のアクションまたはイベントを文書化する歴史(セクション3.11)ログのエントリです。エントリの詳細は自由形式の説明ですが、それぞれは型属性に分類できます。
+-------------------+ | HistoryItem | +-------------------+ | ENUM restriction |<>----------[ DateTime ] | ENUM action |<>--{0..1}--[ IncidentId ] | STRING ext-action |<>--{0..1}--[ Contact ] | |<>--{0..*}--[ Description ] | |<>--{0..*}--[ AdditionalData ] +-------------------+
Figure 21: HistoryItem Class
図21:HistoryItemクラス
The aggregate classes that constitute HistoryItem are:
歴史を構成する集計クラスは次のとおりです。
DateTime One. Timestamp of this entry in the history log (e.g., when the action described in the Description was taken).
DateTime One。履歴ログのこのエントリのタイムスタンプ(例:説明で説明されているアクションが取得されたとき)。
IncidentID Zero or One. In a history log created by multiple parties, the IncidentID provides a mechanism to specify which CSIRT created a particular entry and references this organization's incident tracking number. When a single organization is maintaining the log, this class can be ignored.
Incisid Zeroまたは1。複数の当事者によって作成された履歴ログでは、IncisionIDは、どのCSIRTが特定のエントリを作成したかを指定するメカニズムを提供し、この組織のインシデント追跡番号を参照します。単一の組織がログを維持している場合、このクラスは無視できます。
Contact Zero or One. Provides contact information for the person that performed the action documented in this class.
ゼロまたは1つに連絡してください。このクラスで文書化されたアクションを実行した人に連絡先情報を提供します。
Description Zero or many. ML_STRING. A free-form textual description of the action or event.
説明ゼロまたは多く。ML_STRING。アクションまたはイベントの自由形式のテキスト説明。
AdditionalData Zero or many. A mechanism by which to extend the data model.
追加のゼロまたは多く。データモデルを拡張するメカニズム。
The HistoryItem class has three attributes:
HistoryItemクラスには3つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
action Required. ENUM. Classifies a performed action or occurrence documented in this history log entry. As activity will likely have been instigated either through a previously conveyed expectation or internal investigation, this attribute is identical to the category attribute of the Expectation class. The difference is only one of tense. When an action is in this class, it has been completed. See Section 3.13.
アクションが必要です。列挙。この履歴ログエントリに文書化された実行されたアクションまたは発生を分類します。以前に伝えられた期待または内部調査のいずれかによって活動が扇動される可能性が高いため、この属性は期待クラスのカテゴリ属性と同一です。違いは緊張の1つにすぎません。このクラスでアクションが行われると、完了しました。セクション3.13を参照してください。
ext-action Optional. STRING. A means by which to extend the action attribute. See Section 5.1.
ext-actionオプション。弦。アクション属性を拡張する手段。セクション5.1を参照してください。
The EventData class describes a particular event of the incident for a given set of hosts or networks. This description includes the systems from which the activity originated and those targeted, an assessment of the techniques used by the intruder, the impact of the activity on the organization, and any forensic evidence discovered.
EventDataクラスでは、特定のホストまたはネットワークのセットのインシデントの特定のイベントについて説明します。この説明には、活動が発生したシステムとターゲットを絞ったシステム、侵入者が使用する技術の評価、組織に対する活動の影響、および発見された法医学的証拠が含まれます。
+------------------+ | EventData | +------------------+ | ENUM restriction |<>--{0..*}--[ Description ] | |<>--{0..1}--[ DetectTime ] | |<>--{0..1}--[ StartTime ] | |<>--{0..1}--[ EndTime ] | |<>--{0..*}--[ Contact ] | |<>--{0..1}--[ Assessment ] | |<>--{0..*}--[ Method ] | |<>--{0..*}--[ Flow ] | |<>--{0..*}--[ Expectation ] | |<>--{0..1}--[ Record ] | |<>--{0..*}--[ EventData ] | |<>--{0..*}--[ AdditionalData ] +------------------+
Figure 22: The EventData Class
図22:EventDataクラス
The aggregate classes that constitute EventData are:
EventDataを構成する集計クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form textual description of the event.
説明ゼロ以上。ML_STRING。イベントの自由形式のテキスト説明。
DetectTime Zero or one. The time the event was detected.
Time Zeroまたは1を検出します。イベントが検出された時間。
StartTime Zero or one. The time the event started.
開始時刻ゼロまたは1。イベントが始まった時。
EndTime Zero or one. The time the event ended.
エンドタイムゼロまたは1。イベントが終了した時。
Contact Zero or more. Contact information for the parties involved in the event.
ゼロ以上にお問い合わせください。イベントに関与する当事者の連絡先情報。
Assessment Zero or one. The impact of the event on the target and the actions taken.
評価ゼロまたは1。ターゲットに対するイベントの影響と実行されたアクション。
Method Zero or more. The technique used by the intruder in the event.
メソッドゼロ以上。イベントで侵入者が使用する手法。
Flow Zero or more. A description of the systems or networks involved.
フローゼロ以上。関係するシステムまたはネットワークの説明。
Expectation Zero or more. The expected action to be performed by the recipient for the described event.
期待ゼロ以上。予想されるアクションは、記述されたイベントの受信者によって実行される予定です。
Record Zero or one. Supportive data (e.g., log files) that provides additional information about the event.
ゼロまたは1を記録します。イベントに関する追加情報を提供するサポートデータ(ログファイルなど)。
EventData Zero or more. EventData instances contained within another EventData instance inherit the values of the parent(s); this recursive definition can be used to group common data pertaining to multiple events. When EventData elements are defined recursively, only the leaf instances (those EventData instances not containing other EventData instances) represent actual events.
EventData Zero以上。別のEventDataインスタンスに含まれるEventDataインスタンスは、親の値を継承します。この再帰定義は、複数のイベントに関する一般的なデータをグループ化するために使用できます。EventData要素が再帰的に定義されている場合、実際のイベントを表す葉のインスタンス(他のEventDataインスタンスを含むEventDataインスタンス)のみが実際のイベントを表します。
AdditionalData Zero or more. An extension mechanism for data not explicitly represented in the data model.
追加のゼロ以上。データモデルで明示的に表されないデータの拡張メカニズム。
At least one of the aggregate classes MUST be present in an instance of the EventData class. This is not enforced in the IODEF schema as there is no simple way to accomplish it.
集約クラスの少なくとも1つは、EventDataクラスの例で存在する必要があります。IODEFスキーマでは、それを達成する簡単な方法がないため、これは強制されていません。
The EventData class has one attribute:
EventDataクラスには1つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
There is substantial overlap in the Incident and EventData classes. Nevertheless, the semantics of these classes are quite different. The Incident class provides summary information about the entire incident, while the EventData class provides information about the individual events comprising the incident. In the most common case, the EventData class will provide more specific information for the general description provided in the Incident class. However, it may also be possible that the overall summarized information about the incident conflicts with some individual information in an EventData class when there is a substantial composition of various events in the incident. In such a case, the interpretation of the more specific EventData MUST supersede the more generic information provided in IncidentData.
インシデントとEventDataクラスにはかなりの重複があります。それにもかかわらず、これらのクラスのセマンティクスはまったく異なります。インシデントクラスは、インシデント全体に関する要約情報を提供しますが、EventDataクラスはインシデントを含む個々のイベントに関する情報を提供します。最も一般的なケースでは、EventDataクラスは、インシデントクラスで提供される一般的な説明に対してより具体的な情報を提供します。ただし、インシデントのさまざまなイベントの実質的な構成がある場合、インシデントに関する全体的な要約情報が、EventDataクラスのいくつかの個々の情報と競合する可能性もあります。そのような場合、より具体的なEventDataの解釈は、IncissionDataで提供されるより一般的な情報に取って代わらなければなりません。
The EventData class can be thought of as a container for the properties of an event in an incident. These properties include: the hosts involved, impact of the incident activity on the hosts, forensic logs, etc. With an instance of the EventData class, hosts (i.e., System class) are grouped around these common properties.
EventDataクラスは、インシデントのイベントのプロパティのコンテナと考えることができます。これらのプロパティには、関係するホスト、ホストへのインシデントアクティビティの影響、フォレンジックログなどが含まれます。イベントDataクラスのインスタンスを使用して、ホスト(つまり、システムクラス)がこれらの共通プロパティを中心にグループ化されます。
The recursive definition (or instance property inheritance) of the EventData class (the EventData class is aggregated into the EventData class) provides a way to related information without requiring the explicit use of unique attribute identifiers in the classes or duplicating information. Instead, the relative depth (nesting) of a class is used to group (relate) information.
EventDataクラスの再帰定義(またはインスタンスプロパティ継承)(EventDataクラスはEventDataクラスに集約されます)は、クラスで一意の属性識別子を明示的に使用したり、情報を複製したりすることなく、関連情報への方法を提供します。代わりに、クラスの相対的な深さ(ネスト)は、情報をグループ(関連)に使用します。
For example, an EventData class might be used to describe two machines involved in an incident. This description can be achieved using multiple instances of the Flow class. It happens that there is a common technical contact (i.e., Contact class) for these two machines, but the impact (i.e., Assessment class) on them is different. A depiction of the representation for this situation can be found in Figure 23.
たとえば、EventDataクラスを使用して、インシデントに関与する2つのマシンを説明する場合があります。この説明は、フロークラスの複数のインスタンスを使用して実現できます。これらの2つのマシンには一般的な技術的な連絡先(つまり、連絡先クラス)がありますが、それらに対する影響(つまり、評価クラス)は異なります。この状況の表現の描写は、図23にあります。
+------------------+ | EventData | +------------------+ | |<>----[ Contact ] | | | |<>----[ EventData ]<>----[ Flow ] | | [ ]<>----[ Assessment ] | | | |<>----[ EventData ]<>----[ Flow ] | | [ ]<>----[ Assessment ] +------------------+
Figure 23: Recursion in the EventData Class
図23:EventDataクラスの再帰
The Expectation class conveys to the recipient of the IODEF document the actions the sender is requesting. The scope of the requested action is limited to purview of the EventData class in which this class is aggregated.
期待クラスは、送信者が要求しているアクションをIODEFの受信者に伝えます。要求されたアクションの範囲は、このクラスが集約されているEventDataクラスの範囲に限定されます。
+-------------------+ | Expectation | +-------------------+ | ENUM restriction |<>--{0..*}--[ Description ] | ENUM severity |<>--{0..1}--[ StartTime ] | ENUM action |<>--{0..1}--[ EndTime ] | STRING ext-action |<>--{0..1}--[ Contact ] +-------------------+
Figure 24: The Expectation Class
図24:期待クラス
The aggregate classes that constitute Expectation are:
期待を構成する集計クラスは次のとおりです。
Description Zero or many. ML_STRING. A free-form description of the desired action(s).
説明ゼロまたは多く。ML_STRING。目的のアクションの自由形式の説明。
StartTime Zero or one. The time at which the action should be performed. A timestamp that is earlier than the ReportTime specified in the Incident class denotes that the expectation should be fulfilled as soon as possible. The absence of this element leaves the execution of the expectation to the discretion of the recipient.
開始時刻ゼロまたは1。アクションを実行する時間。インシデントクラスで指定されたレポート時間よりも早いタイムスタンプは、期待をできるだけ早く満たす必要があることを示しています。この要素がないと、受信者の裁量に対する期待の実行が残されます。
EndTime Zero or one. The time by which the action should be completed. If the action is not carried out by this time, it should no longer be performed.
エンドタイムゼロまたは1。アクションを完了する時間。この時点でアクションが実行されない場合、実行する必要はありません。
Contact Zero or one. The expected actor for the action.
ゼロまたは1つに連絡してください。アクションに期待されるアクター。
The Expectations class has four attributes:
期待クラスには4つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
severity Optional. ENUM. Indicates the desired priority of the action. This attribute is an enumerated list with no default value, and the semantics of these relative measures are context dependent.
重大度オプション。列挙。アクションの望ましい優先度を示します。この属性は、デフォルト値のない列挙されたリストであり、これらの相対測定のセマンティクスはコンテキストに依存します。
1. low. Low priority
1. 低い。優先度が低い
2. medium. Medium priority
2. 中くらい。中程度の優先度
3. high. High priority
3. 高い。優先度が高い
action Optional. ENUM. Classifies the type of action requested. This attribute is an enumerated list with no default value.
アクションオプション。列挙。要求されたアクションのタイプを分類します。この属性は、デフォルト値のない列挙されたリストです。
1. nothing. No action is requested. Do nothing with the information.
1. なし。アクションは要求されません。情報で何もしません。
2. contact-source-site. Contact the site(s) identified as the source of the activity.
2. 連絡先ソースサイト。アクティビティのソースとして識別されたサイトに連絡してください。
3. contact-target-site. Contact the site(s) identified as the target of the activity.
3. コンタクトターゲットサイト。アクティビティのターゲットとして識別されたサイトに連絡してください。
4. contact-sender. Contact the originator of the document.
4. 連絡先センダー。ドキュメントの発信者に連絡してください。
5. investigate. Investigate the systems(s) listed in the event.
5. 調査。イベントにリストされているシステムを調査します。
6. block-host. Block traffic from the machine(s) listed as sources the event.
6. ブロックホスト。イベントのソースとしてリストされているマシンからのトラフィックをブロックします。
7. block-network. Block traffic from the network(s) lists as sources in the event.
7. ブロックネットワーク。ネットワークからのトラフィックは、イベントのソースとしてリストをブロックします。
8. block-port. Block the port listed as sources in the event.
8. ブロックポート。イベントのソースとしてリストされているポートをブロックします。
9. rate-limit-host. Rate-limit the traffic from the machine(s) listed as sources in the event.
9. レートリミットホスト。イベントのソースとしてリストされているマシンからのトラフィックをレート制限します。
10. rate-limit-network. Rate-limit the traffic from the network(s) lists as sources in the event.
10. レートリミットネットワーク。ネットワークからのトラフィックは、イベントのソースとしてリストを表示します。
11. rate-limit-port. Rate-limit the port(s) listed as sources in the event.
11. レートリミットポート。イベントのソースとしてリストされているポートをレートリミットします。
12. remediate-other. Remediate the activity in a way other than by rate limiting or blocking.
12. Remediate-other。レートの制限またはブロック以外の方法でアクティビティを修正します。
13. status-triage. Conveys receipts and the triaging of an incident.
13. ステータストライアージ。領収書とインシデントのトリアージを伝えます。
14. status-new-info. Conveys that new information was received for this incident.
14. Status-New-info。この事件のために新しい情報が受け取られたことを伝えます。
15. other. Perform some custom action described in the Description class.
15. 他の。説明クラスで説明されているいくつかのカスタムアクションを実行します。
16. ext-value. An escape value used to extend this attribute. See Section 5.1.
16. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-action Optional. STRING. A means by which to extend the action attribute. See Section 5.1.
ext-actionオプション。弦。アクション属性を拡張する手段。セクション5.1を参照してください。
The Flow class groups related the source and target hosts.
フロークラスグループは、ソースとターゲットホストに関連しています。
+------------------+ | Flow | +------------------+ | |<>--{1..*}--[ System ] +------------------+
Figure 25: The Flow Class
図25:フロークラス
The aggregate class that constitutes Flow is:
フローを構成する集約クラスは次のとおりです。
System One or More. A host or network involved in an event.
システム1つ以上。イベントに関与するホストまたはネットワーク。
The Flow System class has no attributes.
フローシステムクラスには属性がありません。
The System class describes a system or network involved in an event. The systems or networks represented by this class are categorized according to the role they played in the incident through the category attribute. The value of this category attribute dictates the semantics of the aggregated classes in the System class. If the category attribute has a value of "source", then the aggregated classes denote the machine and service from which the activity is originating. With a category attribute value of "target" or "intermediary", then the machine or service is the one targeted in the activity. A value of "sensor" dictates that this System was part of an instrumentation to monitor the network.
システムクラスは、イベントに関与するシステムまたはネットワークについて説明します。このクラスで表されるシステムまたはネットワークは、カテゴリ属性を通じてインシデントで果たした役割に従って分類されます。このカテゴリ属性の値は、システムクラスの集計クラスのセマンティクスを決定します。カテゴリ属性に「ソース」の値がある場合、集約されたクラスは、アクティビティが発生しているマシンとサービスを示します。「ターゲット」または「仲介者」のカテゴリ属性値を使用すると、マシンまたはサービスがアクティビティでターゲットにされたものです。「センサー」の値は、このシステムがネットワークを監視するための計装の一部であることを決定します。
+---------------------+ | System | +---------------------+ | ENUM restriction |<>----------[ Node ] | ENUM category |<>--{0..*}--[ Service ] | STRING ext-category |<>--{0..*}--[ OperatingSystem ] | STRING interface |<>--{0..*}--[ Counter ] | ENUM spoofed |<>--{0..*}--[ Description ] | |<>--{0..*}--[ AdditionalData ] +---------------------+
Figure 26: The System Class
図26:システムクラス
The aggregate classes that constitute System are:
システムを構成する集計クラスは次のとおりです。
Node One. A host or network involved in the incident.
ノード1。インシデントに関与するホストまたはネットワーク。
Service Zero or more. A network service running on the system.
サービスゼロ以上。システムで実行されているネットワークサービス。
OperatingSystem Zero or one. The operating system running on the system.
OperatingSystem Zeroまたは1。システムで実行されているオペレーティングシステム。
Counter Zero or more. A counter with which to summarize properties of this host or network.
ゼロ以上のカウンター。このホストまたはネットワークのプロパティを要約するカウンター。
Description Zero or more. ML_STRING. A free-form text description of the System.
説明ゼロ以上。ML_STRING。システムのフリーフォームテキストの説明。
AdditionalData Zero or many. A mechanism by which to extend the data model.
追加のゼロまたは多く。データモデルを拡張するメカニズム。
The System class has five attributes:
システムクラスには5つの属性があります。
restriction Optional. ENUM. This attribute is defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
category Required. ENUM. Classifies the role the host or network played in the incident. The possible values are:
必要なカテゴリ。列挙。インシデントでホストまたはネットワークが果たした役割を分類します。考えられる値は次のとおりです。
1. source. The System was the source of the event.
1. ソース。システムはイベントのソースでした。
2. target. The System was the target of the event.
2. 目標。システムはイベントのターゲットでした。
3. intermediate. The System was an intermediary in the event.
3. 中級。このシステムは、イベントの仲介者でした。
4. sensor. The System was a sensor monitoring the event.
4. センサー。システムはイベントを監視するセンサーでした。
5. infrastructure. The System was an infrastructure node of IODEF document exchange.
5. インフラストラクチャー。このシステムは、IODEFドキュメント交換のインフラストラクチャノードでした。
6. ext-value. An escape value used to extend this attribute. See Section 5.1.
6. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.
extカテゴリオプション。弦。カテゴリ属性を拡張する手段。セクション5.1を参照してください。
interface Optional. STRING. Specifies the interface on which the event(s) on this System originated. If the Node class specifies a network rather than a host, this attribute has no meaning.
インターフェイスオプション。弦。このシステムのイベントが発生したインターフェイスを指定します。ノードクラスがホストではなくネットワークを指定する場合、この属性には意味がありません。
spoofed Optional. ENUM. An indication of confidence in whether this System was the true target or attacking host. The permitted values for this attribute are shown below. The default value is "unknown".
スプーフィングオプション。列挙。このシステムが真のターゲットであるか攻撃ホストであるかに対する自信の兆候。この属性の許可された値を以下に示します。デフォルト値は「不明」です。
1. unknown. The accuracy of the category attribute value is unknown.
1. 知らない。カテゴリ属性値の精度は不明です。
2. yes. The category attribute value is probably incorrect. In the case of a source, the System is likely a decoy; with a target, the System was likely not the intended victim.
2. はい。カテゴリ属性値はおそらく間違っています。ソースの場合、システムはおそらくおとりです。ターゲットでは、システムは意図した被害者ではなかった可能性があります。
3. no. The category attribute value is believed to be correct.
3. いいえ。カテゴリ属性値は正しいと考えられています。
The Node class names a system (e.g., PC, router) or network.
ノードクラスは、システム(PC、ルーターなど)またはネットワークに名前を付けます。
This class was derived from the IDMEF [17].
このクラスは、IDMEF [17]から派生しました。
+---------------+ | Node | +---------------+ | |<>--{0..*}--[ NodeName ] | |<>--{0..*}--[ Address ] | |<>--{0..1}--[ Location ] | |<>--{0..1}--[ DateTime ] | |<>--{0..*}--[ NodeRole ] | |<>--{0..*}--[ Counter ] +---------------+
Figure 27: The Node Class
図27:ノードクラス
The aggregate classes that constitute Node are:
ノードを構成する集約クラスは次のとおりです。
NodeName Zero or more. ML_STRING. The name of the Node (e.g., fully qualified domain name). This information MUST be provided if no Address information is given.
nodenameゼロ以上。ML_STRING。ノードの名前(例:完全資格のドメイン名)。アドレス情報が提供されない場合は、この情報を提供する必要があります。
Address Zero or more. The hardware, network, or application address of the Node. If a NodeName is not provided, at least one Address MUST be specified.
ゼロ以上をアドレスします。ノードのハードウェア、ネットワーク、またはアプリケーションアドレス。nodenameが提供されていない場合、少なくとも1つのアドレスを指定する必要があります。
Location Zero or one. ML_STRING. A free-from description of the physical location of the equipment.
ロケーションゼロまたは1。ML_STRING。機器の物理的な位置の自由な説明。
DateTime Zero or one. A timestamp of when the resolution between the name and address was performed. This information SHOULD be provided if both an Address and NodeName are specified.
DateTimeゼロまたは1。名前と住所の間の解像度が実行されたときのタイムスタンプ。この情報は、アドレスとnodenameの両方が指定されている場合は提供する必要があります。
NodeRole Zero or more. The intended purpose of the Node.
ノデロールゼロ以上。ノードの意図された目的。
Counter Zero or more. A counter with which to summarizes properties of this host or network.
ゼロ以上のカウンター。このホストまたはネットワークのプロパティを要約するカウンター。
The Counter class summarize multiple occurrences of some event, or conveys counts or rates on various features (e.g., packets, sessions, events).
カウンタークラスは、いくつかのイベントの複数の発生を要約するか、さまざまな機能(パケット、セッション、イベントなど)のカウントまたはレートを伝えます。
The value of the counter is the element content with its units represented in the type attribute. A rate for a given feature can be expressed by setting the duration attribute. The complete semantics are entirely context dependent based on the class in which the Counter is aggregated.
カウンターの値は、タイプ属性で表されるユニットを持つ要素コンテンツです。特定の機能のレートは、持続時間属性を設定することで表現できます。完全なセマンティクスは、カウンターが集約されているクラスに基づいて、完全にコンテキストに依存します。
+---------------------+ | Counter | +---------------------+ | REAL | | | | ENUM type | | STRING ext-type | | STRING meaning | | ENUM duration | | STRING ext-duration | +---------------------+
Figure 28: The Counter Class
図28:カウンタークラス
The Counter class has three attribute:
カウンタークラスには3つの属性があります。
type Required. ENUM. Specifies the units of the element content.
必要なタイプ。列挙。要素コンテンツの単位を指定します。
1. byte. Count of bytes.
1. バイト。バイト数。
2. packet. Count of packets.
2. パケット。パケットのカウント。
3. flow. Count of flow (e.g., NetFlow records).
3. フロー。流れのカウント(たとえば、Netflow Records)。
4. session. Count of sessions.
4. セッション。セッションのカウント。
5. alert. Count of notifications generated by another system (e.g., IDS or SIM).
5. アラート。別のシステムによって生成された通知のカウント(例:IDまたはSIM)。
6. message. Count of messages (e.g., mail messages).
6. メッセージ。メッセージのカウント(例:メールメッセージ)。
7. event. Count of events.
7. イベント。イベントのカウント。
8. host. Count of hosts.
8. ホスト。ホストのカウント。
9. site. Count of site.
9. サイト。サイトのカウント。
10. organization. Count of organizations.
10. 組織。組織のカウント。
11. ext-value. An escape value used to extend this attribute. See Section 5.1.
11. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
extタイプのオプション。弦。型属性を拡張する手段。セクション5.1を参照してください。
duration Optional. ENUM. If present, the Counter class represents a rate rather than a count over the entire event. In that case, this attribute specifies the denominator of the rate (where the type attribute specified the nominator). The possible values of this attribute are defined in Section 3.10.2
オプションの期間。列挙。存在する場合、カウンタークラスは、イベント全体をカウントするのではなく、レートを表します。その場合、この属性は、レートの分母を指定します(型属性が指定者を指定した場合)。この属性の可能な値は、セクション3.10.2で定義されています
ext-duration Optional. STRING. A means by which to extend the duration attribute. See Section 5.1.
エクステーションオプション。弦。持続時間属性を延長する手段。セクション5.1を参照してください。
The Address class represents a hardware (layer-2), network (layer-3), or application (layer-7) address.
アドレスクラスは、ハードウェア(レイヤー2)、ネットワーク(レイヤー3)、またはアプリケーション(レイヤー-7)アドレスを表します。
This class was derived from the IDMEF [17].
このクラスは、IDMEF [17]から派生しました。
+---------------------+ | Address | +---------------------+ | ENUM category | | STRING ext-category | | STRING vlan-name | | INTEGER vlan-num | +---------------------+
Figure 29: The Address Class
図29:アドレスクラス
The Address class has four attributes:
アドレスクラスには4つの属性があります。
category Required. ENUM. The type of address represented. The permitted values for this attribute are shown below. The default value is "ipv4-addr".
必要なカテゴリ。列挙。表されるアドレスのタイプ。この属性の許可された値を以下に示します。デフォルト値は「IPv4-Addr」です。
1. asn. Autonomous System Number
1. asn。自律システム番号
2. atm. Asynchronous Transfer Mode (ATM) address 3. e-mail. Electronic mail address (RFC 822)
2. ATM。非同期転送モード(ATM)アドレス3.電子メール。電子メールアドレス(RFC 822)
4. ipv4-addr. IPv4 host address in dotted-decimal notation (a.b.c.d)
4. IPv4-Addr。点線式表記のIPv4ホストアドレス(A.B.C.D)
5. ipv4-net. IPv4 network address in dotted-decimal notation, slash, significant bits (a.b.c.d/nn)
5. IPv4-net。点線型表記、スラッシュ、有意ビット(A.B.C.D/NN)のIPv4ネットワークアドレス
6. ipv4-net-mask. IPv4 network address in dotted-decimal notation, slash, network mask in dotted-decimal notation (a.b.c.d/w.x.y.z)
6. ipv4-netmask。点線の表記法、スラッシュ、点線型程度のネットワークマスク(A.B.C.D/W.X.Y.Z)のIPv4ネットワークアドレス
7. ipv6-addr. IPv6 host address
7. IPv6-Addr。IPv6ホストアドレス
8. ipv6-net. IPv6 network address, slash, significant bits
8. IPv6-net。IPv6ネットワークアドレス、スラッシュ、かなりのビット
9. ipv6-net-mask. IPv6 network address, slash, network mask
9. IPv6-net-mask。IPv6ネットワークアドレス、スラッシュ、ネットワークマスク
10. mac. Media Access Control (MAC) address
10. マック。メディアアクセス制御(MAC)アドレス
11. ext-value. An escape value used to extend this attribute. See Section 5.1.
11. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.
extカテゴリオプション。弦。カテゴリ属性を拡張する手段。セクション5.1を参照してください。
vlan-name Optional. STRING. The name of the Virtual LAN to which the address belongs.
vlan-nameオプション。弦。アドレスが属する仮想LANの名前。
vlan-num Optional. STRING. The number of the Virtual LAN to which the address belongs.
vlan-numオプション。弦。アドレスが属する仮想LANの数。
The NodeRole class describes the intended function performed by a particular host.
Noderoleクラスは、特定のホストによって実行される意図した関数について説明します。
+---------------------+ | NodeRole | +---------------------+ | ENUM category | | STRING ext-category | | ENUM lang | +---------------------+
Figure 30: The NodeRole Class
図30:ノデロールクラス
The NodeRole class has three attributes:
Noderoleクラスには3つの属性があります。
category Required. ENUM. Functionality provided by a node.
必要なカテゴリ。列挙。ノードによって提供される機能。
1. client. Client computer
1. クライアント。クライアントコンピューター
2. server-internal. Server with internal services
2. サーバーインターナル。内部サービスを備えたサーバー
3. server-public. Server with public services
3. サーバーパブリック。公共サービスを備えたサーバー
4. www. WWW server
4. www。WWWサーバー
5. mail. Mail server
5. 郵便。メールサーバー
6. messaging. Messaging server (e.g., NNTP, IRC, IM)
6. メッセージング。メッセージングサーバー(例:NNTP、IRC、IM)
7. streaming. Streaming-media server
7. ストリーミング。ストリーミングメディアサーバー
8. voice. Voice server (e.g., SIP, H.323)
8. 声。音声サーバー(SIP、H.323など)
9. file. File server (e.g., SMB, CVS, AFS)
9. ファイル。ファイルサーバー(例:SMB、CVS、AFS)
10. ftp. FTP server
10. FTP。FTPサーバー
11. p2p. Peer-to-peer node
11. p2p。ピアツーピアノード
12. name. Name server (e.g., DNS, WINS)
12. 名前。名前サーバー(例:DNS、WINS)
13. directory. Directory server (e.g., LDAP, finger, whois)
13. ディレクトリ。ディレクトリサーバー(例:ldap、finger、whois)
14. credential. Credential server (e.g., domain controller, Kerberos)
14. 資格情報。資格的サーバー(例:ドメインコントローラー、Kerberos)
15. print. Print server
15. 印刷。サーバーを印刷します
16. application. Application server 17. database. Database server
16. 応用。アプリケーションサーバー17.データベース。データベースサーバー
18. infra. Infrastructure server (e.g., router, firewall, DHCP)
18. インフラ。インフラストラクチャサーバー(例:ルーター、ファイアウォール、DHCP)
19. log. Logserver (e.g., syslog)
19. ログ。logserver(例:syslog)
20. ext-value. An escape value used to extend this attribute. See Section 5.1.
20. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.
extカテゴリオプション。弦。カテゴリ属性を拡張する手段。セクション5.1を参照してください。
lang Required. ENUM. A valid language code per RFC 4646 [7] constrained by the definition of "xs:language". The interpretation of this code is described in Section 6.
ラングが必要です。列挙。「XS:言語」の定義によって制約されているRFC 4646 [7]あたりの有効な言語コード。このコードの解釈は、セクション6で説明されています。
The Service class describes a network service of a host or network. The service is identified by specific port or list of ports, along with the application listening on that port.
サービスクラスでは、ホストまたはネットワークのネットワークサービスについて説明します。このサービスは、特定のポートまたはポートのリストによって識別され、アプリケーションはそのポートを聴きます。
When Service occurs as an aggregate class of a System that is a source, then this service is the one from which activity of interest is originating. Conversely, when Service occurs as an aggregate class of a System that is a target, then that service is the one to which activity of interest is directed.
サービスがソースであるシステムの集約クラスとしてサービスが発生する場合、このサービスは関心のあるアクティビティが発生しているサービスです。逆に、サービスがターゲットであるシステムの総クラスとしてサービスが発生した場合、そのサービスは関心のある活動が指示されるものです。
This class was derived from the IDMEF [17].
このクラスは、IDMEF [17]から派生しました。
+---------------------+ | Service | +---------------------+ | INTEGER ip_protocol |<>--{0..1}--[ Port ] | |<>--{0..1}--[ Portlist ] | |<>--{0..1}--[ ProtoCode ] | |<>--{0..1}--[ ProtoType ] | |<>--{0..1}--[ ProtoFlags ] | |<>--{0..1}--[ Application ] +---------------------+
Figure 31: The Service Class
図31:サービスクラス
The aggregate classes that constitute Service are: Port Zero or one. INTEGER. A port number.
サービスを構成する集約クラスは、ポートゼロまたは1つです。整数。ポート番号。
Portlist Zero or one. PORTLIST. A list of port numbers formatted according to Section 2.10.
ポートリストゼロまたは1。ポートリスト。セクション2.10に従ってフォーマットされたポート番号のリスト。
ProtoCode Zero or one. INTEGER. A layer-4 protocol-specific code field (e.g., ICMP code field).
ゼロまたは1つのプロトコード。整数。レイヤー-4プロトコル固有のコードフィールド(例:ICMPコードフィールド)。
ProtoType Zero or one. INTEGER. A layer-4 protocol specific type field (e.g., ICMP type field).
プロトタイプゼロまたは1。整数。レイヤー-4プロトコル固有のタイプフィールド(ICMPタイプフィールドなど)。
ProtoFlags Zero or one. INTEGER. A layer-4 protocol specific flag field (e.g., TCP flag field).
プロトフラグゼロまたは1。整数。レイヤー-4プロトコル固有のフラグフィールド(TCPフラグフィールドなど)。
Application Zero or more. The application bound to the specified Port or Portlist.
アプリケーションゼロ以上。指定されたポートまたはポートリストにバインドされたアプリケーション。
Either a Port or Portlist class MUST be specified for a given instance of a Service class.
ポートクラスまたはポートリストクラスのいずれかを、サービスクラスの特定のインスタンスに指定する必要があります。
For a given source, System@type="source", a corresponding target, System@type="target", maybe defined, or vice versa. When a Portlist class is defined in the Service class of both the source and target in a given instance of the Flow class, there MUST be symmetry in the enumeration of the ports. Thus, if n-ports are listed for a source, n-ports should be listed for the target. Likewise, the ports should be listed in an identical sequence such that the n-th port in the source corresponds to the n-th port of the target. This symmetry in listing and sequencing of ports applies whether there are 1-to-1, 1-to-many, or many-to-many sources-to-targets. In the 1-to-many or many-to-many, the exact order in which the System classes are enumerated in the Flow class is significant.
特定のソースの場合、System@Type = "Source"、対応するターゲット、System@Type = "ターゲット"、おそらく定義された、またはその逆も同様です。ポートリストクラスが、フロークラスの特定のインスタンスでソースとターゲットの両方のサービスクラスで定義されている場合、ポートの列挙に対称性が必要です。したがって、ソースにnポートがリストされている場合、ターゲットにはnポートをリストする必要があります。同様に、ポートは、ソース内のn番目のポートがターゲットのn番目のポートに対応するように、同一のシーケンスにリストする必要があります。ポートのリストとシーケンスにおけるこの対称性は、1対1、1対1〜多くのソース、またはターゲットのソースがあるかどうかにかかわらず適用されます。1対多数または多目的で、システムクラスがフロークラスで列挙される正確な順序は重要です。
The Service class has one attribute:
サービスクラスには1つの属性があります。
ip_protocol Required. INTEGER. The IANA protocol number.
IP_Protocolが必要です。整数。IANAプロトコル番号。
The Application class describes an application running on a System providing a Service.
アプリケーションクラスでは、サービスを提供するシステムで実行されているアプリケーションについて説明します。
+--------------------+ | Application | +--------------------+ | STRING swid |<>--{0..1}--[ URL ] | STRING configid | | STRING vendor | | STRING family | | STRING name | | STRING version | | STRING patch | +--------------------+
Figure 32: The Application Class
図32:アプリケーションクラス
The aggregate class that constitutes Application is:
アプリケーションを構成する集約クラスは次のとおりです。
URL Zero or one. URL. A URL describing the application.
URLゼロまたは1。URL。アプリケーションを説明するURL。
The Application class has seven attributes:
アプリケーションクラスには7つの属性があります。
swid Optional. STRING. An identifier that can be used to reference this software.
SWIDオプション。弦。このソフトウェアを参照するために使用できる識別子。
configid Optional. STRING. An identifier that can be used to reference a particular configuration of this software.
configidオプション。弦。このソフトウェアの特定の構成を参照するために使用できる識別子。
vendor Optional. STRING. Vendor name of the software.
ベンダーオプション。弦。ソフトウェアのベンダー名。
family Optional. STRING. Family of the software.
家族オプション。弦。ソフトウェアの家族。
name Optional. STRING. Name of the software.
オプションの名前。弦。ソフトウェアの名前。
version Optional. STRING. Version of the software.
オプションのバージョン。弦。ソフトウェアのバージョン。
patch Optional. STRING. Patch or service pack level of the software.
オプションのパッチ。弦。ソフトウェアのパッチまたはサービスパックレベル。
The OperatingSystem class describes the operating system running on a System. The definition is identical to the Application class (Section 3.17.1).
OperatingSystemクラスは、システムで実行されているオペレーティングシステムについて説明します。定義は、アプリケーションクラス(セクション3.17.1)と同じです。
The Record class is a container class for log and audit data that provides supportive information about the incident. The source of this data will often be the output of monitoring tools. These logs should substantiate the activity described in the document.
レコードクラスは、インシデントに関するサポート情報を提供するログおよび監査データのコンテナクラスです。このデータのソースは、多くの場合、監視ツールの出力になります。これらのログは、ドキュメントに記載されているアクティビティを実証する必要があります。
+------------------+ | Record | +------------------+ | ENUM restriction |<>--{1..*}--[ RecordData ] +------------------+
Figure 33: Record Class
図33:レコードクラス
The aggregate class that constitutes Record is:
レコードを構成する集約クラスは次のとおりです。
RecordData One or more. Log or audit data generated by a particular type of sensor. Separate instances of the RecordData class SHOULD be used for each sensor type.
RecordData 1つ以上。特定のタイプのセンサーによって生成されたログまたは監査データ。RecordDataクラスの個別のインスタンスは、各センサータイプに使用する必要があります。
The Record class has one attribute:
レコードクラスには1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The RecordData class groups log or audit data from a given sensor (e.g., IDS, firewall log) and provides a way to annotate the output.
RecordDataクラスグループは、特定のセンサー(IDS、ファイアウォールログなど)からログまたは監査データをグループ化し、出力に注釈を付ける方法を提供します。
+------------------+ | RecordData | +------------------+ | ENUM restriction |<>--{0..1}--[ DateTime ] | |<>--{0..*}--[ Description ] | |<>--{0..1}--[ Application ] | |<>--{0..*}--[ RecordPattern ] | |<>--{1..*}--[ RecordItem ] | |<>--{0..*}--[ AdditionalData ] +------------------+
Figure 34: The RecordData Class
図34:RecordDataクラス
The aggregate classes that constitutes RecordData is:
RecordDataを構成する集計クラスは次のとおりです。
DateTime Zero or one. Timestamp of the RecordItem data.
DateTimeゼロまたは1。記録データのタイムスタンプ。
Description Zero or more. ML_STRING. Free-form textual description of the provided RecordItem data. At minimum, this description should convey the significance of the provided RecordItem data.
説明ゼロ以上。ML_STRING。提供された記録データのフリーフォームテキスト説明。少なくとも、この説明は、提供された記録データの重要性を伝える必要があります。
Application Zero or one. Information about the sensor used to generate the RecordItem data.
アプリケーションゼロまたは1。RecordItemデータを生成するために使用されるセンサーに関する情報。
RecordPattern Zero or more. A search string to precisely find the relevant data in a RecordItem.
RecordPatternゼロ以上。関連するデータを録音に正確に見つける検索文字列。
RecordItem One or more. Log, audit, or forensic data.
recorditem 1つ以上。ログ、監査、または法医学データ。
AdditionalData Zero or one. An extension mechanism for data not explicitly represented in the data model.
追加のゼロまたは1つ。データモデルで明示的に表されないデータの拡張メカニズム。
The RecordData class has one attribute:
RecordDataクラスには1つの属性があります。
restriction Optional. ENUM. This attribute has been defined in Section 3.2.
制限オプション。列挙。この属性は、セクション3.2で定義されています。
The RecordPattern class describes where in the content of the RecordItem relevant information can be found. It provides a way to reference subsets of information, identified by a pattern, in a large log file, audit trail, or forensic data.
RecordPatternクラスでは、RecordITEM関連情報のコンテンツがどこにあるかを説明しています。これは、パターンで識別される情報のサブセットを、大きなログファイル、監査証跡、または法医学データで識別する方法を提供します。
+-----------------------+ | RecordPattern | +-----------------------+ | STRING | | | | ENUM type | | STRING ext-type | | INTEGER offset | | ENUM offsetunit | | STRING ext-offsetunit | | INTEGER instance | +-----------------------+
Figure 35: The RecordPattern Class
図35:RecordPatternクラス
The specific pattern to search with in the RecordItem is defined in the body of the element. It is further annotated by four attributes:
録音内で検索する特定のパターンは、要素の本体で定義されます。さらに、4つの属性によって注釈が付けられています。
type Required. ENUM. Describes the type of pattern being specified in the element content. The default is "regex".
必要なタイプ。列挙。要素コンテンツで指定されているパターンのタイプについて説明します。デフォルトは「Regex」です。
1. regex. regular expression, per Appendix F of [3].
1. 正規表現。正規表現、[3]の付録Fごと。
2. binary. Binhex encoded binary pattern, per the HEXBIN data type.
2. バイナリ。BINHEXは、ヘクスビンデータ型ごとにバイナリパターンをエンコードしました。
3. xpath. XML Path (XPath) [5]
3. xpath。XMLパス(XPath)[5]
4. ext-value. An escape value used to extend this attribute. See Section 5.1.
4. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.
extタイプのオプション。弦。型属性を拡張する手段。セクション5.1を参照してください。
offset Optional. INTEGER. Amount of units (determined by the offsetunit attribute) to seek into the RecordItem data before matching the pattern.
オプションオプション。整数。パターンに一致する前に、録音データを探すためのユニットの量(OffsetUnit属性によって決定)。
offsetunit Optional. ENUM. Describes the units of the offset attribute. The default is "line".
オプションオプション。列挙。オフセット属性の単位について説明します。デフォルトは「行」です。
1. line. Offset is a count of lines.
1. ライン。オフセットは行のカウントです。
2. binary. Offset is a count of bytes.
2. バイナリ。オフセットはバイトのカウントです。
3. ext-value. An escape value used to extend this attribute. See Section 5.1.
3. ext-value。この属性を拡張するために使用されるエスケープ値。セクション5.1を参照してください。
ext-offsetunit Optional. STRING. A means by which to extend the offsetunit attribute. See Section 5.1.
ext-offsetunitオプション。弦。OffsetUnit属性を拡張する手段。セクション5.1を参照してください。
instance Optional. INTEGER. Number of types to apply the specified pattern.
インスタンスオプション。整数。指定されたパターンを適用するタイプの数。
The RecordItem class provides a way to incorporate relevant logs, audit trails, or forensic data to support the conclusions made during the course of analyzing the incident. The class supports both the direct encapsulation of the data, as well as, provides primitives to reference data stored elsewhere.
RecordItemクラスは、関連するログ、監査証跡、または法医学データを組み込む方法を提供し、インシデントの分析中に行われた結論をサポートします。クラスは、データの直接カプセル化の両方をサポートし、他の場所に保存されているデータを参照するためのプリミティブを提供します。
This class is identical to AdditionalData class (Section 3.6).
このクラスは、追加のDataクラスと同じです(セクション3.6)。
This section defines additional requirements on creating and parsing IODEF documents.
このセクションでは、IODEFドキュメントの作成と解析に関する追加の要件を定義します。
Every IODEF document MUST begin with an XML declaration, and MUST specify the XML version used. If UTF-8 encoding is not used, the character encoding MUST also be explicitly specified. The IODEF conforms to all XML data encoding conventions and constraints.
すべてのIODEFドキュメントは、XML宣言から開始する必要があり、使用されるXMLバージョンを指定する必要があります。UTF-8エンコーディングが使用されていない場合、文字エンコードも明示的に指定する必要があります。IODEFは、規則と制約をエンコードするすべてのXMLデータに準拠しています。
The XML declaration with no character encoding will read as follows:
文字エンコードなしのXML宣言は、次のように読み取られます。
<?xml version="1.0" ?>
When a character encoding is specified, the XML declaration will read like the following:
文字エンコーディングが指定されている場合、XML宣言は次のように読み取られます。
<?xml version="1.0" encoding="charset" ?>
Where "charset" is the name of the character encoding as registered with the Internet Assigned Numbers Authority (IANA), see [9].
ここで、「charset」は、インターネットに割り当てられた数字の権限(IANA)に登録されているキャラクターエンコードの名前です。[9]を参照してください。
The following characters have special meaning in XML and MUST be escaped with their entity reference equivalent: "&", "<", ">", "\"" (double quotation mark), and "'" (apostrophe). These entity references are "&", "<", ">", """, and "'" respectively.
次の文字はXMLで特別な意味を持ち、エンティティリファレンスに相当するもので逃げる必要があります: "&"、 "<"、 ">"、 "\" "(二重引用符)、および「 '"(アポストロフィ)。これらのエンティティ参照は、それぞれ「&amp;」、 "&lt;"、 "&gt;"、 "&quot;"、および「&apos;」です。
The IODEF schema declares a namespace of "urn:ietf:params:xml:ns:iodef-1.0" and registers it per [4]. Each IODEF document SHOULD include a valid reference to the IODEF schema using the "xsi:schemaLocation" attribute. An example of such a declaration would look as follows:
IODEFスキーマは、「urn:ietf:params:xml:ns:iodef-1.0」の名前空間を宣言し、[4]に従って登録します。各IODEFドキュメントには、「XSI:Schemalocation」属性を使用してIODEFスキーマへの有効な参照を含める必要があります。そのような宣言の例は、次のように見えます。
<IODEF-Document version="1.00" lang="en-US" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" xsi:schemaLocation="urn:ietf:params:xmls:schema:iodef-1.0">
The IODEF documents MUST be well-formed XML and SHOULD be validated against the schema described in Section 8. However, mere conformance to the schema is not sufficient for a semantically valid IODEF document. There is additional specification in the text of Section 3 that cannot be readily encoded in the schema and it must also be considered by an IODEF parser. The following is a list of discrepancies in what is more strictly specified in the normative text (Section 3), but not enforced in the IODEF schema:
IODEFドキュメントは、適切に形成されたXMLでなければならず、セクション8で説明したスキーマに対して検証する必要があります。ただし、スキーマへの単なる適合は、意味的に有効なIODEFドキュメントには十分ではありません。セクション3のテキストには、スキーマで容易にエンコードできない追加の仕様があり、IODEFパーサーでも考慮する必要があります。以下は、規範的なテキスト(セクション3)でより厳密に指定されているものの矛盾のリストですが、IODEFスキーマでは施行されていません。
o The elements or attributes that are defined as POSTAL, NAME, PHONE, and EMAIL data-types are implemented as "xs:string", but more rigid formatting requirements are specified in the text.
o 郵便、名前、電話、電子メールデータタイプとして定義される要素または属性は「XS:文字列」として実装されていますが、テキストではより厳格なフォーマット要件が指定されています。
o The IODEF-Document@lang and MLStringType@lang attributes are declared as an "xs:language" that constrains values with a regular expression. However, the value of this attribute still needs to be validated against the list of possible enumerated values is defined in [7].
o iodef-document@langおよびmlstringtype@lang属性は、値を正規表現で制約する「xs:言語」として宣言されます。ただし、この属性の値は、可能な列挙された値のリストに対して検証する必要があります。[7]で定義されています。
o The MonetaryImpact@currency attribute is declared as an "xs: string", but the list of valid values as defined in [14].
o MonetaryImpact@Currency属性は「XS:String」として宣言されますが、[14]で定義されている有効な値のリスト。
o All of the aggregated classes Contact and EventData are optional in the schema, but at least one of these aggregated classes MUST be present.
o 集約されたクラスの連絡先とEventDataはすべて、スキーマではオプションですが、これらの集計クラスの少なくとも1つが存在する必要があります。
o There are multiple conventions that can be used to categorize a system using the NodeRole class or to specify software with the Application and OperatingSystem classes. IODEF parsers MUST accept incident reports that do not use these fields in accordance with local conventions.
o Noderoleクラスを使用してシステムを分類したり、アプリケーションおよびオペレーティングシステムクラスを使用してソフトウェアを指定するために使用できる複数の規則があります。IODEFパーサーは、地元の条約に従ってこれらのフィールドを使用しないインシデントレポートを受け入れる必要があります。
o The Confidence@rating attribute determines whether the element content of Confidence should be empty.
o Confident@Rating属性は、信頼性の要素コンテンツが空であるべきかどうかを決定します。
o The Address@type attribute determines the format of the element content.
o アドレス@型属性は、要素コンテンツの形式を決定します。
o The attributes AdditionalData@dtype and RecordItem@dtype derived from iodef:ExtensionType determine the semantics and formatting of the element content.
o 属性は、IODEFから派生したAdstitionData@dtypeおよびRecordItem@DType:extensionType要素コンテンツのセマンティクスとフォーマットを決定します。
o Symmetry in the enumerated ports of a Portlist class is required between sources and targets. See Section 3.17.
o ポートリストクラスの列挙されたポートの対称性は、ソースとターゲット間で必要です。セクション3.17を参照してください。
In order to support the changing activity of CSIRTS, the IODEF data model will need to evolve along with them. This section discusses how new data elements that have no current representation in the data model can be incorporated into the IODEF. These techniques are designed so that adding new data will not require a change to the IODEF schema. With proven value, well documented extensions can be incorporated into future versions of the specification. However, this approach also supports private extensions relevant only to a closed consortium.
CSIRTの変化するアクティビティをサポートするために、IODEFデータモデルはそれらとともに進化する必要があります。このセクションでは、データモデルに現在の表現がない新しいデータ要素をIODEFに組み込む方法について説明します。これらの手法は、新しいデータを追加してもIODEFスキーマの変更を必要としないように設計されています。実証済みの価値で、適切に文書化された拡張機能を、仕様の将来のバージョンに組み込むことができます。ただし、このアプローチは、閉鎖コンソーシアムにのみ関連するプライベートエクステンションもサポートしています。
The data model supports a means by which to add new enumerated values to an attribute. For each attribute that supports this extension technique, there is a corresponding attribute in the same element whose name is identical, less a prefix of "ext-". This special attribute is referred to as the extension attribute, and the attribute being extended is referred to as an extensible attribute. For example, an extensible attribute named "foo" will have a corresponding extension attribute named "ext-foo". An element may have many extensible, and therefore many extension, attributes.
データモデルは、属性に新しい列挙値を追加する手段をサポートします。この拡張手法をサポートする各属性について、名前が同一である「ext-」の接頭辞が少ない同じ要素に対応する属性があります。この特別な属性は拡張属と呼ばれ、拡張される属性は拡張可能な属性と呼ばれます。たとえば、「foo」という名前の拡張可能な属性には、「ext-foo」という名前の対応する拡張属性があります。要素には、多くの拡張可能な、したがって多くの拡張属性がある場合があります。
In addition to a corresponding extension attribute, each extensible attribute has "ext-value" as one its possible values. This particular value serves as an escape sequence and has no valid meaning.
対応する拡張属性に加えて、各拡張可能な属性には、可能な値の1つとして「ext-value」があります。この特定の値はエスケープシーケンスとして機能し、有効な意味はありません。
In order to add a new enumerated value to an extensible attribute, the value of this attribute MUST be set to "ext-value", and the new desired value MUST be set in the corresponding extension attribute. For example, an extended instance of the type attribute of the Impact class would look as follows:
拡張可能な属性に新しい列挙値を追加するには、この属性の値を「ext-value」に設定する必要があり、新しい目的の値を対応する拡張属性に設定する必要があります。たとえば、インパクトクラスの型属性の拡張インスタンスは次のように見えます。
<Impact type="ext-value" ext-type="new-attack-type">
A given extension attribute MUST NOT be set unless the corresponding extensible attribute has been set to "ext-value".
対応する拡張可能な属性が「ext-Value」に設定されていない限り、特定の拡張属性を設定しないでください。
The classes of the data model can be extended only through the use of the AdditionalData and RecordItem classes. These container classes, collectively referred to as the extensible classes, are implemented with the iodef:ExtensionType data type in the schema. They provide the ability to have new atomic or XML-encoded data elements in all of the top-level classes of the Incident class and a few of the more complicated subordinate classes. As there are multiple instances of the extensible classes in the data model, there is discretion on where to add a new data element. It is RECOMMENDED that the extension be placed in the most closely related class to the new information.
データモデルのクラスは、追加のDataクラスとRecordItemクラスを使用してのみ拡張できます。拡張可能なクラスと総称されるこれらのコンテナクラスは、スキーマ内のIODEF:ExtensionTypeデータ型で実装されています。彼らは、インシデントクラスのすべてのトップレベルクラスと、より複雑な下位クラスのいくつかに新しい原子またはXMLエンコードされたデータ要素を持つ機能を提供します。データモデルには拡張可能なクラスの複数のインスタンスがあるため、新しいデータ要素をどこに追加するかについての裁量があります。拡張機能は、新しい情報に最も密接に関連するクラスに配置することをお勧めします。
Extensions using the atomic data types (i.e., all values of the dtype attributes other than "xml") MUST:
原子データ型を使用した拡張(つまり、「XML」以外のDTYPE属性のすべての値)が必要です。
1. Set the element content of extensible class to the desired value, and
1. 拡張可能なクラスの要素コンテンツを目的の値に設定し、
2. Set the dtype attribute to correspond to the data type of the element content.
2. DTYPE属性を設定して、要素コンテンツのデータ型に対応します。
The following guidelines exist for extensions using XML:
XMLを使用した拡張機能には、次のガイドラインが存在します。
1. The element content of the extensible class MUST be set to the desired value and the dtype attribute MUST be set to "xml".
1. 拡張可能なクラスの要素コンテンツは目的の値に設定する必要があり、DTYPE属性は「XML」に設定する必要があります。
2. The extension schema MUST declare a separate namespace. It is RECOMMENDED that these extensions have the prefix "iodef-".
2. 拡張スキーマは、別の名前空間を宣言する必要があります。これらの拡張機能には、接頭辞「IODEF-」があることをお勧めします。
3. It is RECOMMENDED that extension schemas follow the naming convention of the IODEF data model. The names of all elements are capitalized. For composed names, a capital letter is used for each word. Attribute names are lower case.
3. 拡張スキーマは、IODEFデータモデルの命名規則に従うことをお勧めします。すべての要素の名前は大文字です。構成された名前の場合、各単語に大文字が使用されます。属性名は小文字です。
4. When a parser encounters an IODEF document with an extension it does not understand, this extension MUST be ignored (and not processed), but the remainder of the document MUST be processed. Parsers will be able to identify these extensions for which they have no processing logic through the namespace declaration. Parsers that encounter an unrecognized element in a namespace that they do support SHOULD reject the document as a syntax error.
4. パーサーが理解できない拡張機能でIODEFドキュメントに遭遇する場合、この拡張子は無視する必要があります(処理されません)が、ドキュメントの残りの部分を処理する必要があります。パーサーは、名前空間宣言を介して処理ロジックを持たないこれらの拡張機能を識別できます。サポートする名前空間で認識されていない要素に遭遇するパーサーは、構文エラーとしてドキュメントを拒否する必要があります。
5. Implementations SHOULD NOT download schemas at runtime due to the security implications, and extensions MUST NOT be required to provide a resolvable location of their schema.
5. セキュリティの影響により、実行時にスキーマをダウンロードしないでください。スキーマの解決可能な場所を提供するために拡張機能を必要としないでください。
The following schema and XML document excerpt provide a template for an extension schema and its use in the IODEF document.
次のスキーマとXMLドキュメントの抜粋は、拡張スキーマのテンプレートとIODEFドキュメントでの使用を提供します。
This example schema defines a namespace of "iodef-extension1" and a single element named "newdata".
この例スキーマは、「IODEF-Extension1」の名前空間と「NewData」という名前の単一の要素を定義しています。
<xs:schema targetNamespace="iodef-extension1.xsd" xmlns:iodef-extension1="iodef-extension1.xsd" xmlns:xs="http://www.w3.org/2001/XMLSchema"> attributeFormDefault="unqualified" elementFormDefault="qualified"> <xs:import namespace="urn:ietf:params:xml:ns:iodef-1.0" schemaLocation=" urn:ietf:params:xml:schema:iodef-1.0"/>
<xs:element name="newdata" type="xs:string" /> </xs:schema>
The following XML excerpt demonstrates the use of the above schema as an extension to the IODEF.
次のXML抜粋は、IODEFの拡張として上記のスキーマを使用することを示しています。
<IODEF-Document version="1.00" lang="en-US" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef=" urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef-extension1="iodef-extension1.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="iodef-extension1.xsd"> <Incident purpose="reporting"> ... <AdditionalData dtype="xml" meaning="xml"> <iodef-extension1:newdata> Field that could not be represented elsewhere </iodef-extension1:newdata> </AdditionalData> </Incident> </IODEF-Document>
Internationalization and localization is of specific concern to the IODEF, since it is only through collaboration, often across language barriers, that certain incidents be resolved. The IODEF supports this goal by depending on XML constructs, and through explicit design choices in the data model.
国際化とローカリゼーションは、特定の事件が解決されるのは、多くの場合、言語の障壁を越えてコラボレーションを通じてのみであるため、IODEFにとって特定の懸念です。IODEFは、XMLコンストラクトに依存し、データモデルの明示的な設計選択を通じて、この目標をサポートします。
Since IODEF is implemented as an XML Schema, it implicitly supports all the different character encodings, such as UTF-8 and UTF-16, possible with XML. Additionally, each IODEF document MUST specify the language in which their contents are encoded. The language can be specified with the attribute "xml:lang" (per Section 2.12 of [1]) in the top-level element (i.e., IODEF-Document@lang) and letting all other elements inherit that definition. All IODEF classes with a free-form text definition (i.e., all those defined of type iodef: MLStringType) can also specify a language different from the rest of the document. The valid language codes for the "xml:lang" attribute are described in RFC 4646 [7].
IODEFはXMLスキーマとして実装されているため、XMLで可能なUTF-8やUTF-16など、すべての異なる文字エンコーディングを暗黙的にサポートします。さらに、各IODEFドキュメントは、内容がエンコードされる言語を指定する必要があります。言語は、属性「xml:lang」([1]のセクション2.12に従って)で指定することができます(つまり、iodef-document@lang)、他のすべての要素にその定義を継承することができます。自由形式のテキスト定義(つまり、タイプIODEF:MLSTRINGTYPEで定義されているものすべて)を持つすべてのIODEFクラスは、ドキュメントの他の部分とは異なる言語を指定することもできます。「XML:Lang」属性の有効な言語コードは、RFC 4646 [7]で説明されています。
The data model supports multiple translations of free-form text. In the places where free-text is used for descriptive purposes, the given class always has a one-to-many cardinality to its parent (e.g., Description class). The intent is to allow the identical text to be encoded in different instances of the same class, but each being in a different language. This approach allows an IODEF document author to send recipients speaking different languages an identical document. The IODEF parser SHOULD extract the appropriate language relevant to the recipient.
データモデルは、フリーフォームテキストの複数の翻訳をサポートしています。説明的な目的にフリーテキストが使用されている場所では、指定されたクラスには常に親に1対多くのカーディナリティがあります(例:説明クラス)。意図は、同じクラスの異なるインスタンスで同一のテキストをエンコードすることを許可することですが、それぞれが異なる言語であることです。このアプローチにより、IODEFドキュメント著者は、異なる言語を話す受信者に同一のドキュメントを送信できます。IODEFパーサーは、受信者に関連する適切な言語を抽出する必要があります。
While the intent of the data model is to provide internationalization and localization, the intent is not to do so at the detriment of interoperability. While the IODEF does support different languages, the data model also relies heavily on standardized enumerated attributes that can crudely approximate the contents of the document. With this approach, a CSIRT should be able to make some sense of an IODEF document it receives even if the text based data elements are written in a language unfamiliar to the analyst.
データモデルの意図は国際化とローカリゼーションを提供することですが、意図は相互運用性を損なうことでそうすることではありません。IODEFは異なる言語をサポートしていますが、データモデルは、ドキュメントの内容を粗く概算できる標準化された列挙属性にも大きく依存しています。このアプローチを使用すると、CSIRTは、テキストベースのデータ要素がアナリストに馴染みのない言語で記述されている場合でも、受信するIODEFドキュメントをある程度理解できるはずです。
This section provides examples of an incident encoded in the IODEF. These examples do not necessarily represent the only way to encode a particular incident.
このセクションでは、IODEFにエンコードされたインシデントの例を示します。これらの例は、特定のインシデントをエンコードする唯一の方法を必ずしも表しているわけではありません。
An example of a CSIRT reporting an instance of the Code Red worm.
コードレッドワームのインスタンスを報告するCSIRTの例。
<?xml version="1.0" encoding="UTF-8"?> <!-- This example demonstrates a report for a very old worm (Code Red) --> <IODEF-Document version="1.00" lang="en" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="reporting"> <IncidentID name="csirt.example.com">189493</IncidentID> <ReportTime>2001-09-13T23:19:24+00:00</ReportTime> <Description>Host sending out Code Red probes</Description> <!-- An administrative privilege was attempted, but failed --> <Assessment> <Impact completion="failed" type="admin"/> </Assessment> <Contact role="creator" type="organization"> <ContactName>Example.com CSIRT</ContactName> <RegistryHandle registry="arin">example-com</RegistryHandle> <Email>contact@csirt.example.com</Email> </Contact> <EventData> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.200</Address> <Counter type="event">57</Counter> </Node> </System> <System category="target">
<Node> <Address category="ipv4-net">192.0.2.16/28</Address> </Node> <Service ip_protocol="6"> <Port>80</Port> </Service> </System> </Flow> <Expectation action="block-host" /> <!-- <RecordItem> has an excerpt from a log --> <Record> <RecordData> <DateTime>2001-09-13T18:11:21+02:00</DateTime> <Description>Web-server logs</Description> <RecordItem dtype="string"> 192.0.2.1 - - [13/Sep/2001:18:11:21 +0200] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX </RecordItem> <!-- Additional logs --> <RecordItem dtype="url"> http://mylogs.example.com/logs/httpd_access</RecordItem> </RecordData> </Record> </EventData> <History> <!-- Contact was previously made with the source network owner --> <HistoryItem action="contact-source-site"> <DateTime>2001-09-14T08:19:01+00:00</DateTime> <Description>Notification sent to constituency-contact@192.0.2.200</Description> </HistoryItem> </History> </Incident> </IODEF-Document>
An example of a CSIRT reporting a scanning activity.
スキャンアクティビティを報告するCSIRTの例。
<?xml version="1.0" encoding="UTF-8" ?> <!-- This example describes reconnaissance activity: one-to-one and one-to-many scanning -->
<IODEF-Document version="1.00" lang="en" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="reporting"> <IncidentID name="csirt.example.com">59334</IncidentID> <ReportTime>2006-08-02T05:54:02-05:00</ReportTime> <Assessment> <Impact type="recon" completion="succeeded" /> </Assessment> <Method> <!-- Reference to the scanning tool "nmap" --> <Reference> <ReferenceName>nmap</ReferenceName> <URL>http://nmap.toolsite.example.com</URL> </Reference> </Method> <!-- Organizational contact and that for staff in that organization --> <Contact role="creator" type="organization"> <ContactName>CSIRT for example.com</ContactName> <Email>contact@csirt.example.com</Email> <Telephone>+1 412 555 12345</Telephone> <!-- Since this <Contact> is nested, Joe Smith is part of the CSIRT for example.com --> <Contact role="tech" type="person" restriction="need-to-know"> <ContactName>Joe Smith</ContactName> <Email>smith@csirt.example.com</Email> </Contact> </Contact> <EventData> <!-- Scanning activity as follows: 192.0.2.1:60524 >> 192.0.2.3:137 192.0.2.1:60526 >> 192.0.2.3:138 192.0.2.1:60527 >> 192.0.2.3:139 192.0.2.1:60531 >> 192.0.2.3:445 --> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.200</Address> </Node> <Service ip_protocol="6"> <Portlist>60524,60526,60527,60531</Portlist> </Service> </System> <System category="target"> <Node>
<Address category="ipv4-addr">192.0.2.201</Address> </Node> <Service ip_protocol="6"> <Portlist>137-139,445</Portlist> </Service> </System> </Flow> <!-- Scanning activity as follows: 192.0.2.2 >> 192.0.2.3/28:445 --> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.240</Address> </Node> </System> <System category="target"> <Node> <Address category="ipv4-net">192.0.2.64/28</Address> </Node> <Service ip_protocol="6"> <Port>445</Port> </Service> </System> </Flow> </EventData> </Incident> </IODEF-Document>
An example of a CSIRT reporting a bot-network.
ボットネットワークを報告するCSIRTの例。
<?xml version="1.0" encoding="UTF-8" ?> <!-- This example describes a compromise and subsequent installation of bots --> <IODEF-Document version="1.00" lang="en" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="mitigation"> <IncidentID name="csirt.example.com">908711</IncidentID> <ReportTime>2006-06-08T05:44:53-05:00</ReportTime> <Description>Large bot-net</Description> <Assessment> <Impact type="dos" severity="high" completion="succeeded" />
</Assessment> <Method> <!-- References a given piece of malware, "GT Bot" --> <Reference> <ReferenceName>GT Bot</ReferenceName> </Reference> <!-- References the vulnerability used to compromise the machines --> <Reference> <ReferenceName>CA-2003-22</ReferenceName> <URL>http://www.cert.org/advisories/CA-2003-22.html</URL> <Description>Root compromise via this IE vulnerability to install the GT Bot</Description> </Reference> </Method> <!-- A member of the CSIRT that is coordinating this incident --> <Contact type="person" role="irt"> <ContactName>Joe Smith</ContactName> <Email>jsmith@csirt.example.com</Email> </Contact> <EventData> <Description>These hosts are compromised and acting as bots communicating with irc.example.com.</Description> <Flow> <!-- bot running on 192.0.2.1 and sending DoS traffic at 10,000 bytes/second --> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.1</Address> </Node> <Counter type="byte" duration="second">10000</Counter> <Description>bot</Description> </System> <!-- a second bot on 192.0.2.3 --> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.3</Address> </Node> <Counter type="byte" duration="second">250000</Counter> <Description>bot</Description> </System> <!-- Command-and-control IRC server for these bots--> <System category="intermediate"> <Node> <NodeName>irc.example.com</NodeName> <Address category="ipv4-addr">192.0.2.20</Address> <DateTime>2006-06-08T01:01:03-05:00</DateTime>
</Node> <Description>IRC server on #give-me-cmd channel</Description> </System> </Flow> <!-- Request to take these machines offline --> <Expectation action="investigate"> <Description>Confirm the source and take machines off-line and remediate</Description> </Expectation> </EventData> </Incident> </IODEF-Document>
An example of a CSIRT conveying a watch-list.
ウォッチリストを運ぶCSIRTの例。
<?xml version="1.0" encoding="UTF-8" ?> <!-- This example demonstrates a trivial IP watch-list --> <!-- @formatid is set to "watch-list-043" to demonstrate how additional semantics about this document could be conveyed assuming both parties understood it--> <IODEF-Document version="1.00" lang="en" formatid="watch-list-043" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:schema:iodef-1.0"> <Incident purpose="reporting" restriction="private"> <IncidentID name="csirt.example.com">908711</IncidentID> <ReportTime>2006-08-01T00:00:00-05:00</ReportTime> <Description>Watch-list of known bad IPs or networks</Description> <Assessment> <Impact type="admin" completion="succeeded" /> <Impact type="recon" completion="succeeded" /> </Assessment> <Contact type="organization" role="creator"> <ContactName>CSIRT for example.com</ContactName> <Email>contact@csirt.example.com</Email> </Contact> <!-- Separate <EventData> used to convey different <Expectation> --> <EventData> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.53</Address> </Node>
<Description>Source of numerous attacks</Description> </System> </Flow> <!-- Expectation class indicating that sender of list would like to be notified if activity from the host is seen --> <Expectation action="contact-sender" /> </EventData> <EventData> <Flow> <System category="source"> <Node> <Address category="ipv4-net">192.0.2.16/28</Address> </Node> <Description> Source of heavy scanning over past 1-month </Description> </System> </Flow> <Flow> <System category="source"> <Node> <Address category="ipv4-addr">192.0.2.241</Address> </Node> <Description>C2 IRC server</Description> </System> </Flow> <!-- Expectation class recommends that these networks be filtered --> <Expectation action="block-host" /> </EventData> </Incident> </IODEF-Document>
<?xml version="1.0" encoding="UTF-8"?> <xs:schema targetNamespace="urn:ietf:params:xml:ns:iodef-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema" elementFormDefault="qualified" attributeFormDefault="unqualified">
<xs:annotation> <xs:documentation> Incident Object Description Exchange Format v1.00, see RFC 5070
</xs:documentation> </xs:annotation>
<!-- ==================================================================== == IODEF-Document class == ==================================================================== --> <xs:element name="IODEF-Document"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:Incident" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="version" type="xs:string" fixed="1.00"/> <xs:attribute name="lang" type="xs:language" use="required"/> <xs:attribute name="formatid" type="xs:string"/> </xs:complexType> </xs:element> <!-- ==================================================================== === Incident class === ==================================================================== --> <xs:element name="Incident"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:IncidentID"/> <xs:element ref="iodef:AlternativeID" minOccurs="0"/> <xs:element ref="iodef:RelatedActivity" minOccurs="0"/> <xs:element ref="iodef:DetectTime" minOccurs="0"/> <xs:element ref="iodef:StartTime" minOccurs="0"/> <xs:element ref="iodef:EndTime" minOccurs="0"/> <xs:element ref="iodef:ReportTime"/> <xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Assessment" maxOccurs="unbounded"/> <xs:element ref="iodef:Method" minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Contact" maxOccurs="unbounded"/> <xs:element ref="iodef:EventData" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:History" minOccurs="0"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="purpose" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="traceback"/> <xs:enumeration value="mitigation"/> <xs:enumeration value="reporting"/> <xs:enumeration value="other"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-purpose" type="xs:string" use="optional"/> <xs:attribute name="lang" type="xs:language"/> <xs:attribute name="restriction" type="iodef:restriction-type" default="private"/> </xs:complexType> </xs:element> <!-- ==================================================================== == IncidentID class == ==================================================================== --> <xs:element name="IncidentID" type="iodef:IncidentIDType"/> <xs:complexType name="IncidentIDType"> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="name" type="xs:string" use="required"/> <xs:attribute name="instance" type="xs:string" use="optional"/> <xs:attribute name="restriction" type="iodef:restriction-type" default="public"/> </xs:extension> </xs:simpleContent> </xs:complexType>
<!-- ==================================================================== == AlternativeID class == ==================================================================== --> <xs:element name="AlternativeID"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:IncidentID" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <!-- ==================================================================== == RelatedActivity class == ==================================================================== --> <xs:element name="RelatedActivity"> <xs:complexType> <xs:choice> <xs:element ref="iodef:IncidentID" maxOccurs="unbounded"/> <xs:element ref="iodef:URL" maxOccurs="unbounded"/> </xs:choice> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <!-- ==================================================================== === AdditionalData class === ==================================================================== --> <xs:element name="AdditionalData" type="iodef:ExtensionType"/> <!-- ==================================================================== === Contact class === ==================================================================== --> <xs:element name="Contact"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:ContactName" minOccurs="0"/>
<xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:RegistryHandle" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:PostalAddress" minOccurs="0"/> <xs:element ref="iodef:Email" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Telephone" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Fax" minOccurs="0"/> <xs:element ref="iodef:Timezone" minOccurs="0"/> <xs:element ref="iodef:Contact" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="role" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="creator"/> <xs:enumeration value="admin"/> <xs:enumeration value="tech"/> <xs:enumeration value="irt"/> <xs:enumeration value="cc"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-role" type="xs:string" use="optional"/> <xs:attribute name="type" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="person"/> <xs:enumeration value="organization"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-type" type="xs:string" use="optional"/> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element>
<xs:element name="ContactName" type="iodef:MLStringType"/> <xs:element name="RegistryHandle"> <xs:complexType> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="registry"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="internic"/> <xs:enumeration value="apnic"/> <xs:enumeration value="arin"/> <xs:enumeration value="lacnic"/> <xs:enumeration value="ripe"/> <xs:enumeration value="afrinic"/> <xs:enumeration value="local"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-registry" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>
<xs:element name="PostalAddress"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute name="meaning" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="Email" type="iodef:ContactMeansType"/> <xs:element name="Telephone" type="iodef:ContactMeansType"/> <xs:element name="Fax" type="iodef:ContactMeansType"/>
<xs:complexType name="ContactMeansType"> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="meaning" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent>
</xs:complexType>
<!-- ==================================================================== === Time-based classes === ==================================================================== --> <xs:element name="DateTime" type="xs:dateTime"/> <xs:element name="ReportTime" type="xs:dateTime"/> <xs:element name="DetectTime" type="xs:dateTime"/> <xs:element name="StartTime" type="xs:dateTime"/> <xs:element name="EndTime" type="xs:dateTime"/> <xs:element name="Timezone" type="iodef:TimezoneType"/> <xs:simpleType name="TimezoneType"> <xs:restriction base="xs:string"> <xs:pattern value="Z|[\+\-](0[0-9]|1[0-4]):[0-5][0-9]"/> </xs:restriction> </xs:simpleType> <!-- ==================================================================== === History class === ==================================================================== --> <xs:element name="History"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:HistoryItem" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type" default="default"/> </xs:complexType> </xs:element> <xs:element name="HistoryItem"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:DateTime"/> <xs:element ref="iodef:IncidentID" minOccurs="0"/> <xs:element ref="iodef:Contact" minOccurs="0"/> <xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type"/> <xs:attribute name="action" type="iodef:action-type" use="required"/> <xs:attribute name="ext-action" type="xs:string" use="optional"/> </xs:complexType> </xs:element> <!-- ==================================================================== === Expectation class === ==================================================================== --> <xs:element name="Expectation"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:StartTime" minOccurs="0"/> <xs:element ref="iodef:EndTime" minOccurs="0"/> <xs:element ref="iodef:Contact" minOccurs="0"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type" default="default"/> <xs:attribute name="severity" type="iodef:severity-type"/> <xs:attribute name="action" type="iodef:action-type" default="other"/> <xs:attribute name="ext-action" type="xs:string" use="optional"/> </xs:complexType> </xs:element> <!-- ==================================================================== === Method class === ==================================================================== --> <xs:element name="Method"> <xs:complexType> <xs:sequence> <xs:choice maxOccurs="unbounded">
<xs:element ref="iodef:Reference"/> <xs:element ref="iodef:Description"/> </xs:choice> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <xs:element name="Reference"> <xs:complexType> <xs:sequence> <xs:element name="ReferenceName" type="iodef:MLStringType"/> <xs:element ref="iodef:URL" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType> </xs:element> <!-- ==================================================================== === Assessment class === ==================================================================== --> <xs:element name="Assessment"> <xs:complexType> <xs:sequence> <xs:choice maxOccurs="unbounded"> <xs:element ref="iodef:Impact"/> <xs:element ref="iodef:TimeImpact"/> <xs:element ref="iodef:MonetaryImpact"/> </xs:choice> <xs:element ref="iodef:Counter" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Confidence" minOccurs="0"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="occurrence"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="actual"/> <xs:enumeration value="potential"/> </xs:restriction> </xs:simpleType>
</xs:attribute> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <xs:element name="Impact"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute name="severity" type="iodef:severity-type"/> <xs:attribute name="completion"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="failed"/> <xs:enumeration value="succeeded"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="type" use="optional" default="unknown"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="admin"/> <xs:enumeration value="dos"/> <xs:enumeration value="extortion"/> <xs:enumeration value="file"/> <xs:enumeration value="info-leak"/> <xs:enumeration value="misconfiguration"/> <xs:enumeration value="recon"/> <xs:enumeration value="policy"/> <xs:enumeration value="social-engineering"/> <xs:enumeration value="user"/> <xs:enumeration value="unknown"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-type" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="TimeImpact"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:PositiveFloatType">
<xs:attribute name="severity" type="iodef:severity-type"/> <xs:attribute name="metric" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="labor"/> <xs:enumeration value="elapsed"/> <xs:enumeration value="downtime"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-metric" type="xs:string" use="optional"/> <xs:attribute name="duration" type="iodef:duration-type"/> <xs:attribute name="ext-duration" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="MonetaryImpact"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:PositiveFloatType"> <xs:attribute name="severity" type="iodef:severity-type"/> <xs:attribute name="currency" type="xs:string"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="Confidence"> <xs:complexType mixed="true"> <xs:attribute name="rating" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="low"/> <xs:enumeration value="medium"/> <xs:enumeration value="high"/> <xs:enumeration value="numeric"/> <xs:enumeration value="unknown"/> </xs:restriction> </xs:simpleType> </xs:attribute>
</xs:complexType> </xs:element> <!-- ==================================================================== === EventData class === ==================================================================== --> <xs:element name="EventData"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:DetectTime" minOccurs="0"/> <xs:element ref="iodef:StartTime" minOccurs="0"/> <xs:element ref="iodef:EndTime" minOccurs="0"/> <xs:element ref="iodef:Contact" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Assessment" minOccurs="0"/> <xs:element ref="iodef:Method" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Flow" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Expectation" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Record" minOccurs="0"/> <xs:element ref="iodef:EventData" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type" default="default"/> </xs:complexType> </xs:element> <!-- ==================================================================== === Flow class === ==================================================================== --> <xs:element name="Flow"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:System"
maxOccurs="unbounded"/> </xs:sequence> </xs:complexType> </xs:element> <!-- ==================================================================== === System class === ==================================================================== --> <xs:element name="System"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:Node"/> <xs:element ref="iodef:Service" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:OperatingSystem" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Counter" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type"/> <xs:attribute name="interface" type="xs:string"/> <xs:attribute name="category"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="source"/> <xs:enumeration value="target"/> <xs:enumeration value="intermediate"/> <xs:enumeration value="sensor"/> <xs:enumeration value="infrastructure"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-category" type="xs:string" use="optional"/> <xs:attribute name="spoofed" default="unknown"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="unknown"/> <xs:enumeration value="yes"/>
<xs:enumeration value="no"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType> </xs:element> <!-- ==================================================================== === Node class === ==================================================================== --> <xs:element name="Node"> <xs:complexType> <xs:sequence> <xs:choice maxOccurs="unbounded"> <xs:element name="NodeName" type="iodef:MLStringType" minOccurs="0"/> <xs:element ref="iodef:Address" minOccurs="0" maxOccurs="unbounded"/> </xs:choice> <xs:element ref="iodef:Location" minOccurs="0"/> <xs:element ref="iodef:DateTime" minOccurs="0"/> <xs:element ref="iodef:NodeRole" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Counter" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType> </xs:element> <xs:element name="Address"> <xs:complexType> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="category" default="ipv4-addr"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="asn"/> <xs:enumeration value="atm"/> <xs:enumeration value="e-mail"/> <xs:enumeration value="mac"/> <xs:enumeration value="ipv4-addr"/> <xs:enumeration value="ipv4-net"/> <xs:enumeration value="ipv4-net-mask"/> <xs:enumeration value="ipv6-addr"/> <xs:enumeration value="ipv6-net"/> <xs:enumeration value="ipv6-net-mask"/>
<xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-category" type="xs:string" use="optional"/> <xs:attribute name="vlan-name" type="xs:string"/> <xs:attribute name="vlan-num" type="xs:integer"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <xs:element name="Location" type="iodef:MLStringType"/> <xs:element name="NodeRole"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute name="category" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="client"/> <xs:enumeration value="server-internal"/> <xs:enumeration value="server-public"/> <xs:enumeration value="www"/> <xs:enumeration value="mail"/> <xs:enumeration value="messaging"/> <xs:enumeration value="streaming"/> <xs:enumeration value="voice"/> <xs:enumeration value="file"/> <xs:enumeration value="ftp"/> <xs:enumeration value="p2p"/> <xs:enumeration value="name"/> <xs:enumeration value="directory"/> <xs:enumeration value="credential"/> <xs:enumeration value="print"/> <xs:enumeration value="application"/> <xs:enumeration value="database"/> <xs:enumeration value="infra"/> <xs:enumeration value="log"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-category" type="xs:string" use="optional"/> </xs:extension>
</xs:simpleContent> </xs:complexType> </xs:element> <!-- ==================================================================== === Service Class === ==================================================================== --> <xs:element name="Service"> <xs:complexType> <xs:sequence> <xs:choice minOccurs="0"> <xs:element name="Port" type="xs:integer"/> <xs:element name="Portlist" type="iodef:PortlistType"/> </xs:choice> <xs:element name="ProtoType" type="xs:integer" minOccurs="0"/> <xs:element name="ProtoCode" type="xs:integer" minOccurs="0"/> <xs:element name="ProtoField" type="xs:integer" minOccurs="0"/> <xs:element ref="iodef:Application" minOccurs="0"/> </xs:sequence> <xs:attribute name="ip_protocol" type="xs:integer" use="required"/> </xs:complexType> </xs:element> <xs:simpleType name="PortlistType"> <xs:restriction base="xs:string"> <xs:pattern value="\d+(\-\d+)?(,\d+(\-\d+)?)*"/> </xs:restriction> </xs:simpleType> <!-- ==================================================================== === Counter class === ==================================================================== --> <xs:element name="Counter"> <xs:complexType> <xs:simpleContent> <xs:extension base="xs:double"> <xs:attribute name="type" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="byte"/>
<xs:enumeration value="packet"/> <xs:enumeration value="flow"/> <xs:enumeration value="session"/> <xs:enumeration value="event"/> <xs:enumeration value="alert"/> <xs:enumeration value="message"/> <xs:enumeration value="host"/> <xs:enumeration value="site"/> <xs:enumeration value="organization"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-type" type="xs:string" use="optional"/> <xs:attribute name="meaning" type="xs:string" use="optional"/> <xs:attribute name="duration" type="iodef:duration-type"/> <xs:attribute name="ext-duration" type="xs:string" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> <!-- ==================================================================== === Record class === ==================================================================== --> <xs:element name="Record"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:RecordData" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <xs:element name="RecordData"> <xs:complexType> <xs:sequence> <xs:element ref="iodef:DateTime" minOccurs="0"/> <xs:element ref="iodef:Description" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:Application"
minOccurs="0"/> <xs:element ref="iodef:RecordPattern" minOccurs="0" maxOccurs="unbounded"/> <xs:element ref="iodef:RecordItem" maxOccurs="unbounded"/> <xs:element ref="iodef:AdditionalData" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> </xs:element> <xs:element name="RecordPattern"> <xs:complexType> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="type" use="required"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="regex"/> <xs:enumeration value="binary"/> <xs:enumeration value="xpath"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-type" type="xs:string" use="optional"/> <xs:attribute name="offset" type="xs:integer" use="optional"/> <xs:attribute name="offsetunit" use="optional" default="line"> <xs:simpleType> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="line"/> <xs:enumeration value="byte"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:attribute> <xs:attribute name="ext-offsetunit" type="xs:string" use="optional"/> <xs:attribute name="instance" type="xs:integer" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>
<xs:element name="RecordItem" type="iodef:ExtensionType"/> <!-- ==================================================================== === Classes that describe software === ==================================================================== --> <xs:complexType name="SoftwareType"> <xs:sequence> <xs:element ref="iodef:URL" minOccurs="0"/> </xs:sequence> <xs:attribute name="swid" type="xs:string" default="0"/> <xs:attribute name="configid" type="xs:string" default="0"/> <xs:attribute name="vendor" type="xs:string"/> <xs:attribute name="family" type="xs:string"/> <xs:attribute name="name" type="xs:string"/> <xs:attribute name="version" type="xs:string"/> <xs:attribute name="patch" type="xs:string"/> </xs:complexType> <xs:element name="Application" type="iodef:SoftwareType"/> <xs:element name="OperatingSystem" type="iodef:SoftwareType"/> <!-- ==================================================================== === Miscellaneous simple classes === ==================================================================== --> <xs:element name="Description" type="iodef:MLStringType"/> <xs:element name="URL" type="xs:anyURI"/> <!-- ==================================================================== === Data Types === ==================================================================== --> <xs:simpleType name="PositiveFloatType"> <xs:restriction base="xs:float"> <xs:minExclusive value="0"/>
</xs:restriction> </xs:simpleType> <xs:complexType name="MLStringType"> <xs:simpleContent> <xs:extension base="xs:string"> <xs:attribute name="lang" type="xs:language" use="optional"/> </xs:extension> </xs:simpleContent> </xs:complexType> <xs:complexType name="ExtensionType" mixed="true"> <xs:sequence> <xs:any namespace="##any" processContents="lax" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="dtype" type="iodef:dtype-type" use="required"/> <xs:attribute name="ext-dtype" type="xs:string" use="optional"/> <xs:attribute name="meaning" type="xs:string"/> <xs:attribute name="formatid" type="xs:string"/> <xs:attribute name="restriction" type="iodef:restriction-type"/> </xs:complexType> <!-- ==================================================================== === Global attribute type declarations === ==================================================================== --> <xs:simpleType name="restriction-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="default"/> <xs:enumeration value="public"/> <xs:enumeration value="need-to-know"/> <xs:enumeration value="private"/> </xs:restriction> </xs:simpleType>
<xs:simpleType name="severity-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="low"/> <xs:enumeration value="medium"/> <xs:enumeration value="high"/> </xs:restriction> </xs:simpleType>
<xs:simpleType name="duration-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="second"/> <xs:enumeration value="minute"/> <xs:enumeration value="hour"/> <xs:enumeration value="day"/> <xs:enumeration value="month"/> <xs:enumeration value="quarter"/> <xs:enumeration value="year"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType>
<xs:simpleType name="action-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="nothing"/> <xs:enumeration value="contact-source-site"/> <xs:enumeration value="contact-target-site"/> <xs:enumeration value="contact-sender"/> <xs:enumeration value="investigate"/> <xs:enumeration value="block-host"/> <xs:enumeration value="block-network"/> <xs:enumeration value="block-port"/> <xs:enumeration value="rate-limit-host"/> <xs:enumeration value="rate-limit-network"/> <xs:enumeration value="rate-limit-port"/> <xs:enumeration value="remediate-other"/> <xs:enumeration value="status-triage"/> <xs:enumeration value="status-new-info"/> <xs:enumeration value="other"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType>
<xs:simpleType name="dtype-type"> <xs:restriction base="xs:NMTOKEN"> <xs:enumeration value="boolean"/> <xs:enumeration value="byte"/> <xs:enumeration value="character"/> <xs:enumeration value="date-time"/> <xs:enumeration value="integer"/> <xs:enumeration value="ntpstamp"/> <xs:enumeration value="portlist"/> <xs:enumeration value="real"/> <xs:enumeration value="string"/> <xs:enumeration value="file"/> <xs:enumeration value="path"/> <xs:enumeration value="frame"/>
<xs:enumeration value="packet"/> <xs:enumeration value="ipv4-packet"/> <xs:enumeration value="ipv6-packet"/> <xs:enumeration value="url"/> <xs:enumeration value="csv"/> <xs:enumeration value="winreg"/> <xs:enumeration value="xml"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType> </xs:schema>
The IODEF data model itself does not directly introduce security issues. Rather, it simply defines a representation for incident information. As the data encoded by the IODEF might be considered privacy sensitive by the parties exchanging the information or by those described by it, care needs to be taken in ensuring the appropriate disclosure during both document exchange and subsequent processing. The former must be handled by a messaging format, but the latter risk must be addressed by the systems that process, store, and archive IODEF documents and information derived from them.
IODEFデータモデル自体は、セキュリティの問題を直接導入しません。むしろ、インシデント情報の表現を単に定義します。IODEFによってエンコードされたデータは、情報を交換する当事者またはそれによって記述されている当事者によってプライバシーに敏感であると見なされる可能性があるため、文書交換とその後の処理中に適切な開示を確保するために注意する必要があります。前者はメッセージング形式で処理する必要がありますが、後者のリスクは、IODEFドキュメントとそれらから派生した情報を処理、保存、およびアーカイブするシステムによって対処する必要があります。
The contents of an IODEF document may include a request for action or an IODEF parser may independently have logic to take certain actions based on information that it finds. For this reason, care must be taken by the parser to properly authenticate the recipient of the document and ascribe an appropriate confidence to the data prior to action.
IODEFドキュメントの内容には、アクションのリクエストが含まれる場合があります。または、IODEFパーサーには、発見した情報に基づいて特定のアクションを実行するロジックが独立している場合があります。このため、ドキュメントの受信者を適切に認証し、アクション前にデータに適切な信頼性を帰するように、パーサーが注意を払う必要があります。
The underlying messaging format and protocol used to exchange instances of the IODEF MUST provide appropriate guarantees of confidentiality, integrity, and authenticity. The use of a standardized security protocol is encouraged. The Real-time Inter-network Defense (RID) protocol [18] and its associated transport binding IODEF/RID over SOAP [19] provide such security.
IODEFのインスタンスを交換するために使用される基礎となるメッセージング形式とプロトコルは、機密性、完全性、および信頼性の適切な保証を提供する必要があります。標準化されたセキュリティプロトコルの使用が奨励されます。リアルタイム間のネットワーク間防御(RID)プロトコル[18]および関連する輸送結合IODEF/RID Over Soap [19]は、そのようなセキュリティを提供します。
In order to suggest data processing and handling guidelines of the encoded information, the IODEF allows a document sender to convey a privacy policy using the restriction attribute. The various instances of this attribute allow different data elements of the document to be covered by dissimilar policies. While flexible, it must be stressed that this approach only serves as a guideline from the sender, as the recipient is free to ignore it. The issue of enforcement is not a technical problem.
エンコードされた情報のデータ処理と処理ガイドラインを提案するために、IODEFは、ドキュメント送信者が制限属性を使用してプライバシーポリシーを伝えることができます。この属性のさまざまなインスタンスにより、ドキュメントのさまざまなデータ要素を異なるポリシーでカバーすることができます。柔軟性がありますが、このアプローチは、受信者が自由に無視できるため、送信者からのガイドラインとしてのみ機能することを強調する必要があります。執行の問題は技術的な問題ではありません。
This document uses URNs to describe an XML namespace and schema conforming to a registry mechanism described in [15]
このドキュメントでは、urnsを使用して、[15]で説明されているレジストリメカニズムに準拠したXMLネームスペースとスキーマを記述します。
Registration for the IODEF namespace:
IODEF名前空間の登録:
o URI: urn:ietf:params:xml:ns:iodef-1.0
o uri:urn:ietf:params:xml:ns:iodef-1.0
o Registrant Contact: See the first author of the "Author's Address" section of this document.
o 登録者の連絡先:このドキュメントの「著者のアドレス」セクションの最初の著者を参照してください。
o XML: None. Namespace URIs do not represent an XML specification.
o XML:なし。名前空間URIはXML仕様を表していません。
Registration for the IODEF XML schema:
IODEF XMLスキーマの登録:
o URI: urn:ietf:params:xml:schema:iodef-1.0
o uri:urn:ietf:params:xml:schema:iodef-1.0
o Registrant Contact: See the first author of the "Author's Address" section of this document.
o 登録者の連絡先:このドキュメントの「著者のアドレス」セクションの最初の著者を参照してください。
o XML: See the "IODEF Schema" in Section 8 of this document.
o XML:このドキュメントのセクション8の「IODEFスキーマ」を参照してください。
The following groups and individuals, listed alphabetically, contributed substantially to this document and should be recognized for their efforts.
アルファベット順にリストされている以下のグループと個人は、この文書に大きく貢献し、その努力のために認識されるべきです。
o Patrick Cain, Cooper-Cain Group, Inc.
o Patrick Cain、Cooper-Cain Group、Inc。
o The eCSIRT.net Project
o ecsirt.netプロジェクト
o The Incident Object Description and Exchange Format Working-Group of the TERENA task-force (TF-CSIRT)
o インシデントオブジェクトの説明と交換形式Terena Task-Force(TF-CSIRT)のワーキンググループ
o Glenn Mansfield Keeni, Cyber Solutions, Inc.
o Glenn Mansfield Keeni、Cyber Solutions、Inc。
o Hiroyuki Kido, NARA Institute of Science and Technology
o Hiroyuki kido、nara科学技術研究所
o Kathleen Moriarty, MIT Lincoln Laboratory
o キャスリーン・モリアーティ、ミット・リンカーン研究所
o Brian Trammell, CERT/NetSA
o ブライアン・トラメル、cert/netsa
[1] World Wide Web Consortium, "Extensible Markup Language (XML) 1.0 (Second Edition)", W3C Recommendation , October 2000, <http://www.w3.org/TR/2000/REC-xml-20001006>.
[1] World Wide Webコンソーシアム、「拡張可能なマークアップ言語(XML)1.0(第2版)」、W3C推奨、2000年10月、<http://www.w3.org/tr/2000/rec-xml-20001006>。
[2] World Wide Web Consortium, "XML XML Schema Part 1: Structures Second Edition", W3C Recommendation , October 2004, <http://www.w3.org/TR/xmlschema-1/>.
[2] World Wide Webコンソーシアム、「XML XML Schema Part 1:Structures Second Edition」、W3C推奨、2004年10月、<http://www.w3.org/tr/xmlschema-1/>。
[3] World Wide Web Consortium, "XML Schema Part 2: Datatypes Second Edition", W3C Recommendation , October 2004, <http://www.w3.org/TR/xmlschema-2/>.
[3] World Wide Web Consortium、「XML Schema Part 2:DataTypes Second Edition」、W3C推奨、2004年10月、<http://www.w3.org/tr/xmlschema-2/>。
[4] World Wide Web Consortium, "Namespaces in XML", W3C Recommendation , January 1999, <http://www.w3.org/TR/REC-xml-names/>.
[4] World Wide Webコンソーシアム、「XMLの名前空間」、W3C推奨、1999年1月、<http://www.w3.org/tr/rec-xml-names/>。
[5] World Wide Web Consortium, "XML Path Language (XPath) 2.0", W3C Candidate Recommendation , June 2006, <http://www.w3.org/TR/xpath20/>.
[5] World Wide Webコンソーシアム、「XML Path Language(XPath)2.0」、W3C候補の推奨、2006年6月、<http://www.w3.org/tr/xpath20/>。
[6] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", RFC 2119, March 1997.
[6] Bradner、S。、「要件レベルを示すためのRFCで使用するためのキーワード」、RFC 2119、1997年3月。
[7] Philips, A. and M. Davis, "Tags for Identifying of Languages", RFC 4646, September 2006.
[7] フィリップス、A。、およびM.デイビス、「言語の識別のためのタグ」、RFC 4646、2006年9月。
[8] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifiers (URI): Generic Syntax", RFC 3986, January 2005`.
[8] Berners-Lee、T.、Fielding、R。、およびL. Masinter、「ユニフォームリソース識別子(URI):Generic Syntax」、RFC 3986、2005年1月 `。
[9] Freed, N. and J. Postel, "IANA Charset Registration Procedures", BCP 2978, October 2000.
[9] Freed、N。およびJ. Postel、「Iana Charset登録手順」、BCP 2978、2000年10月。
[10] Sciberras, A., "Schema for User Applications", RFC 4519, June 2006.
[10] Sciberras、A。、「ユーザーアプリケーションのスキーマ」、RFC 4519、2006年6月。
[11] Resnick, P., "Internet Message Format", RFC 2822, April 2001.
[11] Resnick、P。、「インターネットメッセージフォーマット」、RFC 2822、2001年4月。
[12] Klyne, G. and C. Newman, "Date and Time on the Internet: Timestamps", RFC 3339, July 2002.
[12] Klyne、G。and C. Newman、「インターネット上の日時:タイムスタンプ」、RFC 3339、2002年7月。
[13] International Organization for Standardization, "International Standard: Data elements and interchange formats - Information interchange - Representation of dates and times", ISO 8601, Second Edition, December 2000.
[13] 国際標準化機関、「国際標準:データ要素と交換形式 - 情報交換 - 日付と時間の表現」、ISO 8601、第2版、2000年12月。
[14] International Organization for Standardization, "International Standard: Codes for the representation of currencies and funds, ISO 4217:2001", ISO 4217:2001, August 2001.
[14] 国際標準化機関、「国際標準:通貨と資金の代表、ISO 4217:2001」、ISO 4217:2001、2001年8月。
[15] Mealling, M., "The IETF XML Registry", RFC 3688, January 2004.
[15] Mealling、M。、「IETF XMLレジストリ」、RFC 3688、2004年1月。
[16] Keeni, G., Demchenko, Y., and R. Danyliw, "Requirements for the Format for Incident Information Exchange (FINE)", Work in Progress, June 2006.
[16] Keeni、G.、Demchenko、Y。、およびR. Danyliw、「インシデント情報交換のための形式の要件(FINE)」、2006年6月、進行中の作業。
[17] Debar, H., Curry, D., Debar, H., and B. Feinstein, "Intrusion Detection Message Exchange Format", RFC 4765, March 2007.
[17] Debar、H.、Curry、D.、Debar、H。、およびB. Feinstein、「侵入検出メッセージ交換形式」、RFC 4765、2007年3月。
[18] Moriarty, K., "Real-time Inter-network Defense", Work in Progress, April 2007.
[18] Moriarty、K。、「リアルタイム間のネットワーク間防衛」、2007年4月、進行中の作業。
[19] Moriarty, K. and B. Trammell, "IODEF/RID over SOAP", Work in Progress, April 2007.
[19] Moriarty、K。およびB. Trammell、「Iodef/Red Over Soap」、2007年4月、進行中の作業。
[20] Shafranovich, Y., "Common Format and MIME Type for Comma-Separated Values (CSV) File", RFC 4180, October 2005.
[20] Shafranovich、Y。、「Comma分離値(CSV)ファイルの共通形式とMIMEタイプ」、RFC 4180、2005年10月。
Authors' Addresses
著者のアドレス
Roman Danyliw CERT - Software Engineering Institute Pittsburgh, PA USA
Roman Danyliw CERT-ソフトウェアエンジニアリングインスティテュートピッツバーグ、ペンシルバニア州アメリカ
EMail: rdd@cert.org
Jan Meijer
Jan Meijer
EMail: jan@flyingcloggies.nl
Yuri Demchenko University of Amsterdam Amsterdam Netherlands
ユリデムチェンコアムステルダムアムステルダムオランダ大学
EMail: demch@chello.nl
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。