[要約] RFC 7970は、インシデントオブジェクトの記述を交換するためのフォーマットであり、バージョン2です。その目的は、セキュリティインシデントの情報共有を効率化し、インシデント対応の迅速化を図ることです。
Internet Engineering Task Force (IETF) R. Danyliw
Request for Comments: 7970 CERT
Obsoletes: 5070, 6685 November 2016
Category: Standards Track
ISSN: 2070-1721
The Incident Object Description Exchange Format Version 2
インシデントオブジェクトの説明Exchange形式バージョン2
Abstract
概要
The Incident Object Description Exchange Format (IODEF) defines a data representation for security incident reports and indicators commonly exchanged by operational security teams for mitigation and watch and warning. This document describes an updated information model for the IODEF and provides an associated data model specified with the XML schema. This new information and data model obsoletes RFCs 5070 and 6685.
インシデントオブジェクト記述交換フォーマット(IODEF)は、軽減と監視と警告のために運用セキュリティチームによって一般的に交換されるセキュリティインシデントレポートとインジケーターのデータ表現を定義します。このドキュメントでは、IODEFの更新された情報モデルについて説明し、XMLスキーマで指定された関連データモデルを提供します。この新しい情報とデータモデルは、RFC 5070と6685を廃止します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7970.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7970で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2016 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2016 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
このドキュメントには、2008年11月10日より前に公開または公開されたIETFドキュメントまたはIETFコントリビューションの素材が含まれている場合があります。この素材の一部で著作権を管理している人が、IETFトラストにそのような素材の変更を許可する権利を付与していない可能性がありますIETF標準プロセス外。このような資料の著作権を管理する人から適切なライセンスを取得せずに、このドキュメントをIETF標準プロセス外で変更したり、その派生物をIETF標準プロセス外で作成したりすることはできません。 RFCとして、またはそれを英語以外の言語に翻訳するための出版物。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 5
1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 6
1.2. Notations . . . . . . . . . . . . . . . . . . . . . . . . 6
1.3. About the IODEF Data Model . . . . . . . . . . . . . . . 7
1.4. Changes from RFC 5070 . . . . . . . . . . . . . . . . . . 7
2. IODEF Data Types . . . . . . . . . . . . . . . . . . . . . . 9
2.1. Integers . . . . . . . . . . . . . . . . . . . . . . . . 9
2.2. Real Numbers . . . . . . . . . . . . . . . . . . . . . . 9
2.3. Characters and Strings . . . . . . . . . . . . . . . . . 9
2.4. Multilingual Strings . . . . . . . . . . . . . . . . . . 9
2.5. Binary Strings . . . . . . . . . . . . . . . . . . . . . 10
2.5.1. Base64 Bytes . . . . . . . . . . . . . . . . . . . . 10
2.5.2. Hexadecimal Bytes . . . . . . . . . . . . . . . . . . 11
2.6. Enumerated Types . . . . . . . . . . . . . . . . . . . . 11
2.7. Date-Time String . . . . . . . . . . . . . . . . . . . . 11
2.8. Timezone String . . . . . . . . . . . . . . . . . . . . . 11
2.9. Port Lists . . . . . . . . . . . . . . . . . . . . . . . 11
2.10. Postal Address . . . . . . . . . . . . . . . . . . . . . 12
2.11. Telephone Number . . . . . . . . . . . . . . . . . . . . 12
2.12. Email String . . . . . . . . . . . . . . . . . . . . . . 12
2.13. Uniform Resource Locator Strings . . . . . . . . . . . . 12
2.14. Identifiers and Identifier References . . . . . . . . . . 12
2.15. Software . . . . . . . . . . . . . . . . . . . . . . . . 13
2.15.1. SoftwareReference Class . . . . . . . . . . . . . . 14
2.16. Extension . . . . . . . . . . . . . . . . . . . . . . . . 15
3. The IODEF Information Model . . . . . . . . . . . . . . . . . 18
3.1. IODEF-Document Class . . . . . . . . . . . . . . . . . . 18
3.2. Incident Class . . . . . . . . . . . . . . . . . . . . . 20
3.3. Common Attributes . . . . . . . . . . . . . . . . . . . . 23
3.3.1. restriction Attribute . . . . . . . . . . . . . . . . 23
3.3.2. observable-id Attribute . . . . . . . . . . . . . . . 25
3.4. IncidentID Class . . . . . . . . . . . . . . . . . . . . 25
3.5. AlternativeID Class . . . . . . . . . . . . . . . . . . . 26
3.6. RelatedActivity Class . . . . . . . . . . . . . . . . . . 27
3.7. ThreatActor Class . . . . . . . . . . . . . . . . . . . . 28
3.8. Campaign Class . . . . . . . . . . . . . . . . . . . . . 29
3.9. Contact Class . . . . . . . . . . . . . . . . . . . . . . 30
3.9.1. RegistryHandle Class . . . . . . . . . . . . . . . . 34
3.9.2. PostalAddress Class . . . . . . . . . . . . . . . . . 35
3.9.3. Email Class . . . . . . . . . . . . . . . . . . . . . 36
3.9.4. Telephone Class . . . . . . . . . . . . . . . . . . . 37
3.10. Discovery Class . . . . . . . . . . . . . . . . . . . . . 38
3.10.1. DetectionPattern Class . . . . . . . . . . . . . . . 40
3.11. Method Class . . . . . . . . . . . . . . . . . . . . . . 41
3.11.1. Reference Class . . . . . . . . . . . . . . . . . . 42
3.12. Assessment Class . . . . . . . . . . . . . . . . . . . . 43
3.12.1. SystemImpact Class . . . . . . . . . . . . . . . . . 45
3.12.2. BusinessImpact Class . . . . . . . . . . . . . . . . 48
3.12.3. TimeImpact Class . . . . . . . . . . . . . . . . . . 50
3.12.4. MonetaryImpact Class . . . . . . . . . . . . . . . . 52
3.12.5. Confidence Class . . . . . . . . . . . . . . . . . . 53
3.13. History Class . . . . . . . . . . . . . . . . . . . . . . 54
3.13.1. HistoryItem Class . . . . . . . . . . . . . . . . . 54
3.14. EventData Class . . . . . . . . . . . . . . . . . . . . . 57
3.14.1. Relating the Incident and EventData Classes . . . . 59
3.14.2. Recursive Definition of EventData . . . . . . . . . 59
3.15. Expectation Class . . . . . . . . . . . . . . . . . . . . 60
3.16. Flow Class . . . . . . . . . . . . . . . . . . . . . . . 63
3.17. System Class . . . . . . . . . . . . . . . . . . . . . . 64
3.18. Node Class . . . . . . . . . . . . . . . . . . . . . . . 67
3.18.1. Address Class . . . . . . . . . . . . . . . . . . . 68
3.18.2. NodeRole Class . . . . . . . . . . . . . . . . . . . 69
3.18.3. Counter Class . . . . . . . . . . . . . . . . . . . 73
3.19. DomainData Class . . . . . . . . . . . . . . . . . . . . 75
3.19.1. Nameservers Class . . . . . . . . . . . . . . . . . 77
3.19.2. DomainContacts Class . . . . . . . . . . . . . . . . 78
3.20. Service Class . . . . . . . . . . . . . . . . . . . . . . 79
3.20.1. ServiceName Class . . . . . . . . . . . . . . . . . 80
3.20.2. ApplicationHeader Class . . . . . . . . . . . . . . 81
3.21. EmailData Class . . . . . . . . . . . . . . . . . . . . . 82
3.22. Record Class . . . . . . . . . . . . . . . . . . . . . . 83
3.22.1. RecordData Class . . . . . . . . . . . . . . . . . . 84
3.22.2. RecordPattern Class . . . . . . . . . . . . . . . . 85
3.23. WindowsRegistryKeysModified Class . . . . . . . . . . . . 87
3.23.1. Key Class . . . . . . . . . . . . . . . . . . . . . 88
3.24. CertificateData Class . . . . . . . . . . . . . . . . . . 89
3.24.1. Certificate Class . . . . . . . . . . . . . . . . . 90
3.25. FileData Class . . . . . . . . . . . . . . . . . . . . . 90
3.25.1. File Class . . . . . . . . . . . . . . . . . . . . . 91
3.26. HashData Class . . . . . . . . . . . . . . . . . . . . . 92
3.26.1. Hash Class . . . . . . . . . . . . . . . . . . . . . 94
3.26.2. FuzzyHash Class . . . . . . . . . . . . . . . . . . 95
3.27. SignatureData Class . . . . . . . . . . . . . . . . . . . 95
3.28. IndicatorData Class . . . . . . . . . . . . . . . . . . . 96
3.29. Indicator Class . . . . . . . . . . . . . . . . . . . . . 96
3.29.1. IndicatorID Class . . . . . . . . . . . . . . . . . 99
3.29.2. AlternativeIndicatorID Class . . . . . . . . . . . . 100
3.29.3. Observable Class . . . . . . . . . . . . . . . . . . 101
3.29.4. IndicatorExpression Class . . . . . . . . . . . . . 106
3.29.5. Expressions with IndicatorExpression . . . . . . . . 108
3.29.6. ObservableReference Class . . . . . . . . . . . . . 110
3.29.7. IndicatorReference Class . . . . . . . . . . . . . . 110
3.29.8. AttackPhase Class . . . . . . . . . . . . . . . . . 111
4. Processing Considerations . . . . . . . . . . . . . . . . . . 112
4.1. Encoding . . . . . . . . . . . . . . . . . . . . . . . . 112
4.2. IODEF Namespace . . . . . . . . . . . . . . . . . . . . . 112
4.3. Validation . . . . . . . . . . . . . . . . . . . . . . . 112
4.4. Incompatibilities with v1 . . . . . . . . . . . . . . . . 113
5. Extending the IODEF . . . . . . . . . . . . . . . . . . . . . 114
5.1. Extending the Enumerated Values of Attributes . . . . . . 114
5.1.1. Private Extension of Enumerated Values . . . . . . . 114
5.1.2. Public Extension of Enumerated Values . . . . . . . . 115
5.2. Extending Classes . . . . . . . . . . . . . . . . . . . . 115
5.3. Deconflicting Private Extensions . . . . . . . . . . . . 117
6. Internationalization Issues . . . . . . . . . . . . . . . . . 118
7. Examples . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.1. Minimal Example . . . . . . . . . . . . . . . . . . . . . 119
7.2. Indicators from a Campaign . . . . . . . . . . . . . . . 120
8. The IODEF Data Model (XML Schema) . . . . . . . . . . . . . . 121
9. Security Considerations . . . . . . . . . . . . . . . . . . . 161
9.1. Security . . . . . . . . . . . . . . . . . . . . . . . . 161
9.2. Privacy . . . . . . . . . . . . . . . . . . . . . . . . . 162
10. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 163
10.1. Namespace and Schema . . . . . . . . . . . . . . . . . . 163
10.2. Enumerated Value Registries . . . . . . . . . . . . . . 163
10.3. Expert Review of IODEF-Related XML Registry Entries . . 166
11. References . . . . . . . . . . . . . . . . . . . . . . . . . 167
11.1. Normative References . . . . . . . . . . . . . . . . . . 167
11.2. Informative References . . . . . . . . . . . . . . . . . 170
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . 171
Author's Address . . . . . . . . . . . . . . . . . . . . . . . . 172
Organizations require help from other parties to mitigate malicious activity targeting their network and to gain insight into potential threats. This coordination might entail working with an ISP to filter attack traffic, contacting a remote site to take down a botnet, or sharing watch lists of known malicious indicators in a consortium.
組織は、ネットワークを標的とする悪意のある活動を軽減し、潜在的な脅威に対する洞察を得るために、他の関係者の助けを必要とします。この調整では、ISPと協力して攻撃トラフィックをフィルタリングしたり、リモートサイトに接続してボットネットを削除したり、コンソーシアムで既知の悪意のあるインジケーターのウォッチリストを共有したりする必要があります。
The Incident Object Description Exchange Format (IODEF) is a format for representing computer security information commonly exchanged between Computer Security Incident Response Teams (CSIRTs) or other operational security teams. It provides an XML representation for conveying:
インシデントオブジェクト記述交換フォーマット(IODEF)は、コンピュータセキュリティインシデントレスポンスチーム(CSIRT)または他の運用セキュリティチーム間で一般的に交換されるコンピュータセキュリティ情報を表すためのフォーマットです。以下を伝達するためのXML表現を提供します。
o indicators to characterize a threat;
o 脅威を特徴付ける指標;
o security incident reports to document attacks against an organization;
o 組織に対する攻撃を文書化するセキュリティインシデントレポート。
o response activity taken or that could be taken in response to an incident; and
o 取られた対応活動、またはインシデントに対応して取られる可能性のある対応活動。そして
o metadata so that these various classes of information can be exchanged among parties.
o これらのさまざまなクラスの情報を当事者間で交換できるように、メタデータ。
The purpose of the IODEF is to enhance the operational capabilities of CSIRTs. Adoption of the IODEF will improve the ability of a CSIRT to resolve security incidents; understand threats; and coordinate response activities and proactive mitigations by simplifying collaboration and data sharing with its partners. This structured format provided by the IODEF allows for:
IODEFの目的は、CSIRTの運用機能を強化することです。 IODEFの採用により、セキュリティインシデントを解決するCSIRTの能力が向上します。脅威を理解する。パートナーとのコラボレーションとデータ共有を簡素化することにより、対応活動と予防的な緩和策を調整します。 IODEFによって提供されるこの構造化フォーマットにより、以下が可能になります。
o machine-to-machine exchange of incident and indicator data;
o インシデントおよびインジケーターデータのマシン間の交換。
o automated processing of this data whereby allowing more rapid execution of appropriate courses of action; and
o このデータの自動処理により、適切な一連のアクションをより迅速に実行できます。そして
o the development of an ecosystem of interoperable tools enabling security operations.
o セキュリティ運用を可能にする相互運用可能なツールのエコシステムの開発。
Sharing and coordinating with other organizations is not strictly a technical problem. There are numerous procedural, cultural, legal, and trust-related barriers to overcome. The IODEF does not attempt to address them directly. However, operational implementations of the IODEF will need to consider these challenges.
他の組織との共有や調整は厳密には技術的な問題ではありません。克服すべき手続き、文化、法的、信頼に関連する多くの障壁があります。 IODEFはそれらに直接対処することを試みません。ただし、IODEFの運用実装では、これらの課題を考慮する必要があります。
Section 1 provides the background for the IODEF. Sections 3 and 8 specify the IODEF information and data model, respectively. The data types used in this document are described in Section 2. Processing considerations, extending the specification, internationalization, and security issues are covered in Sections 4, 5, 6, and 9, respectively. Examples are listed in Section 7.
セクション1では、IODEFの背景を説明します。セクション3と8は、それぞれIODEF情報とデータモデルを指定します。このドキュメントで使用されるデータ型については、セクション2で説明します。処理に関する考慮事項、仕様の拡張、国際化、およびセキュリティの問題については、それぞれセクション4、5、6、および9で説明しています。例はセクション7にリストされています。
The key words "MUST," "MUST NOT," "REQUIRED," "SHALL," "SHALL NOT," "SHOULD," "SHOULD NOT," "RECOMMENDED," "MAY," and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
The IODEF is specified as an Extensible Markup Language (XML) [W3C.XML] schema [W3C.SCHEMA]. The normative IODEF data model is found in the XML schema in Section 8. To aid in the understanding of the data elements, Section 3 also depicts the underlying information model using Unified Modeling Language (UML). This abstract presentation of the IODEF is not normative.
IODEFは、拡張マークアップ言語(XML)[W3C.XML]スキーマ[W3C.SCHEMA]として指定されます。規範的なIODEFデータモデルは、セクション8のXMLスキーマにあります。データ要素の理解を助けるために、セクション3は、統一モデリング言語(UML)を使用した基礎となる情報モデルも示しています。このIODEFの抽象的な表現は規範的ではありません。
For clarity in this document, the term "XML document" will be used when referring generically to any instance of an XML document. The term "IODEF document" will be used to refer to an XML document conforming to the IODEF specification. The terms "schema" will be used to refer to Section 8 of this document. The terms "data model" and "schema" will be used interchangeably. The terms "class" and "element" will be used to reference either the corresponding data element in the UML-based information or XML schema-based data models, respectively.
このドキュメントを明確にするために、「XMLドキュメント」という用語は、XMLドキュメントのインスタンスを総称的に指すときに使用されます。 「IODEFドキュメント」という用語は、IODEF仕様に準拠するXMLドキュメントを指すために使用されます。 「スキーマ」という用語は、このドキュメントのセクション8を指すために使用されます。 「データモデル」と「スキーマ」という用語は同じ意味で使用されます。 「クラス」および「要素」という用語は、UMLベースの情報の対応するデータ要素またはXMLスキーマベースのデータモデルをそれぞれ参照するために使用されます。
A number of considerations were made in the design of the IODEF data model.
IODEFデータモデルの設計では、いくつかの考慮事項が行われました。
o The data model found in this document is an evolution of the one previously specified in [RFC5070]. New fields were added to represent additional information. [RFC5070] was developed primarily to represent incident reports. This document builds upon it by adding support for indicators and revising it to reflect the current challenges faced by CSIRTs. An attempt was made to preserve backward compatibility, but this was not possible in all cases. See Section 4.4. This document obsoletes [RFC5070].
o このドキュメントにあるデータモデルは、以前に[RFC5070]で指定されたものを発展させたものです。追加情報を表すために新しいフィールドが追加されました。 [RFC5070]は、主にインシデントレポートを表すために開発されました。このドキュメントは、指標のサポートを追加し、CSIRTが直面している現在の課題を反映するように改訂することによって、その上に構築されています。下位互換性を維持するための試みが行われましたが、これがすべての場合に可能であったわけではありません。セクション4.4を参照してください。このドキュメントは廃止されました[RFC5070]。
o The IODEF is a transport format. Therefore, the data model may not be the optimal archival or in-memory processing format.
o IODEFはトランスポートフォーマットです。したがって、データモデルは、最適なアーカイブ形式またはインメモリ処理形式ではない可能性があります。
o The IODEF is intended to be a framework to convey only commonly exchanged information. It ensures that there are mechanisms for extensibility to support organization-specific information and techniques to reference information kept outside of the data model.
o IODEFは、一般的に交換される情報のみを伝達するフレームワークになることを目的としています。これにより、組織固有の情報をサポートする拡張性のメカニズムと、データモデルの外部に保持されている情報を参照するための手法が確実に提供されます。
o Not all commonly exchanged information has a well-defined format or taxonomy. The IODEF attempts to strike a balance between enforcing sufficient structure to allow automated processing and supporting free-form content that enables maximum flexibility.
o 一般的に交換されるすべての情報が明確に定義された形式または分類法を持っているわけではありません。 IODEFは、自動処理を可能にするための十分な構造の適用と、最大限の柔軟性を可能にする自由形式のコンテンツのサポートとの間のバランスをとろうとします。
o The IODEF fits into a broader ecosystem of standards and conventions. An attempt was made to harmonize the data model with this context.
o IODEFは、標準と規則のより広いエコシステムに適合します。データモデルとこのコンテキストを調和させる試みが行われました。
A detailed list of additions made to the data model in [RFC5070] are enumerated in this section. See Section 4.4 for a list of incompatible changes.
このセクションでは、[RFC5070]でデータモデルに行われた追加の詳細なリストを列挙します。互換性のない変更のリストについては、4.4項を参照してください。
o Updated the data types (Section 2) to improve internationalization, clarify ambiguity, and ensure consistency in extensions.
o 国際化を改善し、あいまいさを明確にし、拡張機能の一貫性を確保するために、データ型を更新しました(セクション2)。
o Added the observable-id attribute (Section 3.3.2) and IndicatorData class (Section 3.28) to represent indicators.
o インジケーターを表すために、observable-id属性(セクション3.3.2)およびIndicatorDataクラス(セクション3.28)を追加しました。
o Added the private-enum-name and private-enum-id attributes to the IODEF-Document class (Section 3.1) to disambiguate private extensions.
o private-enum-nameおよびprivate-enum-id属性をIODEF-Documentクラス(セクション3.1)に追加して、プライベート拡張機能を明確にしました。
o Updated the Incident class (Section 3.2) to represent additional timing and workflow information.
o 追加のタイミングおよびワークフロー情報を表すように、インシデントクラス(セクション3.2)を更新しました。
o Added the ThreatActor (Section 3.7) and Campaign (Section 3.8) classes to represent attack attribution information.
o 攻撃属性情報を表すThreatActor(セクション3.7)およびCampaign(セクション3.8)クラスを追加しました。
o Updated the Contact class (Section 3.9) and its children to improve internationalization and represent additional information about an entity.
o 国際化を改善し、エンティティに関する追加情報を表すために、Contactクラス(セクション3.9)とその子を更新しました。
o Updated the Method class (Section 3.11) to improve extensibility through externally referenced resources.
o 外部参照リソースを介して拡張性を向上させるために、メソッドクラス(セクション3.11)を更新しました。
o Added the Discovery class (Section 3.10) to describe how an incident was discovered.
o インシデントがどのように発見されたかを説明するDiscoveryクラス(セクション3.10)を追加しました。
o Updated the Assessment class (Section 3.12) to enable more descriptive characterizations of the impact of an incident.
o インシデントの影響をより詳細に説明できるように、評価クラス(セクション3.12)を更新しました。
o Updated the HistoryItem (Section 3.13.1) and Expectation (Section 3.15) classes to support a reference to a course of action.
o 一連のアクションへの参照をサポートするために、HistoryItem(セクション3.13.1)およびExpectation(セクション3.15)クラスを更新しました。
o Updated the EventData class (Section 3.14) with additional metadata added to the Incident class.
o EventDataクラス(セクション3.14)を更新し、追加のメタデータをIncidentクラスに追加しました。
o Updated the System class (Section 3.17) with additional metadata.
o 追加のメタデータでSystemクラス(セクション3.17)を更新しました。
o Updated the Counter class (Section 3.18.3) to support additional rate metrics.
o Counterクラスを更新して(セクション3.18.3)、追加のレートメトリックをサポートします。
o Added DomainData (Section 3.19), EmailData (Section 3.21), WindowsRegistryKeysModified (Section 3.23), CertificateData (Section 3.24), and FileData (Section 3.25) classes to improve the description of an incident and support this data as indicators.
o インシデントの説明を改善し、このデータをインジケーターとしてサポートするために、DomainData(セクション3.19)、EmailData(セクション3.21)、WindowsRegistryKeysModified(セクション3.23)、CertificateData(セクション3.24)、およびFileData(セクション3.25)クラスを追加しました。
o Added the SignatureData (Section 3.27) and HashData (Section 3.26) classes to represent digital signatures and hashes.
o デジタル署名とハッシュを表すSignatureData(セクション3.27)およびHashData(セクション3.26)クラスを追加しました。
o Added support for public enumerated attribute extensions using IANA registries (Section 5.1.2).
o IANAレジストリを使用した公開列挙型属性拡張のサポートを追加しました(セクション5.1.2)。
o Updated numerous enumerated attributes for completeness.
o 完全性のために多数の列挙型属性を更新しました。
The IODEF uses a number of simple and complex types. This section describes these data types.
IODEFは、いくつかの単純型および複合型を使用します。このセクションでは、これらのデータ型について説明します。
An integer is represented in the information model by the INTEGER data type. Integer data MUST be encoded in Base 10.
整数は、情報モデルではINTEGERデータ型によって表されます。整数データは、Base 10でエンコードする必要があります。
The INTEGER data type is implemented in the data model as an "xs:integer" type per Section 3.3.13 of [W3C.SCHEMA.DTYPES].
INTEGERデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.3.13に従って「xs:integer」型としてデータモデルに実装されています。
A real (floating-point) number is represented in the information model by the REAL data type. Real data MUST be encoded in Base 10.
実(浮動小数点)数は、REALデータ型によって情報モデルで表されます。実際のデータはBase 10でエンコードする必要があります。
The REAL data type is implemented in the data model as an "xs:float" type per Section 3.2.4 of [W3C.SCHEMA.DTYPES].
REALデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.2.4に従って「xs:float」型としてデータモデルに実装されています。
A single character is represented in the information model by the CHARACTER data type. A string is represented by the STRING data type. Special characters MUST be encoded using entity references. See Section 4.1.
単一の文字は、情報モデルではCHARACTERデータ型で表されます。文字列は、STRINGデータ型で表されます。特殊文字は、エンティティ参照を使用してエンコードする必要があります。セクション4.1を参照してください。
The CHARACTER and STRING data types are implemented in the data model as an "xs:string" type per Section 3.2.1 of [W3C.SCHEMA.DTYPES].
CHARACTERおよびSTRINGデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.2.1に従って「xs:string」型としてデータモデルに実装されています。
A string that needs to be represented in a human-readable language different than the default encoding of the document is represented in the information model by the ML_STRING data type.
ドキュメントのデフォルトのエンコーディングとは異なる人間が読める言語で表す必要がある文字列は、ML_STRINGデータ型によって情報モデルで表されます。
The ML_STRING data type is implemented in the data model as the "iodef:MLStringType" type. This type extends the "xs:string" to include two attributes.
ML_STRINGデータ型は、「iodef:MLStringType」型としてデータモデルに実装されています。このタイプは、「xs:string」を拡張して2つの属性を組み込みます。
+------------------------+
| iodef:MLStringType |
+------------------------+
| xs:string |
| |
| ENUM xml:lang |
| STRING translation-id |
+------------------------+
Figure 1: The iodef:MLStringType Type
図1:iodef:MLStringTypeタイプ
The content of the class is a character string of type "xs:string" whose language MAY be specified by the xml:lang attribute.
クラスのコンテンツは、「xs:string」タイプの文字列で、その言語はxml:lang属性で指定できます(MAY)。
The attributes of the iodef:MLStringType type are:
iodef:MLStringTypeタイプの属性は次のとおりです。
xml:lang Optional. ENUM. A language identifier per Section 2.12 of [W3C.XML] whose values and format are described in [RFC5646]. The interpretation of this code is described in Section 6.
xml:langオプション。 ENUM。 [W3C.XML]のセクション2.12による言語識別子。その値と形式は[RFC5646]で説明されています。このコードの解釈については、セクション6で説明します。
translation-id Optional. STRING. An identifier to relate other instances of this class with the same parent as translations of this text. The scope of this identifier is limited to all of the direct, peer child classes of a given parent class.
translation-idオプション。ストリング。このクラスの他のインスタンスを、このテキストの翻訳と同じ親に関連付けるための識別子。この識別子のスコープは、特定の親クラスの直接のピア子クラスのすべてに制限されています。
Using this class enables representing translations of the same text in multiple languages. Each translation is a distinct instance of this class with a common parent. A group of classes each with a translated instance of text is related by setting a common identifier in the translation-id attribute. The language of a given class is set by the xml:lang attribute. See Section 6 for more details on representing translations of free-form text.
このクラスを使用すると、同じテキストの翻訳を複数の言語で表すことができます。各翻訳は、共通の親を持つこのクラスの個別のインスタンスです。翻訳されたテキストのインスタンスを持つクラスのグループは、translation-id属性に共通の識別子を設定することによって関連付けられます。特定のクラスの言語は、xml:lang属性によって設定されます。自由形式テキストの翻訳を表す方法の詳細については、セクション6を参照してください。
Binary octets can be represented with two encodings.
バイナリオクテットは、2つのエンコーディングで表すことができます。
A binary octet encoded with base64 is represented in the information model by the BYTE data type. A sequence of these octets is of the BYTE[] data type.
base64でエンコードされたバイナリオクテットは、BYTEデータ型によって情報モデルで表されます。これらのオクテットのシーケンスは、BYTE []データ型です。
The BYTE and BYTE[] data types are implemented in the data model as an "xs:base64Binary" type per Section 3.2.16 of [W3C.SCHEMA.DTYPES].
BYTEおよびBYTE []データ型は、[W3C.SCHEMA.DTYPES]のセクション3.2.16に従って「xs:base64Binary」型としてデータモデルに実装されています。
A binary octet encoded as a character tuple consistent of two hexadecimal digits is represented in the information model by the HEXBIN data type. A sequence of these octets is of the HEXBIN[] data type.
2つの16進数の一貫性のある文字タプルとしてエンコードされたバイナリオクテットは、情報モデルでHEXBINデータ型によって表されます。これらのオクテットのシーケンスはHEXBIN []データ型です。
The HEXBIN and HEXBIN[] data types are implemented in the data model as an "xs:hexBinary" type per Section 3.2.15 of [W3C.SCHEMA.DTYPES].
HEXBINおよびHEXBIN []データ型は、[W3C.SCHEMA.DTYPES]のセクション3.2.15に従って「xs:hexBinary」型としてデータモデルに実装されています。
An enumerated type is represented in the information model by the ENUM data type. It is an ordered list of acceptable string values. Each value has a representative keyword. Within the data model, the enumerated type keywords are used as attribute values.
列挙型は、情報モデルではENUMデータ型によって表されます。これは、受け入れ可能な文字列値の順序付きリストです。各値には代表的なキーワードがあります。データモデル内では、列挙型キーワードが属性値として使用されます。
The ENUM data type is implemented in the data model as values of an "xs:NMTOKEN" type per Section 3.3.4 of [W3C.SCHEMA.DTYPES].
ENUMデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.3.4に従って「xs:NMTOKEN」型の値としてデータモデルに実装されます。
A date-time string that describes a particular instant in time is represented in the information model by the DATETIME data type. Ranges are not supported.
特定の瞬間を表す日時文字列は、情報モデルではDATETIMEデータ型で表されます。範囲はサポートされていません。
The DATETIME data type is implemented in the data model as an "xs:dateTime" type per Section 3.2.7 of [W3C.SCHEMA.DTYPES].
DATETIMEデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.2.7に従って「xs:dateTime」型としてデータモデルに実装されています。
A timezone offset from UTC is represented in the information model by the TIMEZONE data type. It is formatted according to the following regular expression: "Z|[\+\-](0[0-9]|1[0-4]):[0-5][0-9]".
UTCからのタイムゾーンオフセットは、情報モデルではTIMEZONEデータ型で表されます。次の正規表現に従ってフォーマットされます: "Z | [\ + \-](0 [0-9] | 1 [0-4]):[0-5] [0-9]"。
The TIMEZONE data type is implemented in the data model as an "iodef:TimezoneType" type.
TIMEZONEデータ型は、「iodef:TimezoneType」型としてデータモデルに実装されています。
A list of network ports is represented in the information model by the PORTLIST data type. A PORTLIST consists of a comma-separated list of numbers and ranges (N-M means ports N through M, inclusive). It is formatted according to the following regular expression: "\d+(\-\d+)?(,\d+(\-\d+)?)*". For example, "2,5-15,30,32,40-50,55-60".
ネットワークポートのリストは、PORTLISTデータタイプによって情報モデルで表されます。 PORTLISTは、数値と範囲のコンマ区切りリストで構成されます(N-Mは、ポートNからMまでを意味します)。次の正規表現に従ってフォーマットされます: "\ d +(\-\ d +)?(、\ d +(\-\ d +)?)*"。たとえば、「2,5-15,30,32,40-50,55-60」です。
The PORTLIST data type is implemented in the data model as an "iodef:PortlistType" type.
PORTLISTデータ型は、「iodef:PortlistType」型としてデータモデルに実装されています。
A postal address is represented in the information model by the POSTAL data type. The format of the POSTAL data type is documented in Section 2.23 of [RFC4519] as a free-form multi-line string separated by the "$" character.
住所は、情報モデルではPOSTALデータ型で表されます。 POSTALデータ型の形式は、「$」文字で区切られた自由形式の複数行の文字列として、[RFC4519]のセクション2.23に記載されています。
The POSTAL data type is implemented in the data model as an "iodef:MLStringType" type.
POSTALデータ型は、データモデルで「iodef:MLStringType」型として実装されます。
A telephone number is represented in the information model by the PHONE data type. The format of the PHONE data type is documented in [E.164].
電話番号は、情報モデルではPHONEデータ型で表されます。 PHONEデータ型の形式は、[E.164]に記載されています。
The PHONE data type is implemented in the data model as an "xs:string" type per Section 3.2.1 of [W3C.SCHEMA.DTYPES].
PHONEデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.2.1に従って「xs:string」型としてデータモデルに実装されています。
An email address is represented in the information model by the EMAIL data type. The format of the EMAIL data type is documented in Section 3.4.1 of [RFC5322] and Section 3.3 of [RFC6531].
電子メールアドレスは、情報モデルではEMAILデータタイプによって表されます。 EMAILデータ型の形式は、[RFC5322]のセクション3.4.1および[RFC6531]のセクション3.3に記載されています。
The EMAIL data type is implemented in the data model as an "xs:string" type per Section 3.2.1 of [W3C.SCHEMA.DTYPES].
EMAILデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.2.1に従って「xs:string」型としてデータモデルに実装されています。
A uniform resource locator (URL) is represented in the information model by the URL data type. The format of the URL data type is documented in [RFC3986].
Uniform Resource Locator(URL)は、情報モデルではURLデータ型によって表されます。 URLデータ型のフォーマットは[RFC3986]で文書化されています。
The URL data type is implemented as an "xs:anyURI" type per Section 3.2.17 of [W3C.SCHEMA.DTYPES].
URLデータタイプは、[W3C.SCHEMA.DTYPES]のセクション3.2.17に従って「xs:anyURI」タイプとして実装されます。
An identifier unique to the IODEF document is represented in the information model by the ID data type. A reference to this identifier is represented by the IDREF data type.
IODEFドキュメントに一意の識別子は、IDデータ型によって情報モデルで表されます。この識別子への参照は、IDREFデータ型で表されます。
The ID and IDREF data types are implemented in the model as "xs:ID" and "xs:IDREF" types per Sections 3.3.8 and 3.3.9 of [W3C.SCHEMA.DTYPES].
IDおよびIDREFデータ型は、[W3C.SCHEMA.DTYPES]のセクション3.3.8および3.3.9に従って、「xs:ID」および「xs:IDREF」型としてモデルに実装されます。
A particular version of software is represented in the information model by the SOFTWARE data type. This software can be described by using a reference, a URL, or with free-form text.
ソフトウェアの特定のバージョンは、情報モデルでソフトウェアデータタイプによって表されます。このソフトウェアは、リファレンス、URL、または自由形式のテキストを使用して説明できます。
The SOFTWARE data type is implemented in the data model as the "iodef:SoftwareType" type.
SOFTWAREデータ型は、「iodef:SoftwareType」型としてデータモデルに実装されています。
+--------------------+
| iodef:SoftwareType |
+--------------------+
| |<>--{0..1}--[ SoftwareReference ]
| |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ Description ]
+--------------------+
Figure 2: The SoftwareType Type
図2:SoftwareTypeタイプ
The aggregate classes of the SoftwareType type are:
SoftwareTypeタイプの集約クラスは次のとおりです。
SoftwareReference Zero or one. Reference to a software application. See Section 2.15.1.
SoftwareReferenceゼロまたは1。ソフトウェアアプリケーションへの参照。セクション2.15.1を参照してください。
URL Zero or more. URL. A URL to a resource describing the software.
URLゼロ以上。 URL。ソフトウェアを説明するリソースへのURL。
Description Zero or more. ML_STRING. A free-form text description of the software.
説明ゼロ以上。 ML_STRING。ソフトウェアの自由形式のテキスト説明。
At least one of these classes MUST be present.
これらのクラスの少なくとも1つが存在する必要があります。
The iodef:SoftwareType type has no attributes.
iodef:SoftwareTypeタイプには属性がありません。
The SoftwareReference class is a reference to a particular version of software.
SoftwareReferenceクラスは、ソフトウェアの特定のバージョンへの参照です。
+----------------------+
| SoftwareReference |
+----------------------+
| xs:any |
| |
| ENUM spec-name |
| STRING ext-spec-name |
| ENUM dtype |
| STRING ext-dtype |
+----------------------+
Figure 3: The SoftwareReference Class
図3:SoftwareReferenceクラス
The element content varies according to the value of the spec-name attribute. It is defined in the data model as "xs:any" per [W3C.SCHEMA].
要素の内容は、spec-name属性の値によって異なります。データモデルでは、[W3C.SCHEMA]に従って「xs:any」として定義されています。
The attributes of the SoftwareReference class are:
SoftwareReferenceクラスの属性は次のとおりです。
spec-name Required. ENUM. Identifies the format and semantics of the element body of this class. Formal standards and specifications can be referenced as well as a free-form text description with a user-provided data type. These values are maintained in the "SoftwareReference-spec-id" IANA registry per Section 10.2
スペック名必須。 ENUM。このクラスの要素本体の形式とセマンティクスを識別します。正式な標準と仕様、およびユーザー指定のデータ型を使用した自由形式のテキスト記述を参照できます。これらの値は、セクション10.2に従って「SoftwareReference-spec-id」IANAレジストリで維持されます。
1. custom. The element content is free-form and of the data type specified by the dtype attribute. If this value is selected, then the dtype attribute MUST be set.
1. カスタム。要素の内容は自由形式で、dtype属性で指定されたデータ型です。この値が選択されている場合、dtype属性を設定する必要があります。
2. cpe. The element content describes a Common Platform Enumeration (CPE) entry per [NIST.CPE].
2. cpe。要素の内容は、[NIST.CPE]ごとのCommon Platform Enumeration(CPE)エントリを記述します。
3. swid. The element content describes a software identification (SWID) tag per [ISO19770].
3. 振った。要素の内容は、[ISO19770]に従ってソフトウェア識別(SWID)タグを記述します。
4. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
4. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-spec-name Optional. STRING. A means by which to extend the spec-name attribute. See Section 5.1.1.
ext-spec-nameオプション。ストリング。 spec-name属性を拡張する手段。セクション5.1.1を参照してください。
dtype Optional. ENUM. The data type of the element content. The permitted values for this attribute are shown below. The default value is "string". These values are maintained in the "SoftwareReference-dtype" IANA registry per Section 10.2.
dtypeオプション。 ENUM。要素コンテンツのデータ型。この属性に許可される値を以下に示します。デフォルト値は "string"です。これらの値は、セクション10.2の「SoftwareReference-dtype」IANAレジストリで維持されます。
1. bytes. The element content is of type HEXBIN.
1. バイト。要素の内容はタイプHEXBINです。
2. integer. The element content is of type INTEGER.
2. 整数。要素の内容はINTEGERタイプです。
3. real. The element content is of type REAL.
3. リアル。要素の内容はREALタイプです。
4. string. The element content is of type STRING.
4. ストリング。要素の内容はタイプSTRINGです。
5. xml. The element content is XML. See Section 5.2.
5. xml。要素のコンテンツはXMLです。セクション5.2を参照してください。
6. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
6. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-dtype Optional. STRING. A means by which to extend the dtype attribute. See Section 5.1.1.
ext-dtypeオプション。ストリング。 dtype属性を拡張する手段。セクション5.1.1を参照してください。
Information not otherwise represented in the IODEF can be added using the EXTENSION data type. This data type is a generic extension mechanism.
他にIODEFで表されていない情報は、EXTENSIONデータ型を使用して追加できます。このデータ型は、一般的な拡張メカニズムです。
The EXTENSION data type is implemented in the data model as the "iodef:ExtensionType" type.
EXTENSIONデータ型は、「iodef:ExtensionType」型としてデータモデルに実装されています。
The data type of an EXTENSION is described by the dtype attribute. For simple information, atomic data types (e.g., integers, strings) are supported. Their semantics are further described by the meaning and formatid attributes. Encapsulating XML documents conforming to another schema is also supported. A detailed discussion of extending the schema can be found in Section 5. Additional coordination may be required to ensure that a recipient of a document using this type can parse and process it.
EXTENSIONのデータ型は、dtype属性によって記述されます。簡単な情報として、アトミックデータ型(整数、文字列など)がサポートされています。それらのセマンティクスは、意味とフォーマットID属性によってさらに説明されます。別のスキーマに準拠するXMLドキュメントのカプセル化もサポートされています。スキーマの拡張に関する詳細な説明はセクション5にあります。このタイプを使用するドキュメントの受信者が確実に解析および処理できるようにするには、追加の調整が必要になる場合があります。
+------------------------+
| iodef:ExtensionType |
+------------------------+
| xs:any |
| |
| STRING name |
| ENUM dtype |
| STRING ext-dtype |
| STRING meaning |
| STRING formatid |
| ENUM restriction |
| STRING ext-restriction |
| ID observable-id |
+------------------------+
Figure 4: The iodef:ExtensionType Type
図4:iodef:ExtensionTypeタイプ
The element content of this type is the extension being added to the data model. This content is defined in the data model as "xs:any" per [W3C.SCHEMA].
このタイプの要素コンテンツは、データモデルに追加される拡張機能です。このコンテンツは、[W3C.SCHEMA]に従って「xs:any」としてデータモデルで定義されています。
The attributes of the iodef:ExtensionType type are:
iodef:ExtensionTypeタイプの属性は次のとおりです。
name Optional. STRING. A free-form name of the field or data element.
名前オプション。ストリング。フィールドまたはデータ要素の自由形式の名前。
dtype Required. ENUM. The data type of the element content. The default value is "string". These values are maintained in the "ExtensionType-dtype" IANA registry per Section 10.2.
dtype必須。 ENUM。要素コンテンツのデータ型。デフォルト値は "string"です。これらの値は、セクション10.2に従って「ExtensionType-dtype」IANAレジストリで維持されます。
1. boolean. The element content is of type BOOLEAN.
1. ブール。要素の内容はBOOLEANタイプです。
2. byte. The element content is of type BYTE.
2. バイト。要素の内容はBYTEタイプです。
3. bytes. The element content is of type HEXBIN.
3. バイト。要素の内容はタイプHEXBINです。
4. character. The element content is of type CHARACTER.
4. キャラクター。要素の内容はタイプCHARACTERです。
5. date-time. The element content is of type DATETIME.
5. 日付時刻。要素のコンテンツのタイプはDATETIMEです。
6. ntpstamp. Same as date-time.
6. ntpstamp。日時と同じです。
7. integer. The element content is of type INTEGER.
7. 整数。要素の内容はINTEGERタイプです。
8. portlist. The element content is of type PORTLIST.
8. ポートリスト。要素の内容はタイプPORTLISTです。
9. real. The element content is of type REAL.
9. リアル。要素の内容はREALタイプです。
10. string. The element content is of type STRING.
10. ストリング。要素の内容はタイプSTRINGです。
11. file. The element content is a base64-encoded binary file encoded as a BYTE[] type.
11. ファイル。要素の内容は、BYTE []タイプとしてエンコードされたbase64エンコードのバイナリファイルです。
12. path. The element content is a file-system path encoded as a STRING type.
12. 道。要素の内容は、STRING型としてエンコードされたファイルシステムパスです。
13. frame. The element content is a Layer 2 frame encoded as a HEXBIN type.
13. フレーム。要素のコンテンツは、HEXBINタイプとしてエンコードされたレイヤー2フレームです。
14. packet. The element content is a Layer 3 packet encoded as a HEXBIN type.
14. パケット。要素の内容は、HEXBINタイプとしてエンコードされたレイヤー3パケットです。
15. ipv4-packet. The element content is an IPv4 packet encoded as a HEXBIN type.
15. ipv4-packet。要素の内容は、HEXBINタイプとしてエンコードされたIPv4パケットです。
16. ipv6-packet. The element content is an IPv6 packet encoded as a HEXBIN type.
16. ipv6-packet。要素の内容は、HEXBINタイプとしてエンコードされたIPv6パケットです。
17. url. The element content is of type URL.
17. URL。要素のコンテンツはURLタイプです。
18. csv. The element content is a comma-separated value (CSV) list per Section 2 of [RFC4180] encoded as a STRING type.
18. csv。要素のコンテンツは、STRINGタイプとしてエンコードされた[RFC4180]のセクション2に基づくカンマ区切り値(CSV)リストです。
19. winreg. The element content is a Microsoft Windows registry key encoded as a STRING type.
19. winreg。要素の内容は、STRING型としてエンコードされたMicrosoft Windowsレジストリキーです。
20. xml. The element content is XML. See Section 5.2.
20. xml。要素のコンテンツはXMLです。セクション5.2を参照してください。
21. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
21. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-dtype Optional. STRING. A means by which to extend the dtype attribute. See Section 5.1.1.
ext-dtypeオプション。ストリング。 dtype属性を拡張する手段。セクション5.1.1を参照してください。
meaning Optional. STRING. A free-form text description of the element content.
オプションを意味します。ストリング。要素コンテンツの自由形式のテキスト説明。
formatid Optional. STRING. An identifier referencing the format or semantics of the element content.
formatidオプション。ストリング。要素コンテンツの形式またはセマンティクスを参照する識別子。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The specifics of the IODEF information model are discussed in this section. Each class and its relationships with the other classes is described. When necessary, clarifications are made about translating this information model to the schema in Section 8.
このセクションでは、IODEF情報モデルの詳細について説明します。各クラスと他のクラスとの関係について説明します。必要に応じて、この情報モデルをセクション8のスキーマに変換することについて説明します。
The IODEF-Document class is the top level class in the IODEF data model. All IODEF documents are an instance of this class.
IODEF-Documentクラスは、IODEFデータモデルの最上位クラスです。すべてのIODEFドキュメントはこのクラスのインスタンスです。
+--------------------------+
| IODEF-Document |
+--------------------------+
| STRING version |<>--{1..*}--[ Incident ]
| ENUM xml:lang |<>--{0..*}--[ AdditionalData ]
| STRING format-id |
| STRING private-enum-name |
| STRING private-enum-id |
+--------------------------+
Figure 5: The IODEF-Document Class
図5:IODEF-Documentクラス
The aggregate classes of the IODEF-Document class are:
IODEF-Documentクラスの集約クラスは次のとおりです。
Incident One or more. The information related to a single incident. See Section 3.2.
インシデント1つ以上。単一のインシデントに関連する情報。セクション3.2を参照してください。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The attributes of the IODEF-Document class are:
IODEF-Documentクラスの属性は次のとおりです。
version Required. STRING. The IODEF specification version number to which this IODEF document conforms. The value of this attribute MUST be "2.00".
バージョン必須。ストリング。このIODEFドキュメントが準拠するIODEF仕様のバージョン番号。この属性の値は「2.00」でなければなりません。
xml:lang Optional. ENUM. A language identifier per Section 2.12 of [W3C.XML] whose values and form are described in [RFC5646]. The interpretation of this code is described in Section 6.
xml:langオプション。 ENUM。 [W3C.XML]のセクション2.12による言語識別子。その値と形式は[RFC5646]で説明されています。このコードの解釈については、セクション6で説明します。
format-id Optional. STRING. A free-form string to convey processing instructions to the recipient of the document. Its semantics must be negotiated out of band.
format-idオプション。ストリング。ドキュメントの受信者に処理命令を伝えるための自由形式の文字列。そのセマンティクスは帯域外で交渉する必要があります。
private-enum-name Optional. STRING. A globally unique identifier for the CSIRT generating the document to deconflict private extensions used in the document. The fully qualified domain name (FQDN) associated with the CSIRT MUST be used as the identifier. See Section 5.3.
private-enum-nameオプション。ストリング。ドキュメントで使用されているプライベート拡張機能の競合を解消するためにドキュメントを生成するCSIRTのグローバルに一意の識別子。 CSIRTに関連付けられた完全修飾ドメイン名(FQDN)を識別子として使用する必要があります。セクション5.3を参照してください。
private-enum-id Optional. STRING. An organizationally unique identifier for an extension used in the document. If this attribute is set, the private-enum-name MUST also be set. See Section 5.3.
private-enum-idオプション。ストリング。ドキュメントで使用される拡張子の組織的に一意の識別子。この属性を設定する場合は、private-enum-nameも設定する必要があります。セクション5.3を参照してください。
The Incident class describes commonly exchanged information when reporting or sharing derived analysis from security incidents.
インシデントクラスは、セキュリティインシデントから派生した分析を報告または共有するときに一般的に交換される情報を記述します。
+-------------------------+
| Incident |
+-------------------------+
| ENUM purpose |<>----------[ IncidentID ]
| STRING ext-purpose |<>--{0..1}--[ AlternativeID ]
| ENUM status |<>--{0..*}--[ RelatedActivity ]
| STRING ext-status |<>--{0..1}--[ DetectTime ]
| ENUM xml:lang |<>--{0..1}--[ StartTime ]
| ENUM restriction |<>--{0..1}--[ EndTime ]
| STRING ext-restriction |<>--{0..1}--{ RecoveryTime ]
| ID observable-id |<>--{0..1}--[ ReportTime ]
| |<>----------[ GenerationTime ]
| |<>--{0..*}--[ Description ]
| |<>--{0..*} [ Discovery ]
| |<>--{0..*}--[ Assessment ]
| |<>--{0..*}--[ Method ]
| |<>--{1..*}--[ Contact ]
| |<>--{0..*}--[ EventData ]
| |<>--{0..1}--[ IndicatorData ]
| |<>--{0..1}--[ History ]
| |<>--{0..*}--[ AdditionalData ]
+-------------------------+
Figure 6: The Incident Class
図6:インシデントクラス
The aggregate classes of the Incident class are:
Incidentクラスの集約クラスは次のとおりです。
IncidentID One. An incident tracking number assigned to this incident by the CSIRT that generated the IODEF document. See Section 3.4.
IncidentID One。 IODEFドキュメントを生成したCSIRTによってこのインシデントに割り当てられたインシデント追跡番号。セクション3.4を参照してください。
AlternativeID Zero or one. The incident tracking numbers used by other CSIRTs to refer to the incident described in the document. See Section 3.5.
AlternativeID 0または1。ドキュメントに記載されているインシデントを参照するために他のCSIRTが使用するインシデント追跡番号。セクション3.5を参照してください。
RelatedActivity Zero or more. Related activity and attribution of this activity. See Section 3.6.
RelatedActivityゼロ以上。関連する活動とこの活動の帰属。セクション3.6を参照してください。
DetectTime Zero or one. DATETIME. The time the incident was first detected.
DetectTimeゼロまたは1。日付時刻。インシデントが最初に検出された時刻。
StartTime Zero or one. DATETIME. The time the incident started.
StartTimeゼロまたは1。日付時刻。インシデントが始まった時間。
EndTime Zero or one. DATETIME. The time the incident ended.
EndTimeゼロまたは1。日付時刻。インシデントが終了した時間。
RecoveryTime Zero or one. DATETIME. The time the site recovered from the incident.
RecoveryTimeゼロまたは1。日付時刻。サイトがインシデントから復旧した時間。
ReportTime Zero or one. DATETIME. The time the incident was reported.
ReportTimeゼロまたは1。日付時刻。事件が報告された時間。
GenerationTime One. DATETIME. The time the content in this Incident class was generated.
GenerationTime One。日付時刻。このインシデントクラスのコンテンツが生成された時刻。
Description Zero or more. ML_STRING. A free-form text description of the incident.
説明ゼロ以上。 ML_STRING。インシデントの自由形式のテキスト説明。
Discovery Zero or more. The means by which this incident was detected. See Section 3.10.
ディスカバリーゼロ以上。このインシデントが検出された手段。セクション3.10を参照してください。
Assessment Zero or more. A characterization of the impact of the incident. See Section 3.12.
評価ゼロ以上。インシデントの影響の特性。セクション3.12を参照してください。
Method Zero or more. The techniques used by the threat actor in the incident. See Section 3.11.
メソッドゼロ以上。インシデントで脅威アクターが使用した手法。セクション3.11を参照してください。
Contact One or more. Contact information for the parties involved in the incident. See Section 3.9.
お問い合わせください。インシデントの関係者の連絡先情報。セクション3.9を参照してください。
EventData Zero or more. Description of the events comprising the incident. See Section 3.14.
EventDataゼロ以上。インシデントを構成するイベントの説明。セクション3.14を参照してください。
IndicatorData Zero or one. Indicators from the analysis of an incident. See Section 3.28.
IndicatorDataゼロまたは1。インシデントの分析からの指標。セクション3.28を参照してください。
History Zero or one. A log of significant events or actions that occurred during the course of handling the incident. See Section 3.13.
歴史ゼロか1。インシデントの処理中に発生した重要なイベントまたはアクションのログ。セクション3.13を参照してください。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The attributes of the Incident class are:
Incidentクラスの属性は次のとおりです。
purpose Required. ENUM. The purpose attribute describes the rationale for documenting the information in this class. It is closely related to the Expectation class (Section 3.15). These values are maintained in the "Incident-purpose" IANA registry per Section 10.2. This attribute is defined as an enumerated list:
目的必須。 ENUM。目的属性は、このクラスの情報を文書化する根拠を説明します。 Expectationクラスと密接に関連しています(セクション3.15)。これらの値は、セクション10.2に従って「インシデント目的の」IANAレジストリで維持されます。この属性は、列挙リストとして定義されています。
1. traceback. The incident was sent for trace-back purposes.
1. トレースバック。インシデントはトレースバックの目的で送信されました。
2. mitigation. The incident was sent to request aid in mitigating the described activity.
2. 緩和。事件は、記載された活動を緩和するための援助を要請するために送られました。
3. reporting. The incident was sent to comply with reporting requirements.
3. 報告。インシデントは、報告要件に準拠するために送信されました。
4. watch. The incident was sent to convey indicators that should be monitored.
4. 見る。インシデントは、監視する必要のある指標を伝えるために送信されました。
5. other. The incident was sent for purposes specified in the Expectation class.
5. その他。インシデントはExpectationクラスで指定された目的で送信されました。
6. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
6. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-purpose Optional. STRING. A means by which to extend the purpose attribute. See Section 5.1.1.
ext-purposeオプション。ストリング。目的属性を拡張する手段。セクション5.1.1を参照してください。
status Optional. ENUM. The status attribute conveys the state in a workflow where the incident is currently found. These values are maintained in the "Incident-status" IANA registry per Section 10.2. This attribute is defined as an enumerated list:
statusオプション。 ENUM。ステータス属性は、インシデントが現在見つかっているワークフローの状態を伝えます。これらの値は、セクション10.2に従って「インシデントステータス」IANAレジストリに保持されます。この属性は、列挙リストとして定義されています。
1. new. The incident is newly reported, and no action has been taken.
1. 新着。インシデントは新たに報告され、アクションは取られていません。
2. in-progress. The incident is under investigation.
2. 進行中。事件は調査中です。
3. forwarded. The incident has been forwarded to another party for handling.
3. 転送されました。インシデントは処理のために別の当事者に転送されました。
4. resolved. The investigation into the activity in this incident has concluded.
4. 解決しました。この事件の活動の調査は終了しました。
5. future. The described activity has not yet been detected.
5. 未来。説明されているアクティビティはまだ検出されていません。
6. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
6. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-status Optional. STRING. A means by which to extend the status attribute. See Section 5.1.1.
ext-statusオプション。ストリング。ステータス属性を拡張する手段。セクション5.1.1を参照してください。
xml:lang Optional. ENUM. A language identifier per Section 2.12 of [W3C.XML] whose values and form are described in [RFC5646]. The interpretation of this code is described in Section 6.
xml:langオプション。 ENUM。 [W3C.XML]のセクション2.12による言語識別子。その値と形式は[RFC5646]で説明されています。このコードの解釈については、セクション6で説明します。
restriction Optional. ENUM. See Section 3.3.1. The default value is "private".
制限オプション。 ENUM。セクション3.3.1を参照してください。デフォルト値は「プライベート」です。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
There are a number of recurring attributes used in the information model. They are documented in this section.
情報モデルで使用される繰り返し属性がいくつかあります。これらについては、このセクションで説明します。
The restriction attribute indicates the disclosure guidelines to which the sender expects the recipient to adhere for the information represented in this class and its children. This guideline provides no security since there are no technical means to ensure that the recipient of the document handles the information as the sender requested.
制限属性は、送信者が受信者がこのクラスとその子で表される情報を遵守することを期待する開示ガイドラインを示します。ドキュメントの受信者が送信者の要求どおりに情報を処理することを保証する技術的な手段がないため、このガイドラインはセキュリティを提供しません。
The value of this attribute is logically inherited by the children of this class. That is to say, the disclosure rules applied to this class also apply to its children.
この属性の値は、このクラスの子によって論理的に継承されます。つまり、このクラスに適用される開示ルールは、その子にも適用されます。
It is possible to set a granular disclosure policy, since all of the high-level classes (i.e., children of the Incident class) have a restriction attribute. Therefore, a child can override the guidelines of a parent class, be it to restrict or relax the disclosure rules (e.g., a child has a weaker policy than an ancestor; or an ancestor has a weak policy, and the children selectively apply more rigid controls). The implicit value of the restriction attribute for a class that did not specify one can be found in the closest ancestor that did specify a value.
すべての高レベルのクラス(つまり、インシデントクラスの子)には制限属性があるため、詳細な開示ポリシーを設定することが可能です。したがって、開示ルールを制限または緩和するために、子供は親クラスのガイドラインをオーバーライドできます(たとえば、子供は祖先よりも弱いポリシーを持っている、または祖先は弱いポリシーを持ち、子供は選択的により厳格に適用します)コントロール)。値を指定しなかったクラスの制限属性の暗黙的な値は、値を指定した最も近い祖先にあります。
This attribute is defined as an enumerated value with a default value of "private". Note that the default value of the restriction attribute is only defined in the context of the Incident class. In other classes where this attribute is used, no default is specified.
この属性は、「プライベート」のデフォルト値を持つ列挙値として定義されます。制限属性のデフォルト値はIncidentクラスのコンテキストでのみ定義されることに注意してください。この属性が使用される他のクラスでは、デフォルトは指定されていません。
These values are maintained in the "Restriction" IANA registry per Section 10.2.
これらの値は、セクション10.2に従って「制限」IANAレジストリで維持されます。
1. public. The information can be freely distributed without restriction.
1. 公衆。情報は制限なしに自由に配布できます。
2. partner. The information may be shared within a closed community of peers, partners, or affected parties, but cannot be openly published.
2. 相棒。情報は、ピア、パートナー、または影響を受ける当事者の閉じたコミュニティ内で共有される場合がありますが、公開することはできません。
3. need-to-know. The information may be shared only within the organization with individuals that have a need to know.
3. 知っておく必要があります。情報は、組織内でのみ、知る必要がある個人と共有される場合があります。
4. private. The information may not be shared.
4. 民間。情報が共有されない場合があります。
5. default. The information can be shared according to an information disclosure policy pre-arranged by the communicating parties.
5. デフォルト。情報は、通信する当事者によって事前に準備された情報開示ポリシーに従って共有できます。
6. white. Same as 'public'.
6. 白い。 「public」と同じです。
7. green. Same as 'partner'.
7. 緑。 「パートナー」と同じ。
8. amber. Same as 'need-to-know'.
8. アンバー。 「知る必要がある」と同じ。
9. red. Same as 'private'.
9. 赤。 「プライベート」と同じ。
10. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
10. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
The observable-id attribute tags information in the document as an observable so that it can be referenced later in the description of an indicator. The value of this attribute is a unique identifier in the scope of the document. It is used by the ObservableReference class to enumerate observables when defining an indicator with the IndicatorData class.
オブザーバブルID属性は、ドキュメント内の情報をオブザーバブルとしてタグ付けし、後でインジケーターの説明で参照できるようにします。この属性の値は、ドキュメントのスコープ内の一意の識別子です。これは、ObservableReferenceクラスによって使用され、IndicatorDataクラスでインジケーターを定義するときにオブザーバブルを列挙します。
The IncidentID class represents a tracking number that is unique in the context of the CSIRT. It serves as an identifier for an incident or a document identifier when sharing indicators. This identifier would serve as an index into a CSIRT's incident handling or knowledge management system.
IncidentIDクラスは、CSIRTのコンテキストで一意の追跡番号を表します。インジケーターを共有する場合、インシデントの識別子またはドキュメント識別子として機能します。この識別子は、CSIRTのインシデント処理または知識管理システムへのインデックスとして機能します。
The combination of the name attribute and the string in the element content MUST be a globally unique identifier describing the activity. Documents generated by a given CSIRT MUST NOT reuse the same value unless they are referencing the same incident.
name属性と要素コンテンツの文字列の組み合わせは、アクティビティを説明するグローバルに一意の識別子である必要があります。特定のCSIRTによって生成されたドキュメントは、同じインシデントを参照していない限り、同じ値を再利用してはなりません。
+------------------------+
| IncidentID |
+------------------------+
| STRING |
| |
| STRING name |
| STRING instance |
| ENUM restriction |
| STRING ext-restriction |
+------------------------+
Figure 7: The IncidentID Class
図7:IncidentIDクラス
The content of the class is an incident identifier of type STRING.
クラスの内容は、タイプSTRINGのインシデントIDです。
The attributes of the IncidentID class are:
IncidentIDクラスの属性は次のとおりです。
name Required. STRING. An identifier describing the CSIRT that created the document. In order to have a globally unique CSIRT name, the fully qualified domain name associated with the CSIRT MUST be used.
名前必須。ストリング。ドキュメントを作成したCSIRTを説明する識別子。グローバルに一意のCSIRT名を取得するには、CSIRTに関連付けられた完全修飾ドメイン名を使用する必要があります。
instance Optional. STRING. An identifier referencing a subset of the named incident.
インスタンスオプション。ストリング。名前付きインシデントのサブセットを参照する識別子。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The AlternativeID class lists the tracking numbers used by CSIRTs, other than the one generating the document, to refer to the identical activity described in the IODEF document. A tracking number listed as an AlternativeID references the same incident detected by another CSIRT. The tracking numbers of the CSIRT that generated the IODEF document must never be considered an AlternativeID.
AlternativeIDクラスは、IODEFドキュメントで説明されている同じアクティビティを参照するために、ドキュメントを生成するもの以外のCSIRTによって使用される追跡番号をリストします。 AlternativeIDとしてリストされている追跡番号は、別のCSIRTによって検出された同じインシデントを参照しています。 IODEFドキュメントを生成したCSIRTの追跡番号は、AlternativeIDと見なしてはなりません。
+------------------------+
| AlternativeID |
+------------------------+
| ENUM restriction |<>--{1..*}--[ IncidentID ]
| STRING ext-restriction |
+------------------------+
Figure 8: The AlternativeID Class
図8:AlternativeIDクラス
The aggregate class of the AlternativeID class is:
AlternativeIDクラスの集約クラスは次のとおりです。
IncidentID One or more. The tracking number of another CSIRT. See Section 3.4.
IncidentID 1つ以上。別のCSIRTの追跡番号。セクション3.4を参照してください。
The attributes of the AlternativeID class are:
AlternativeIDクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The RelatedActivity class relates the information described in the rest of the document to previously observed incidents or activity and allows attribution to a specific actor or campaign.
RelatedActivityクラスは、ドキュメントの残りの部分で説明されている情報を以前に観察されたインシデントまたはアクティビティに関連付け、特定の俳優またはキャンペーンへの帰属を可能にします。
+------------------------+
| RelatedActivity |
+------------------------+
| ENUM restriction |<>--{0..*}--[ IncidentID ]
| STRING ext-restriction |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ ThreatActor ]
| |<>--{0..*}--[ Campaign ]
| |<>--{0..*}--[ IndicatorID ]
| |<>--{0..1}--[ Confidence ]
| |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 9: The RelatedActivity Class
図9:RelatedActivityクラス
The aggregate classes of the RelatedActivity class are:
RelatedActivityクラスの集約クラスは次のとおりです。
IncidentID Zero or more. The tracking number of a related incident. See Section 3.4.
IncidentIDゼロ以上。関連するインシデントの追跡番号。セクション3.4を参照してください。
URL Zero or more. URL. A URL to activity related to this incident.
URLゼロ以上。 URL。このインシデントに関連する活動へのURL。
ThreatActor Zero or more. The threat actor to whom the incident activity is attributed. See Section 3.7.
ThreatActorゼロ以上。インシデントアクティビティの原因となった脅威のアクター。セクション3.7を参照してください。
Campaign Zero or more. The campaign of a given threat actor to whom the described activity is attributed. See Section 3.8.
キャンペーンゼロ以上。説明されているアクティビティが原因である特定の脅威アクターのキャンペーン。セクション3.8を参照してください。
IndicatorID Zero or more. A reference to a related indicator. See Section 3.4.
IndicatorIDゼロ以上。関連するインジケータへの参照。セクション3.4を参照してください。
Confidence Zero or one. An estimate of the confidence in attributing this RelatedActivity to the events described in the document. See Section 3.12.5.
信頼度0または1。ドキュメントに記載されているイベントにこのRelatedActivityを起因する信頼度の推定。セクション3.12.5を参照してください。
Description Zero or more. ML_STRING. A description of how these relationships were derived.
説明ゼロ以上。 ML_STRING。これらの関係がどのように導出されたかの説明。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
The RelatedActivity class MUST have at least one instance of any of the following child classes: IncidentID, URL, ThreatActor, Campaign, Description, or AdditionalData.
RelatedActivityクラスには、IncidentID、URL、ThreatActor、Campaign、Description、またはAdditionalDataのいずれかの子クラスのインスタンスが少なくとも1つ必要です。
The attributes of the RelatedActivity class are:
RelatedActivityクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The ThreatActor class describes a threat actor.
ThreatActorクラスは脅威アクターを記述します。
+------------------------+
| ThreatActor |
+------------------------+
| ENUM restriction |<>--{0..*}--[ ThreatActorID ]
| STRING ext-restriction |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 10: The ThreatActor Class
図10:ThreatActorクラス
The aggregate classes of the ThreatActor class are:
ThreatActorクラスの集約クラスは次のとおりです。
ThreatActorID Zero or more. STRING. An identifier for the threat actor.
ThreatActorIDゼロ以上。ストリング。脅威アクターの識別子。
URL Zero or more. URL. A URL to a reference describing the threat actor.
URLゼロ以上。 URL。脅威アクターを説明するリファレンスへのURL。
Description Zero or more. ML_STRING. A description of the threat actor.
説明ゼロ以上。 ML_STRING。脅威アクターの説明。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
The ThreatActor class MUST have at least one instance of a child class.
ThreatActorクラスには、子クラスのインスタンスが少なくとも1つ必要です。
The attributes of the ThreatActor class are:
ThreatActorクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The Campaign class describes a campaign of attacks by a threat actor.
Campaignクラスは、脅威アクターによる攻撃のキャンペーンを記述します。
+------------------------+
| Campaign |
+------------------------+
| ENUM restriction |<>--{0..*}--[ CampaignID ]
| STRING ext-restriction |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 11: The Campaign Class
図11:キャンペーンクラス
The aggregate classes of the Campaign class are:
Campaignクラスの集約クラスは次のとおりです。
CampaignID Zero or more. STRING. An identifier for the campaign.
CampaignIDゼロ以上。ストリング。キャンペーンの識別子。
URL Zero or more. URL. A URL to a reference describing the campaign.
URLゼロ以上。 URL。キャンペーンを説明するリファレンスへのURL。
Description Zero or more. ML_STRING. A description of the campaign.
説明ゼロ以上。 ML_STRING。キャンペーンの説明。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
The Campaign class MUST have at least one instance of a child class.
Campaignクラスには、子クラスのインスタンスが少なくとも1つ必要です。
The attributes of the Campaign class are:
Campaignクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The Contact class describes contact information for organizations and personnel involved in the incident. This class allows for the naming of the involved party, specifying contact information for them, and identifying their role in the incident.
Contactクラスは、インシデントに関与する組織および担当者の連絡先情報を記述します。このクラスでは、関係者の名前付け、それらの連絡先情報の指定、およびインシデントにおける彼らの役割の識別が可能です。
People and organizations are treated interchangeably as contacts; one can be associated with the other using the recursive definition of the class (the Contact class is aggregated into the Contact class). The type attribute disambiguates the type of contact information being provided.
人と組織は連絡先として交換可能に扱われます。クラスの再帰的な定義を使用して、一方を他方に関連付けることができます(ContactクラスはContactクラスに集約されます)。 type属性は、提供される連絡先情報のタイプを明確にします。
The recursive definition of Contact provides a way to relate information without requiring the explicit use of identifiers or duplication of data. A complete point of contact is derived by a particular traversal from the root Contact class to the leaf Contact class. Each child Contact class logically inherits contact information from its ancestors.
Contactを再帰的に定義すると、識別子を明示的に使用したりデータを複製したりすることなく情報を関連付けることができます。完全な接点は、ルートのContactクラスからリーフのContactクラスへの特定のトラバーサルによって導出されます。子のContactクラスはそれぞれ、祖先から論理的に連絡先情報を継承します。
+------------------------+
| Contact |
+------------------------+
| ENUM role |<>--{0..*}--[ ContactName ]
| STRING ext-role |<>--{0..*}--[ ContactTitle ]
| ENUM type |<>--{0..*}--[ Description ]
| STRING ext-type |<>--{0..*}--[ RegistryHandle ]
| ENUM restriction |<>--{0..*}--[ PostalAddress ]
| STRING ext-restriction |<>--{0..*}--[ Email ]
| |<>--{0..*}--[ Telephone ]
| |<>--{0..1}--[ Timezone ]
| |<>--{0..*}--[ Contact ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 12: The Contact Class
図12:連絡先クラス
The aggregate classes of the Contact class are:
Contactクラスの集約クラスは次のとおりです。
ContactName Zero or more. ML_STRING. The name of the contact. The contact may either be an organization or a person. The type attribute disambiguates the semantics.
ContactNameゼロ以上。 ML_STRING。連絡先の名前。連絡先は、組織または個人のいずれかです。 type属性はセマンティクスを明確にします。
ContactTitle Zero or more. ML_STRING. The title for the individual named in the ContactName.
ContactTitleゼロ以上。 ML_STRING。 ContactNameで指定された個人の役職。
Description Zero or more. ML_STRING. A free-form text description of the contact.
説明ゼロ以上。 ML_STRING。連絡先の自由形式のテキスト説明。
RegistryHandle Zero or more. A handle name into the registry of the contact. See Section 3.9.1.
RegistryHandleゼロ以上。連絡先のレジストリへのハンドル名。セクション3.9.1を参照してください。
PostalAddress Zero or more. The postal address of the contact. See Section 3.9.2.
PostalAddressゼロ以上。連絡先の住所。セクション3.9.2を参照してください。
Email Zero or more. The email address of the contact. See Section 3.9.3.
ゼロ以上のメール。連絡先のメールアドレス。セクション3.9.3を参照してください。
Telephone Zero or more. The telephone number of the contact. See Section 3.9.4.
電話ゼロ以上。連絡先の電話番号。セクション3.9.4を参照してください。
Timezone Zero or one. TIMEZONE. The timezone in which the contact resides.
タイムゾーン0または1。タイムゾーン。連絡先が存在するタイムゾーン。
Contact Zero or more. A recursive definition of the Contact class. This definition can be used to group common data pertaining to multiple points of contact and is especially useful when listing multiple contacts at the same organization.
ゼロ以上にお問い合わせください。 Contactクラスの再帰的な定義。この定義は、複数の連絡先に関連する共通データをグループ化するために使用でき、同じ組織の複数の連絡先をリストするときに特に役立ちます。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
At least one of the aggregate classes MUST be present in an instance of the Contact class.
少なくとも1つの集約クラスが、Contactクラスのインスタンスに存在する必要があります。
The attributes of the Contact class are:
Contactクラスの属性は次のとおりです。
role Required. ENUM. Indicates the role the contact fulfills. These values are maintained in the "Contact-role" IANA registry per Section 10.2.
役割が必要です。 ENUM。連絡先が果たす役割を示します。これらの値は、セクション10.2に従って「Contact-role」IANAレジストリで維持されます。
1. creator. The entity that generates the document.
1. クリエーター。ドキュメントを生成するエンティティ。
2. reporter. The entity that reported the information.
2. レポーター。情報を報告したエンティティ。
3. admin. An administrative contact or business owner for an asset or organization.
3. 管理者。資産または組織の管理担当者または事業主。
4. tech. An entity responsible for the day-to-day management of technical issues for an asset or organization.
4. tech. An entity responsible for the day-to-day management of technical issues for an asset or organization.
5. provider. An external hosting provider for an asset.
5. プロバイダー。アセットの外部ホスティングプロバイダー。
6. user. An end-user of an asset or part of an organization.
6. ユーザー。資産または組織の一部のエンドユーザー。
7. billing. An entity responsible for billing issues for an asset or organization.
7. 請求。資産または組織の請求に関する問題を担当するエンティティ。
8. legal. An entity responsible for legal issues related to an asset or organization.
8. 法的。資産または組織に関連する法的問題を担当するエンティティ。
9. irt. An entity responsible for handling security issues for an asset or organization.
9. IRT。資産または組織のセキュリティ問題の処理を担当するエンティティ。
10. abuse. An entity responsible for handling abuse originating from an asset or organization.
10. 乱用。資産または組織に起因する不正行為の処理を担当するエンティティ。
11. cc. An entity that is to be kept informed about the events related to an asset or organization.
11. cc。資産または組織に関連するイベントについて常に通知されるエンティティ。
12. cc-irt. A CSIRT or information-sharing organization coordinating activity related to an asset or organization.
12. cc-irt。資産または組織に関連するCSIRTまたは情報共有組織の調整活動。
13. leo. A law enforcement organization supporting the investigation of activity affecting an asset or organization.
13. レオ。資産または組織に影響を与える活動の調査をサポートする法執行機関。
14. vendor. The vendor that produces an asset.
14. ベンダー。アセットを作成するベンダー。
15. vendor-support. A vendor that provides services.
15. ベンダーサポート。サービスを提供するベンダー。
16. victim. A victim in the incident.
16. 犠牲者。事件の犠牲者。
17. victim-notified. A victim in the incident who has been notified.
17. 被害者に通知。通知された事件の犠牲者。
18. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
18. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-role Optional. STRING. A means by which to extend the role attribute. See Section 5.1.1.
ext-roleオプション。ストリング。ロール属性を拡張する手段。セクション5.1.1を参照してください。
type Required. ENUM. Indicates the type of contact being described. This attribute is defined as an enumerated list. These values are maintained in the "Contact-type" IANA registry per Section 10.2.
タイプ必須。 ENUM。説明されている連絡先のタイプを示します。この属性は、列挙リストとして定義されています。これらの値は、セクション10.2に従って「連絡先タイプ」のIANAレジストリで維持されます。
1. person. The information for this contact references an individual.
1. 人。この連絡先の情報は個人を参照しています。
2. organization. The information for this contact references an organization.
2. organization. The information for this contact references an organization.
3. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
3. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-typeオプション。ストリング。 type属性を拡張する手段。セクション5.1.1を参照してください。
restriction Optional. ENUM. See Section 3.3.1.
restriction Optional. ENUM. See Section 3.3.1.
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The RegistryHandle class represents a handle into an Internet registry or community-specific database.
RegistryHandleクラスは、インターネットレジストリまたはコミュニティ固有のデータベースへのハンドルを表します。
+---------------------+
| RegistryHandle |
+---------------------+
| STRING |
| |
| ENUM registry |
| STRING ext-registry |
+---------------------+
Figure 13: The RegistryHandle Class
図13:RegistryHandleクラス
The content of the class is a handle into a registry of type STRING.
クラスの内容は、STRING型のレジストリへのハンドルです。
The attributes of the RegistryHandle class are:
RegistryHandleクラスの属性は次のとおりです。
registry Required. ENUM. The database to which the handle belongs. These values are maintained in the "RegistryHandle-registry" IANA registry per Section 10.2. The possible values are:
レジストリが必要です。 ENUM。ハンドルが属するデータベース。これらの値は、セクション10.2の「RegistryHandle-registry」IANAレジストリで維持されます。可能な値は次のとおりです。
1. internic. Internet Network Information Center
1. 素朴。インターネットネットワークインフォメーションセンター
2. apnic. Asia Pacific Network Information Center
2. apnic. Asia Pacific Network Information Center
3. arin. American Registry for Internet Numbers
3. アリン。インターネット番号のアメリカ登録
4. lacnic. Latin American and Caribbean Internet Addresses Registry
4. ラクニック。ラテンアメリカおよびカリブ海のインターネットアドレスレジストリ
5. ripe. Reseaux IP Europeens
5. 熟した。ヨーロッパのIPネットワーク
6. afrinic. African Network Information Center
6. afrinic。アフリカネットワーク情報センター
7. local. A database local to the CSIRT
7. 地元。 CSIRTにローカルなデータベース
8. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
8. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-registry Optional. STRING. A means by which to extend the registry attribute. See Section 5.1.1.
ext-registryオプション。ストリング。レジストリ属性を拡張する手段。セクション5.1.1を参照してください。
The PostalAddress class specifies a postal address and associated annotation.
PostalAddressクラスは、住所と関連する注釈を指定します。
+--------------------+
| PostalAddress |
+--------------------+
| ENUM type |<>----------[ PAddress ]
| STRING ext-type |<>--{0..*}--[ Description ]
+--------------------+
Figure 14: The PostalAddress Class
図14:PostalAddressクラス
The aggregate classes of the PostalAddress class are:
PostalAddressクラスの集約クラスは次のとおりです。
PAddress One. POSTAL. A postal address.
PAddress One。郵便。住所。
Description Zero or more. ML_STRING. A free-form text description of the address.
説明ゼロ以上。 ML_STRING。住所の自由形式のテキスト説明。
The attributes of the PostalAddress class are:
PostalAddressクラスの属性は次のとおりです。
type Optional. ENUM. Categorizes the type of address described in the PAddress class. These values are maintained in the "PostalAddress-type" IANA registry per Section 10.2.
タイプオプション。 ENUM。 PAddressクラスで記述されたアドレスのタイプを分類します。これらの値は、セクション10.2に従って「PostalAddress-type」IANAレジストリで維持されます。
1. street. An address describing a physical location.
1. 通り。物理的な場所を説明する住所。
2. mailing. An address to which correspondence should be sent.
2. 郵送。通信の送信先のアドレス。
3. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
3. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-typeオプション。ストリング。 type属性を拡張する手段。セクション5.1.1を参照してください。
The Email class specifies an email address and associated annotation.
Emailクラスは、メールアドレスと関連する注釈を指定します。
+--------------------+
| Email |
+--------------------+
| ENUM type |<>----------[ EmailTo ]
| STRING ext-type |<>--{0..*}--[ Description ]
+--------------------+
Figure 15: The Email Class
図15:電子メールクラス
The aggregate classes of the Email class are:
Emailクラスの集約クラスは次のとおりです。
EmailTo One. EMAIL. An email address.
1通にメール送信Eメール。メールアドレス。
Description Zero or more. ML_STRING. A free-form text description of the email address.
説明ゼロ以上。 ML_STRING。電子メールアドレスの自由形式のテキスト説明。
The attributes of the Email class are:
Emailクラスの属性は次のとおりです。
type Optional. ENUM. Categorizes the type of email address described in the EmailTo class. These values are maintained in the "Email-type" IANA registry per Section 10.2.
タイプオプション。 ENUM。 EmailToクラスに記述されている電子メールアドレスの種類を分類します。これらの値は、セクション10.2に従って「Email-type」IANAレジストリで維持されます。
1. direct. An email address of an individual.
1. 直接。個人のメールアドレス。
2. hotline. An email address regularly monitored for operational purposes.
2. hotline. An email address regularly monitored for operational purposes.
3. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
3. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
The Telephone class describes a telephone number and associated annotation.
The Telephone class describes a telephone number and associated annotation.
+--------------------+
| Telephone |
+--------------------+
| ENUM type |<>----------[ TelephoneNumber ]
| STRING ext-type |<>--{0..*}--[ Description ]
+--------------------+
Figure 16: The Telephone Class
図16:電話クラス
The aggregate classes of the Telephone class are:
Telephoneクラスの集約クラスは次のとおりです。
TelephoneNumber One. PHONE. A telephone number.
TelephoneNumber One. PHONE. A telephone number.
Description Zero or more. ML_STRING. A free-form text description of the phone number.
説明ゼロ以上。 ML_STRING。電話番号の自由形式のテキスト説明。
The attributes of the Telephone class are:
Telephoneクラスの属性は次のとおりです。
type Optional. ENUM. Categorizes the type of telephone number described in the TelephoneNumber class. These values are maintained in the "Telephone-type" IANA registry per Section 10.2.
タイプオプション。 ENUM。 TelephoneNumberクラスで記述された電話番号のタイプを分類します。これらの値は、セクション10.2に従って「電話タイプ」のIANAレジストリで維持されます。
1. wired. A number of a wire-line (land-line) phone.
1. 有線。有線(固定)電話の番号。
2. mobile. A number of a mobile phone.
2. モバイル。携帯電話の番号。
3. fax. A number to a fax machine.
3. ファックス。ファックス機への番号。
4. hotline. A number to a regularly monitored operational hotline.
4. ホットライン。定期的に監視される運用ホットラインの番号。
5. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
5. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-typeオプション。ストリング。 type属性を拡張する手段。セクション5.1.1を参照してください。
The Discovery class describes how an incident was detected.
Discoveryクラスは、インシデントがどのように検出されたかを示します。
+------------------------+
| Discovery |
+------------------------+
| ENUM source |<>--{0..*}--[ Description ]
| STRING ext-source |<>--{0..*}--[ Contact ]
| ENUM restriction |<>--{0..*}--[ DetectionPattern ]
| STRING ext-restriction |
+------------------------+
Figure 17: The Discovery Class
図17:発見クラス
The aggregate classes of the Discovery class are:
Discoveryクラスの集約クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form text description of how this incident was detected.
説明ゼロ以上。 ML_STRING。このインシデントがどのように検出されたかを説明する自由形式のテキスト。
Contact Zero or more. Contact information for the party that discovered the incident. See Section 3.9.
ゼロ以上にお問い合わせください。インシデントを発見した当事者の連絡先情報。セクション3.9を参照してください。
DetectionPattern Zero or more. Describes an application-specific configuration that detected the incident. See Section 3.10.1.
DetectionPatternゼロ以上。インシデントを検出したアプリケーション固有の構成について説明します。セクション3.10.1を参照してください。
The attributes of the Discovery class are:
Discoveryクラスの属性は次のとおりです。
source Optional. ENUM. Categorizes the techniques used to discover the incident. These values are partially derived from Table 3-1 of [NIST800.61rev2]. These values are maintained in the "Discovery-source" IANA registry per Section 10.2.
ソースオプション。 ENUM。インシデントを発見するために使用される手法を分類します。これらの値は、[NIST800.61rev2]の表3-1から部分的に導出されています。これらの値は、セクション10.2の「Discovery-source」IANAレジストリで維持されます。
1. nidps. Network Intrusion Detection or Prevention System.
1. nidps。ネットワーク侵入検知または防止システム。
2. hips. Host-based Intrusion Prevention System.
2. ヒップ。ホストベースの侵入防止システム。
3. siem. Security Information and Event Management System.
3. シェム。セキュリティ情報およびイベント管理システム。
4. av. Antivirus or antispam software.
4. の。ウイルス対策またはスパム対策ソフトウェア。
5. third-party-monitoring. Contracted third-party monitoring service.
5. サードパーティの監視。契約したサードパーティの監視サービス。
6. incident. The activity was discovered while investigating an unrelated incident.
6. インシデント。無関係な事件を調査中に活動が発見されました。
7. os-log. Operating system logs.
7. os-log。オペレーティングシステムのログ。
8. application-log. Application logs.
8. アプリケーションログ。アプリケーションログ。
9. device-log. Network device logs.
9. デバイスログ。ネットワークデバイスのログ。
10. network-flow. Network flow analysis.
10. ネットワークフロー。ネットワークフロー分析。
11. passive-dns. Passive DNS analysis.
11. パッシブDN。パッシブDNS分析。
12. investigation. Manual investigation initiated based on notification of a new vulnerability or exploit.
12. 調査。新しい脆弱性またはエクスプロイトの通知に基づいて開始された手動の調査。
13. audit. Security audit.
13. 監査。セキュリティ監査。
14. internal-notification. A party within the organization reported the activity.
14. 内部通知。組織内の当事者が活動を報告しました。
15. external-notification. A party outside of the organization reported the activity.
15. 外部通知。組織外の当事者が活動を報告しました。
16. leo. A law enforcement organization notified the victim organization.
16. レオ。法執行機関が被害者の組織に通知した。
17. partner. A customer or business partner reported the activity to the victim organization.
17. 相棒。顧客またはビジネスパートナーが被害者組織に活動を報告しました。
18. actor. The threat actor directly or indirectly reported this activity to the victim organization.
18. 俳優。攻撃者は直接または間接的にこの活動を被害者の組織に報告しました。
19. unknown. Unknown detection approach.
19. わからない。未知の検出アプローチ。
20. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
20. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-source Optional. STRING. A means by which to extend the source attribute. See Section 5.1.1.
ext-sourceオプション。ストリング。ソース属性を拡張する手段。セクション5.1.1を参照してください。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The DetectionPattern class describes a configuration or signature that can be used by an Intrusion Detection System (IDS) / Intrusion Prevention System (IPS), SIEM, antivirus, endpoint protection, network analysis, malware analysis, or host forensics tool to identify a particular phenomenon. This class requires the identification of the target application and allows the configuration to be described in either free form or machine-readable form.
DetectionPatternクラスは、侵入検知システム(IDS)/侵入防止システム(IPS)、SIEM、アンチウイルス、エンドポイント保護、ネットワーク分析、マルウェア分析、またはホストフォレンジックツールが特定の現象を識別するために使用できる構成またはシグネチャを記述します。このクラスでは、ターゲットアプリケーションの識別が必要であり、構成を自由形式または機械可読形式で記述できます。
+------------------------+
| DetectionPattern |
+------------------------+
| ENUM restriction |<>----------[ Application ]
| STRING ext-restriction |<>--{0..*}--[ Description ]
| ID observable-id |<>--{0..*}--[ DetectionConfiguration ]
+------------------------+
Figure 18: The DetectionPattern Class
図18:DetectionPatternクラス
The aggregate classes of the DetectionPattern class are:
DetectionPatternクラスの集約クラスは次のとおりです。
Application One. SOFTWARE. The application for which the DetectionConfiguration or Description is being provided.
アプリケーション1。ソフトウェア。 DetectionConfigurationまたはDescriptionが提供されているアプリケーション。
Description Zero or more. ML_STRING. A free-form text description of how to use the information provided in the Application or DetectionConfiguration classes.
説明ゼロ以上。 ML_STRING。 ApplicationクラスまたはDetectionConfigurationクラスで提供される情報の使用方法を説明する自由形式のテキスト。
DetectionConfiguration Zero or more. STRING. A machine-consumable configuration to find a pattern of activity.
DetectionConfigurationゼロ以上。ストリング。アクティビティのパターンを見つけるためのマシンで消費可能な構成。
An instance of either the Description or DetectionConfiguration class MUST be present.
DescriptionクラスまたはDetectionConfigurationクラスのいずれかのインスタンスが存在する必要があります。
The attributes of the DetectionPattern class are:
The attributes of the DetectionPattern class are:
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-id Optional. ID. See Section 3.3.2.
The Method class describes the tactics, techniques, procedures, or weakness used by the threat actor in an incident. This class consists of both a list of references describing the attack methods and weaknesses and a free-form text description.
Methodクラスは、攻撃者がインシデントで使用する戦術、手法、手順、または弱点を記述します。このクラスは、攻撃の方法と弱点を説明するリファレンスのリストと、自由形式のテキストの説明の両方で構成されています。
+------------------------+
| Method |
+------------------------+
| ENUM restriction |<>--{0..*}--[ Reference ]
| STRING ext-restriction |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ sci:AttackPattern ]
| |<>--{0..*}--[ sci:Vulnerability ]
| |<>--{0..*}--[ sci:Weakness ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 19: The Method Class
図19:メソッドクラス
The aggregate classes of the Method class are:
Methodクラスの集約クラスは次のとおりです。
Reference Zero or more. A reference to a vulnerability, malware sample, advisory, or analysis of an attack technique. See Section 3.11.1.
ゼロ以上の参照。脆弱性、マルウェアのサンプル、助言、または攻撃手法の分析への参照。セクション3.11.1を参照してください。
Description Zero or more. ML_STRING. A free-form text description of techniques, tactics, or procedures used by the threat actor.
説明ゼロ以上。 ML_STRING。攻撃者が使用するテクニック、戦術、または手順の自由形式のテキスト記述。
sci:AttackPattern Zero or more. A reference to a pattern of attack or exploitation per [RFC7203].
sci:AttackPatternゼロ以上。 [RFC7203]による攻撃または悪用のパターンへの参照。
sci:Vulnerability Zero or more. A reference to a vulnerability per [RFC7203].
sci:脆弱性0以上。 [RFC7203]による脆弱性への言及。
sci:Weakness Zero or more. A reference to the exploited weakness per [RFC7203].
sci:弱点0以上。 [RFC7203]による悪用された脆弱性への言及。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
An instance of one of these children MUST be present.
これらの子のいずれかのインスタンスが存在する必要があります。
The attributes of the Method class are:
The attributes of the Method class are:
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
The Reference class is an external reference to relevant information such as a vulnerability, IDS alert, malware sample, advisory, or attack technique.
Referenceクラスは、脆弱性、IDSアラート、マルウェアサンプル、助言、攻撃手法などの関連情報への外部参照です。
+-------------------------+
| Reference |
+-------------------------+
| ID observable-id |<>--{0..1}--[ enum:ReferenceName ]
| |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ Description ]
+-------------------------+
Figure 20: The Reference Class
図20:参照クラス
The aggregate classes of the Reference class are:
Referenceクラスの集約クラスは次のとおりです。
enum:ReferenceName Zero or one. Reference identifier per [RFC7495].
enum:ReferenceNameゼロまたは1。 [RFC7495]による参照識別子。
URL Zero or more. URL. A URL to a reference.
URLゼロ以上。 URL。参照へのURL。
Description Zero or more. ML_STRING. A free-form text description of this reference.
説明ゼロ以上。 ML_STRING。この参照の自由形式のテキスト説明。
At least one of these classes MUST be present.
これらのクラスの少なくとも1つが存在する必要があります。
The attribute of the Reference class is:
Referenceクラスの属性は次のとおりです。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The Assessment class describes the repercussions of the incident to the victim.
The Assessment class describes the repercussions of the incident to the victim.
+-------------------------+
| Assessment |
+-------------------------+
| ENUM occurrence |<>--{0..*}--[ IncidentCategory ]
| ENUM restriction |<>--{0..*}--[ SystemImpact ]
| STRING ext-restriction |<>--{0..*}--[ BusinessImpact ]
| ID observable-id |<>--{0..*}--[ TimeImpact ]
| |<>--{0..*}--[ MonetaryImpact ]
| |<>--{0..*}--[ IntendedImpact ]
| |<>--{0..*}--[ Counter ]
| |<>--{0..*}--[ MitigatingFactor ]
| |<>--{0..*}--[ Cause ]
| |<>--{0..1}--[ Confidence ]
| |<>--{0..*}--[ AdditionalData ]
+-------------------------+
Figure 21: The Assessment Class
図21:評価クラス
The aggregate classes of the Assessment class are:
アセスメントクラスの集約クラスは次のとおりです。
IncidentCategory Zero or more. ML_STRING. A free-form text description categorizing the type of incident.
IncidentCategoryゼロ以上。 ML_STRING。インシデントのタイプを分類する自由形式のテキスト記述。
SystemImpact Zero or more. A technical characterization of the impact of the incident activity on the victim's enterprise. See Section 3.12.1.
SystemImpactゼロ以上。インシデントアクティビティが被害者の企業に与える影響の技術的な特徴。セクション3.12.1を参照してください。
BusinessImpact Zero or more. Impact of the incident activity on the business functions of the victim organization. See Section 3.12.2.
BusinessImpactゼロ以上。インシデントアクティビティが被害組織のビジネス機能に与える影響。セクション3.12.2を参照してください。
TimeImpact Zero or more. A characterization of the victim organization due to the incident activity as a function of time. See Section 3.12.3.
TimeImpactゼロ以上。時間の関数としてのインシデントアクティビティによる被害者組織の特性。セクション3.12.3を参照してください。
MonetaryImpact Zero or more. The financial loss due to the incident activity. See Section 3.12.4.
MonetaryImpactゼロ以上。インシデントアクティビティによる経済的損失。セクション3.12.4を参照してください。
IntendedImpact Zero or more. The intended outcome to the victim sought by the threat actor. Defined identically to the BusinessImpact defined in Section 3.12.2 but describes intent rather than the realized impact.
IntendedImpactゼロ以上。攻撃者が求める被害者への意図した結果。セクション3.12.2で定義されたBusinessImpactと同じように定義されますが、実現された影響ではなく意図を説明します。
Counter Zero or more. A counter with which to summarize the magnitude of the activity. See Section 3.18.3.
Counter Zero or more. A counter with which to summarize the magnitude of the activity. See Section 3.18.3.
MitigatingFactor Zero or more. ML_STRING. A description of a mitigating factor relative to the impact on the victim organization.
MitigatingFactorゼロ以上。 ML_STRING。被害者の組織への影響に関連する緩和要因の説明。
Cause Zero or more. ML_STRING. A description of an underlying cause of the impact.
原因ゼロ以上。 ML_STRING。影響の根本的な原因の説明。
Confidence Zero or one. An estimate of confidence in the impact assessment. See Section 3.12.5.
Confidence Zero or one. An estimate of confidence in the impact assessment. See Section 3.12.5.
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
At least one instance of the possible five impact classes (i.e., SystemImpact, BusinessImpact, TimeImpact, MonetaryImpact, or IntendedImpact) MUST be present.
可能な5つの影響クラス(つまり、SystemImpact、BusinessImpact、TimeImpact、MonetaryImpact、またはIntendedImpact)のインスタンスが少なくとも1つ存在する必要があります。
The attributes of the Assessment class are:
Assessmentクラスの属性は次のとおりです。
occurrence Optional. ENUM. Specifies whether the assessment is describing actual or potential outcomes.
オカレンスオプション。 ENUM。評価が実際の結果または潜在的な結果のどちらを説明しているかを指定します。
1. actual. This assessment describes activity that has occurred.
1. 実際。この評価では、発生したアクティビティについて説明します。
2. potential. This assessment describes potential activity that might occur.
2. 潜在的な。この評価では、発生する可能性のある潜在的なアクティビティについて説明します。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The SystemImpact class describes the technical impact of the incident to the systems on the network.
SystemImpactクラスは、ネットワーク上のシステムに対するインシデントの技術的影響を記述します。
+-----------------------+
| SystemImpact |
+-----------------------+
| ENUM severity |<>--{0..*}--[ Description ]
| ENUM completion |
| ENUM type |
| STRING ext-type |
+-----------------------+
Figure 22: The SystemImpact Class
図22:SystemImpactクラス
The aggregate class of the SystemImpact class is:
SystemImpactクラスの集約クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form text description of the impact to the system.
説明ゼロ以上。 ML_STRING。システムへの影響についての自由形式のテキスト記述。
The attributes of the SystemImpact class are:
SystemImpactクラスの属性は次のとおりです。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重要度オプション。 ENUM。アクティビティの相対的な重大度の推定。許可される値を以下に示します。デフォルト値はありません。
1. low. Low severity
1. 低い。重大度が低い
2. medium. Medium severity
2. 中。中程度の重大度
3. high. High severity
3. high. High severity
completion Optional. ENUM. An indication whether the described activity was successful. The permitted values are shown below. There is no default value.
オプション。 ENUM。記述されたアクティビティが成功したかどうかの指標。許可される値を以下に示します。デフォルト値はありません。
1. failed. The attempted activity was not successful.
1. 失敗した。試行されたアクティビティは成功しませんでした。
2. succeeded. The attempted activity succeeded.
2. 成功した。試行されたアクティビティは成功しました。
type Required. ENUM. Classifies the impact. The permitted values are shown below. The default value is "unknown". These values are maintained in the "SystemImpact-type" IANA registry per Section 10.2.
タイプ必須。 ENUM。影響を分類します。許可される値を以下に示します。デフォルト値は「不明」です。これらの値は、セクション10.2に従って「SystemImpact-type」IANAレジストリで維持されます。
1. takeover-account. Control was taken of a given account.
1. 買収アカウント。指定されたアカウントが制御されました。
2. takeover-service. Control was taken of a given service.
2. 引継ぎサービス。指定されたサービスが制御されました。
3. takeover-system. Control was taken of a given system.
3. 乗っ取りシステム。所定のシステムが制御されました。
4. cps-manipulation. A cyber-physical system was manipulated.
4. cps-manipulation。サイバーフィジカルシステムが操作されました。
5. cps-damage. A cyber-physical system was damaged.
5. cps-damage。サイバーフィジカルシステムが損傷しました。
6. availability-data. Access to particular data was degraded or denied.
6. 可用性データ。特定のデータへのアクセスが低下または拒否されました。
7. availability-account. Access to an account was degraded or denied.
7. 可用性アカウント。アカウントへのアクセスが低下または拒否されました。
8. availability-service. Access to a service was degraded or denied.
8. 可用性サービス。サービスへのアクセスが低下または拒否されました。
9. availability-system. Access to a system was degraded or denied.
9. 可用性システム。システムへのアクセスが低下または拒否されました。
10. damaged-system. Hardware on a system was irreparably damaged.
10. 損傷したシステム。システムのハードウェアが修復不能な損傷を受けました。
11. damaged-data. Data on a system was deleted.
11. 破損したデータ。システム上のデータが削除されました。
12. breach-proprietary. Sensitive or proprietary information was accessed or exfiltrated.
12. 侵害の所有権。機密情報または専有情報がアクセスまたは流出されました。
13. breach-privacy. Personally identifiable information was accessed or exfiltrated.
13. 違反プライバシー。個人を特定できる情報へのアクセスまたは流出。
14. breach-credential. Credential information was accessed or exfiltrated.
14. 違反の資格。資格情報にアクセスまたは漏えいした。
15. breach-configuration. System configuration or data inventory was access or exfiltrated.
15. 違反構成。システム構成またはデータインベントリへのアクセスまたは漏えい。
16. integrity-data. Data on the system was modified.
16. 完全性データ。システム上のデータが変更されました。
17. integrity-configuration. Application or system configuration was modified.
17. 整合性構成。アプリケーションまたはシステム構成が変更されました。
18. integrity-hardware. Firmware of a hardware component was modified.
18. 完全性ハードウェア。ハードウェアコンポーネントのファームウェアが変更されました。
19. traffic-redirection. Network traffic on the system was redirected
19. トラフィックのリダイレクト。システムのネットワークトラフィックがリダイレクトされました
20. monitoring-traffic. Network traffic emerging from a host or enclave was monitored.
20. 監視トラフィック。ホストまたはエンクレーブから発生するネットワークトラフィックが監視されました。
21. monitoring-host. System activity (e.g., running processes, keystrokes) were monitored.
21. 監視ホスト。システムアクティビティ(実行中のプロセス、キーストロークなど)が監視されました。
22. policy. Activity violated the system owner's acceptable use policy.
22. ポリシー。アクティビティは、システム所有者の利用規定に違反しています。
23. unknown. The impact is unknown.
23. わからない。影響は不明です。
24. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
24. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-typeオプション。ストリング。 type属性を拡張する手段。セクション5.1.1を参照してください。
The BusinessImpact class describes and characterizes the degree to which the function of the organization was impacted by the incident.
BusinessImpactクラスは、組織の機能がインシデントによって影響を受けた程度を記述し、特徴付けます。
+-------------------------+
| BusinessImpact |
+-------------------------+
| ENUM severity |<>--{0..*}--[ Description ]
| STRING ext-severity |
| ENUM type |
| STRING ext-type |
+-------------------------+
Figure 23: The BusinessImpact Class
図23:BusinessImpactクラス
The aggregate class of the BusinessImpact class is:
BusinessImpactクラスの集約クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form text description of the impact to the organization.
説明ゼロ以上。 ML_STRING。組織への影響についての自由形式のテキスト説明。
The attributes of the BusinessImpact class are:
BusinessImpactクラスの属性は次のとおりです。
severity Optional. ENUM. Characterizes the severity of the incident on business functions. The permitted values are shown below. They were derived from Table 3-2 of [NIST800.61rev2]. The default value is "unknown". These values are maintained in the "BusinessImpact-severity" IANA registry per Section 10.2.
重要度オプション。 ENUM。ビジネス機能に関するインシデントの重大度を特徴付けます。許可される値を以下に示します。これらは、[NIST800.61rev2]の表3-2から導出されました。デフォルト値は「不明」です。これらの値は、セクション10.2の「BusinessImpact-severity」IANAレジストリで維持されます。
1. none. No effect to the organization's ability to provide all services to all users.
1. なし。すべてのユーザーにすべてのサービスを提供する組織の機能には影響しません。
2. low. Minimal effect as the organization can still provide all critical services to all users but has lost efficiency.
2. 低い。組織は依然としてすべてのユーザーにすべての重要なサービスを提供できますが、効率は低下しているため、影響は最小限です。
3. medium. The organization has lost the ability to provide a critical service to a subset of system users.
3. 中。組織は、システムユーザーのサブセットに重要なサービスを提供する機能を失いました。
4. high. The organization is no longer able to provide some critical services to any users.
4. 高い。組織は、ユーザーにいくつかの重要なサービスを提供できなくなりました。
5. unknown. The impact is not known.
5. わからない。影響は不明です。
6. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
6. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-severity Optional. STRING. A means by which to extend the severity attribute. See Section 5.1.1.
ext-severityオプション。ストリング。重大度属性を拡張する手段。セクション5.1.1を参照してください。
type Required. ENUM. Characterizes the effect this incident had on the business. The permitted values are shown below. The default value is "unknown". These values are maintained in the "BusinessImpact-type" IANA registry per Section 10.2.
type Required. ENUM. Characterizes the effect this incident had on the business. The permitted values are shown below. The default value is "unknown". These values are maintained in the "BusinessImpact-type" IANA registry per Section 10.2.
1. breach-proprietary. Sensitive or proprietary information was accessed or exfiltrated.
1. 侵害の所有権。機密情報または専有情報がアクセスまたは流出されました。
2. breach-privacy. Personally identifiable information was accessed or exfiltrated.
2. 違反プライバシー。個人を特定できる情報へのアクセスまたは流出。
3. breach-credential. Credential information was accessed or exfiltrated.
3. 違反の資格。資格情報にアクセスまたは漏えいした。
4. loss-of-integrity. Sensitive or proprietary information was changed or deleted.
4. 完全性の喪失。機密情報または専有情報が変更または削除されました。
5. loss-of-service. Service delivery was disrupted.
5. サービスの喪失。サービスの提供が中断されました。
6. theft-financial. Money was stolen.
6. theft-financial. Money was stolen.
7. theft-service. Services were misappropriated.
7. theft-service. Services were misappropriated.
8. degraded-reputation. The reputation of the organization's brand was diminished.
8. 評判の低下。組織のブランドの評判は低下した。
9. asset-damage. A cyber-physical system was damaged.
9. 資産の損傷。サイバーフィジカルシステムが損傷しました。
10. asset-manipulation. A cyber-physical system was manipulated.
10. 資産操作。サイバーフィジカルシステムが操作されました。
11. legal. The incident resulted in legal or regulatory action.
11. 法的。この事件により、法的または規制上の措置がとられた。
12. extortion. The incident resulted in actors extorting the victim organization.
12. 恐喝。この事件の結果、俳優が被害者の組織を強要しました。
13. unknown. The impact is unknown.
13. わからない。影響は不明です。
14. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
14. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-typeオプション。ストリング。 type属性を拡張する手段。セクション5.1.1を参照してください。
The TimeImpact class describes the impact of the incident on an organization as a function of time. It provides a way to convey down time and recovery time.
TimeImpactクラスは、インシデントが組織に及ぼす影響を時間の関数として記述します。ダウンタイムとリカバリータイムを伝える方法を提供します。
+---------------------+
| TimeImpact |
+---------------------+
| REAL |
| |
| ENUM severity |
| ENUM metric |
| STRING ext-metric |
| ENUM duration |
| STRING ext-duration |
+---------------------+
Figure 24: The TimeImpact Class
図24:TimeImpactクラス
The content of the class is of type REAL and specifies an amount of time. The duration attribute provides units for this content, and the metric attribute explains what this content is measuring.
クラスのコンテンツはREALタイプで、時間を指定します。期間属性はこのコンテンツの単位を提供し、メトリック属性はこのコンテンツが何を測定しているかを説明します。
The attributes of the TimeImpact class are:
TimeImpactクラスの属性は次のとおりです。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重要度オプション。 ENUM。アクティビティの相対的な重大度の推定。許可される値を以下に示します。デフォルト値はありません。
1. low. Low severity
1. 低い。重大度が低い
2. medium. Medium severity
2. medium. Medium severity
3. high. High severity
3. 高い。重大度が高い
metric Required. ENUM. Defines the meaning of the value in the element content. These values are maintained in the "TimeImpact-metric" IANA registry per Section 10.2.
メトリックが必要です。 ENUM。要素コンテンツの値の意味を定義します。これらの値は、セクション10.2の「TimeImpact-metric」IANAレジストリで維持されます。
1. labor. Total staff time to recovery from the activity (e.g., 2 employees working 4 hours each would be 8 hours).
1. 労働。アクティビティから回復するまでの合計スタッフ時間(たとえば、2人の従業員がそれぞれ4時間働いている場合、8時間になります)。
2. elapsed. Elapsed time from the beginning of the recovery to its completion (i.e., wall-clock time).
2. 経過。リカバリの開始から完了までの経過時間(つまり、実時間)。
3. downtime. Duration of time for which some provided service(s) was not available.
3. downtime. Duration of time for which some provided service(s) was not available.
4. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
4. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-metric Optional. STRING. A means by which to extend the metric attribute. See Section 5.1.1.
ext-metricオプション。ストリング。メトリック属性を拡張するための手段。セクション5.1.1を参照してください。
duration Optional. ENUM. Defines the unit of time for the value in the element content. The default value is "hour". These values are maintained in the "TimeImpact-duration" IANA registry per Section 10.2.
期間オプション。 ENUM。要素コンテンツの値の時間の単位を定義します。デフォルト値は「時」です。これらの値は、セクション10.2の「TimeImpact-duration」IANAレジストリで維持されます。
1. second. The unit of the element content is seconds.
1. 第二。要素内容の単位は秒です。
2. minute. The unit of the element content is minutes.
2. minute. The unit of the element content is minutes.
3. hour. The unit of the element content is hours.
3. 時間。要素内容の単位は時間です。
4. day. The unit of the element content is days.
4. 日。要素内容の単位は日です。
5. month. The unit of the element content is months.
5. 月。要素内容の単位は月です。
6. quarter. The unit of the element content is quarters.
6. 四半期。要素内容の単位は四分の一です。
7. year. The unit of the element content is years.
7. 年。要素内容の単位は年です。
8. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
8. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-duration Optional. STRING. A means by which to extend the duration attribute. See Section 5.1.1.
ext-durationオプション。ストリング。期間属性を拡張する手段。セクション5.1.1を参照してください。
The MonetaryImpact class describes the financial impact of the activity on an organization. For example, this impact may consider losses due to the cost of the investigation or recovery, diminished productivity of the staff, or a tarnished reputation that will affect future opportunities.
MonetaryImpactクラスは、組織に対する活動の経済的影響を記述します。たとえば、この影響は、調査または復旧のコストによる損失、スタッフの生産性の低下、または将来の機会に影響する評判の低下を考慮する場合があります。
+------------------+
| MonetaryImpact |
+------------------+
| REAL |
| |
| ENUM severity |
| STRING currency |
+------------------+
Figure 25: The MonetaryImpact Class
Figure 25: The MonetaryImpact Class
The content of the class is of type REAL and specifies a quantity of money. The currency attribute defines the currency of this value.
クラスのコンテンツはREALタイプで、金額を指定します。通貨属性は、この値の通貨を定義します。
The attributes of the MonetaryImpact class are:
MonetaryImpactクラスの属性は次のとおりです。
severity Optional. ENUM. An estimate of the relative severity of the activity. The permitted values are shown below. There is no default value.
重要度オプション。 ENUM。アクティビティの相対的な重大度の推定。許可される値を以下に示します。デフォルト値はありません。
1. low. Low severity
1. 低い。重大度が低い
2. medium. Medium severity
2. 中。中程度の重大度
3. high. High severity
3. high. High severity
currency Optional. STRING. Defines the currency in which the value in the element content is expressed. The permitted values are defined in "Codes for the representation of currencies" [ISO4217]. There is no default value.
通貨オプション。ストリング。要素コンテンツの値が表現される通貨を定義します。許可される値は、「通貨を表すためのコード」[ISO4217]で定義されています。デフォルト値はありません。
The Confidence class represents an estimate of the validity and accuracy of data expressed in the document. This estimate can be expressed as a category or a numeric calculation.
Confidenceクラスは、ドキュメントで表現されたデータの有効性と精度の推定を表します。この見積もりは、カテゴリまたは数値計算として表すことができます。
+-------------------+
| Confidence |
+-------------------+
| REAL |
| |
| ENUM rating |
| STRING ext-rating |
+-------------------+
Figure 26: The Confidence Class
図26:信頼クラス
The content of the class is of type REAL and specifies a numerical assessment in the confidence of the data when the value of the rating attribute is "numeric". Otherwise, this element MUST be empty.
The content of the class is of type REAL and specifies a numerical assessment in the confidence of the data when the value of the rating attribute is "numeric". Otherwise, this element MUST be empty.
The attributes of the Confidence class are:
The attributes of the Confidence class are:
rating Required. ENUM. A qualitative assessment of confidence. These values are maintained in the "Confidence-rating" IANA registry per Section 10.2
評価が必要です。 ENUM。信頼性の定性的評価。これらの値は、セクション10.2に従って「信頼度評価」IANAレジストリで維持されます。
1. low. Low confidence.
1. 低い。信頼度が低い。
2. medium. Medium confidence.
2. 中。中程度の信頼。
3. high. High confidence.
3. 高い。高い信頼。
4. numeric. The element content contains a number that conveys the confidence of the data. The semantics of this number is outside the scope of this specification.
4. 数値。要素の内容には、データの信頼性を表す数値が含まれています。この番号のセマンティクスは、この仕様の範囲外です。
5. unknown. The confidence rating value is not known.
5. わからない。信頼度の評価値は不明です。
6. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
6. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-rating Optional. STRING. A means by which to extend the rating attribute. See Section 5.1.1.
ext-ratingオプション。ストリング。評価属性を拡張する手段。セクション5.1.1を参照してください。
The History class is a log of the significant events or actions performed by the involved parties during the course of handling the incident.
Historyクラスは、インシデントの処理中に関係者が実行した重要なイベントまたはアクションのログです。
The level of detail maintained in this log is left up to the discretion of those handling the incident.
このログで維持される詳細のレベルは、インシデントを処理する担当者の裁量に任されています。
+------------------------+
| History |
+------------------------+
| ENUM restriction |<>--{1..*}--[ HistoryItem ]
| STRING ext-restriction |
+------------------------+
Figure 27: The History Class
図27:履歴クラス
The aggregate classes of the History class are:
Historyクラスの集約クラスは次のとおりです。
HistoryItem One or more. An entry in the history log of significant events or actions performed by the involved parties. See Section 3.13.1.
HistoryItem 1つ以上。関係者によって実行された重要なイベントまたはアクションの履歴ログのエントリ。セクション3.13.1を参照してください。
The attributes of the History class are:
Historyクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The HistoryItem class is an entry in the History (Section 3.13) log that documents a particular action or event that occurred in the course of handling the incident. The details of the entry are a free-form text description, but each can be categorized with the type attribute.
HistoryItemクラスは、インシデントの処理中に発生した特定のアクションまたはイベントを記録する履歴(3.13節)ログのエントリです。エントリの詳細は自由形式のテキストの説明ですが、それぞれtype属性で分類できます。
+-------------------------+
| HistoryItem |
+-------------------------+
| ENUM action |<>----------[ DateTime ]
| STRING ext-action |<>--{0..1}--[ IncidentID ]
| ENUM restriction |<>--{0..1}--[ Contact ]
| STRING ext-restriction |<>--{0..*}--[ Description ]
| ID observable-id |<>--{0..*}--[ DefinedCOA ]
| |<>--{0..*}--[ AdditionalData ]
+-------------------------+
Figure 28: The HistoryItem Class
図28:HistoryItemクラス
The aggregate classes of the HistoryItem class are:
HistoryItemクラスの集約クラスは次のとおりです。
DateTime One. DATETIME. A timestamp of this entry in the history log.
DateTime One。日付時刻。履歴ログ内のこのエントリのタイムスタンプ。
IncidentID Zero or one. In a history log created by multiple parties, the IncidentID provides a mechanism to specify which CSIRT created a particular entry and references this organization's tracking number. When a single organization is maintaining the log, this class can be ignored. See Section 3.4.
IncidentIDゼロまたは1。複数の関係者によって作成された履歴ログでは、IncidentIDは、特定のエントリを作成したCSIRTを指定し、この組織の追跡番号を参照するメカニズムを提供します。単一の組織がログを管理している場合、このクラスは無視できます。セクション3.4を参照してください。
Contact Zero or one. Provides contact information for the entity that performed the action documented in this class. See Section 3.9.
ゼロまたはワンにお問い合わせください。このクラスに記載されているアクションを実行したエンティティの連絡先情報を提供します。セクション3.9を参照してください。
Description Zero or more. ML_STRING. A free-form text description of the action or event.
説明ゼロ以上。 ML_STRING。アクションまたはイベントの自由形式のテキスト説明。
DefinedCOA Zero or more. STRING. An identifier meaningful to the sender and recipient of this document that references a course of action (COA). This class MUST be present if the action attribute is set to "defined-coa".
DefinedCOAゼロ以上。ストリング。アクションのコース(COA)を参照する、このドキュメントの送信者と受信者にとって意味のある識別子。このクラスは、action属性が "defined-coa"に設定されている場合に存在する必要があります。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
The attributes of the HistoryItem class are:
HistoryItemクラスの属性は次のとおりです。
action Required. ENUM. Classifies a performed action or occurrence documented in this history log entry. As activity will likely have been instigated either through a previously conveyed expectation or through an internal investigation, this attribute is identical to the action attribute of the Expectation class. The difference is only one of tense. When an action is in this class, it has been completed. See Section 3.15.
アクションが必要です。 ENUM。この履歴ログエントリに記録されている、実行されたアクションまたは発生を分類します。アクティビティは以前に伝えられた期待または内部調査によって引き起こされている可能性が高いため、この属性はExpectationクラスのaction属性と同じです。違いは緊張の1つだけです。アクションがこのクラスにある場合、それは完了しています。セクション3.15を参照してください。
ext-action Optional. STRING. A means by which to extend the action attribute. See Section 5.1.1.
ext-actionオプション。ストリング。アクション属性を拡張する手段。セクション5.1.1を参照してください。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The EventData class is a container class to organize data about events that occurred during an incident.
EventDataクラスは、インシデント中に発生したイベントに関するデータを整理するコンテナークラスです。
+-------------------------+
| EventData |
+-------------------------+
| ENUM restriction |<>--{0..*}--[ Description ]
| STRING ext-restriction |<>--{0..1}--[ DetectTime ]
| ID observable-id |<>--{0..1}--[ StartTime ]
| |<>--{0..1}--[ EndTime ]
| |<>--{0..1}--[ RecoveryTime ]
| |<>--{0..1}--[ ReportTime ]
| |<>--{0..*}--[ Contact ]
| |<>--{0..*}--[ Discovery ]
| |<>--{0..1}--[ Assessment ]
| |<>--{0..*}--[ Method ]
| |<>--{0..*}--[ Flow ]
| |<>--{0..*}--[ Expectation ]
| |<>--{0..1}--[ Record ]
| |<>--{0..*}--[ EventData ]
| |<>--{0..*}--[ AdditionalData ]
+-------------------------+
Figure 29: The EventData Class
図29:EventDataクラス
The aggregate classes of the EventData class are:
EventDataクラスの集約クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form text description of the event.
説明ゼロ以上。 ML_STRING。イベントの自由形式のテキスト説明。
DetectTime Zero or one. DATETIME. The time the event was detected.
DetectTimeゼロまたは1。日付時刻。イベントが検出された時刻。
StartTime Zero or one. DATETIME. The time the event started.
StartTimeゼロまたは1。日付時刻。イベントが開始した時刻。
EndTime Zero or one. DATETIME. The time the event ended.
EndTimeゼロまたは1。日付時刻。イベントが終了した時間。
RecoveryTime Zero or one. DATETIME. The time the site recovered from the event.
RecoveryTimeゼロまたは1。日付時刻。サイトがイベントから回復した時刻。
ReportTime Zero or one. DATETIME. The time the event was reported.
ReportTimeゼロまたは1。日付時刻。イベントが報告された時刻。
Contact Zero or more. Contact information for the parties involved in the event. See Section 3.9.
ゼロ以上にお問い合わせください。イベントに関係する当事者の連絡先情報。セクション3.9を参照してください。
Discovery Zero or more. The means by which the event was detected. See Section 3.10.
ディスカバリーゼロ以上。イベントが検出された手段。セクション3.10を参照してください。
Assessment Zero or one. The impact of the event on the victim and the actions taken. See Section 3.12.
評価0または1。被害者へのイベントの影響と実行されたアクション。セクション3.12を参照してください。
Method Zero or more. The technique used by the threat actor in the event. See Section 3.11.
メソッドゼロ以上。イベントで脅威アクターが使用する手法。セクション3.11を参照してください。
Flow Zero or more. A description of the systems or networks involved. See Section 3.16.
フローゼロ以上。関連するシステムまたはネットワークの説明。セクション3.16を参照してください。
Expectation Zero or more. The expected action to be performed by the recipient for the described event. See Section 3.15.
期待値0以上。説明されているイベントに対して受信者が実行する予定のアクション。セクション3.15を参照してください。
Record Zero or one. Supportive data (e.g., log files) that provides additional information about the event. See Section 3.22.
ゼロまたは1を記録します。イベントに関する追加情報を提供するサポートデータ(ログファイルなど)。セクション3.22を参照してください。
EventData Zero or more. A recursive definition of the EventData class. See Section 3.14.2 for an explanation on using this class.
EventDataゼロ以上。 EventDataクラスの再帰的な定義。このクラスの使用方法については、3.14.2項を参照してください。
AdditionalData Zero or more. EXTENSION. An extension mechanism for data not explicitly represented in the data model.
AdditionalData Zero or more. EXTENSION. An extension mechanism for data not explicitly represented in the data model.
At least one of the aggregate classes MUST be present in an instance of the EventData class.
集約クラスの少なくとも1つは、EventDataクラスのインスタンスに存在する必要があります。
The attributes of the EventData class are:
EventDataクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1. The default value is "default".
制限オプション。 ENUM。セクション3.3.1を参照してください。デフォルト値は「デフォルト」です。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
There is substantial overlap in the child classes aggregated in the Incident and EventData classes. Nevertheless, the semantics of these classes are quite different. The Incident class provides summary information about the entire incident, while the EventData class provides information about the individual events comprising the incident. In the common case, the EventData class will provide more specific information for the general description provided in the Incident class. However, in the case where the summarized information in the Incident class conflicts with the detailed information in an EventData class, the more specific EventData class MUST supersede the more generic information provided in the Incident class.
IncidentクラスとEventDataクラスに集約された子クラスには実質的な重複があります。それにもかかわらず、これらのクラスのセマンティクスはまったく異なります。 Incidentクラスはインシデント全体に関する要約情報を提供し、EventDataクラスはインシデントを構成する個々のイベントに関する情報を提供します。一般的なケースでは、EventDataクラスは、Incidentクラスで提供される一般的な説明のより具体的な情報を提供します。ただし、Incidentクラスの要約情報がEventDataクラスの詳細情報と競合する場合は、より具体的なEventDataクラスが、Incidentクラスで提供されるより一般的な情報よりも優先される必要があります。
The EventData class is a container for the properties of an event in an incident. These properties include: the hosts involved, impact of the incident activity on the hosts, forensic logs, etc. The recursive definition of EventData allows for the grouping of related information with common properties. This approach eliminates the need for explicit identifiers to relate information or duplicate it. Instead, the relative depth (nesting) of a class is used to group (relate) information.
EventDataクラスは、インシデント内のイベントのプロパティのコンテナーです。これらのプロパティには、関連するホスト、ホストへのインシデントアクティビティの影響、フォレンジックログなどが含まれます。EventDataの再帰的な定義により、共通のプロパティを持つ関連情報をグループ化できます。このアプローチにより、明示的な識別子を使用して情報を関連付けたり複製したりする必要がなくなります。代わりに、クラスの相対的な深さ(ネスト)を使用して、情報をグループ化(関連付け)します。
For example, consider a case where two hosts experience different impacts during an incident. However, these two hosts have common contact information. A depiction of how this situation would be represented can be found in Figure 30. EventData (2) and (3) group each of the two hosts with their unique impact. EventData (1) describes the common Contact class these two hosts share.
たとえば、インシデント中に2つのホストが異なる影響を受けるケースを考えてみます。ただし、これら2つのホストには共通の連絡先情報があります。この状況がどのように表されるかを図30に示します。EventData(2)および(3)は、2つのホストのそれぞれをグループ化し、それぞれ独自の影響を与えます。 EventData(1)は、これら2つのホストが共有する共通のContactクラスを記述します。
+------------------+
| EventData (1) |
+------------------+
| |<>----[ Contact ]
| |
| |<>----[ EventData (2) ]<>----[ Flow ]
| | [ ]<>----[ Assessment ]
| |
| |<>----[ EventData (3) ]<>----[ Flow ]
| | [ ]<>----[ Assessment ]
+------------------+
Figure 30: Recursion in the EventData Class
Figure 30: Recursion in the EventData Class
The Expectation class conveys to the recipient of the IODEF document the actions the sender is requesting.
Expectationクラスは、送信者が要求しているアクションをIODEFドキュメントの受信者に伝えます。
+-------------------------+
| Expectation |
+-------------------------+
| ENUM action |<>--{0..*}--[ Description ]
| STRING ext-action |<>--{0..*}--[ DefinedCOA ]
| ENUM severity |<>--{0..1}--[ StartTime ]
| ENUM restriction |<>--{0..1}--[ EndTime ]
| STRING ext-restriction |<>--{0..1}--[ Contact ]
| ID observable-id |
+-------------------------+
Figure 31: The Expectation Class
Figure 31: The Expectation Class
The aggregate classes of the Expectation class are:
Expectationクラスの集約クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form text description of the desired action(s).
説明ゼロ以上。 ML_STRING。必要なアクションの自由形式のテキスト説明。
DefinedCOA Zero or more. STRING. A unique identifier meaningful to the sender and recipient of this document that references a course of action. This class MUST be present if the action attribute is set to "defined-coa".
DefinedCOAゼロ以上。ストリング。一連のアクションを参照する、このドキュメントの送信者と受信者にとって意味のある一意の識別子。このクラスは、action属性が "defined-coa"に設定されている場合に存在する必要があります。
StartTime Zero or one. DATETIME. The time at which the sender would like the action performed. A timestamp that is earlier than the ReportTime specified in the Incident class denotes that the sender would like the action performed as soon as possible. The absence of this element indicates no expectations of when the recipient would like the action performed.
StartTimeゼロまたは1。日付時刻。送信者がアクションの実行を希望する時間。 Incidentクラスで指定されたReportTimeより前のタイムスタンプは、送信者がアクションをできるだけ早く実行することを望んでいることを示します。この要素が存在しないことは、受信者がアクションの実行をいつ希望するかを期待していないことを示しています。
EndTime Zero or one. DATETIME. The time by which the sender expects the recipient to complete the action. If the recipient cannot complete the action before EndTime, the recipient MUST NOT carry out the action. Because of transit delays and clock drift, the sender MUST be prepared for the recipient to have carried out the action, even if it completes past EndTime.
EndTimeゼロまたは1。日付時刻。送信者が受信者にアクションの完了を期待する時間。受信者がEndTimeの前にアクションを完了できない場合、受信者はアクションを実行してはなりません。通過遅延とクロックドリフトのため、送信者は受信者がEndTimeを過ぎてもアクションを実行できるように準備する必要があります。
Contact Zero or one. The entity expected to perform the action. See Section 3.9.
ゼロまたはワンにお問い合わせください。アクションを実行する予定のエンティティ。セクション3.9を参照してください。
The attributes of the Expectation class are:
Expectationクラスの属性は次のとおりです。
action Optional. ENUM. Classifies the type of action requested. The default value of "other". These values are maintained in the "Expectation-action" IANA registry per Section 10.2.
actionオプション。 ENUM。要求されたアクションのタイプを分類します。 「その他」のデフォルト値。これらの値は、セクション10.2に従って「期待アクション」IANAレジストリで維持されます。
1. nothing. No action is requested. Do nothing with the information.
1. 何も。アクションは要求されません。情報を使用して何もしないでください。
2. contact-source-site. Contact the site(s) identified as the source of the activity.
2. contact-source-site。アクティビティのソースとして特定されたサイトに連絡します。
3. contact-target-site. Contact the site(s) identified as the target of the activity.
3. contact-target-site。アクティビティのターゲットとして特定されたサイトに連絡します。
4. contact-sender. Contact the originator of the document.
4. 連絡送信者。ドキュメントの作成者に連絡してください。
5. investigate. Investigate the system(s) listed in the event.
5. 調査。イベントにリストされているシステムを調査します。
6. block-host. Block traffic from the machine(s) listed as sources in the event.
6. ブロックホスト。イベントのソースとしてリストされているマシンからのトラフィックをブロックします。
7. block-network. Block traffic from the network(s) lists as sources in the event.
7. ブロックネットワーク。イベントのソースとしてネットワークリストからのトラフィックをブロックします。
8. block-port. Block the port listed as sources in the event.
8. ブロックポート。イベントのソースとしてリストされているポートをブロックします。
9. rate-limit-host. Rate-limit the traffic from the machine(s) listed as sources in the event.
9. レート制限ホスト。イベントのソースとしてリストされているマシンからのトラフィックをレート制限します。
10. rate-limit-network. Rate-limit the traffic from the network(s) lists as sources in the event.
10. レート制限ネットワーク。イベントのソースとしてネットワークリストからのトラフィックをレート制限します。
11. rate-limit-port. Rate-limit the port(s) listed as sources in the event.
11. レート制限ポート。イベントのソースとしてリストされているポートをレート制限します。
12. redirect-traffic. Redirect traffic from the intended recipient for further analysis.
12. リダイレクトトラフィック。さらに分析するために、目的の受信者からのトラフィックをリダイレクトします。
13. honeypot. Redirect traffic from systems listed in the event to a honeypot for further analysis.
13. ハニーポット。イベントにリストされているシステムからハニーポットにトラフィックをリダイレクトして、さらに分析します。
14. upgrade-software. Upgrade or patch the software or firmware on an asset listed in the event.
14. アップグレードソフトウェア。イベントにリストされているアセットのソフトウェアまたはファームウェアをアップグレードまたはパッチします。
15. rebuild-asset. Reinstall the operating system or applications on an asset listed in the event.
15. 再構築アセット。イベントにリストされているアセットにオペレーティングシステムまたはアプリケーションを再インストールします。
16. harden-asset. Change the configuration of an asset listed in the event to reduce the attack surface.
16. 硬化アセット。イベントにリストされているアセットの構成を変更して、攻撃対象を減らします。
17. remediate-other. Remediate the activity in a way other than by rate-limiting or blocking.
17. その他の修復。レート制限またはブロック以外の方法でアクティビティを修正します。
18. status-triage. Confirm receipt and begin triaging the incident.
18. ステータストリアージ。受領を確認し、インシデントのトリアージを開始します。
19. status-new-info. Notify the sender when new information is received for this incident.
19. status-new-info。このインシデントの新しい情報を受信したら、送信者に通知します。
20. watch-and-report. Watch for the described activity or indicators, and notify the sender when seen.
20. 監視と報告。説明されているアクティビティまたはインジケーターを監視し、見られたら送信者に通知します。
21. training. Train user to identify or mitigate the described threat.
21. トレーニング。説明されている脅威を特定または軽減するようにユーザーをトレーニングします。
22. defined-coa. Perform a predefined course of action (COA). The COA is named in the DefinedCOA class.
22. 定義されたコア。事前定義された一連のアクション(COA)を実行します。 COAは、DefinedCOAクラスで名前が付けられています。
23. other. Perform a custom action described in the Description class.
23. その他。 Descriptionクラスで説明されているカスタムアクションを実行します。
24. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
24. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-action Optional. STRING. A means by which to extend the action attribute. See Section 5.1.1.
ext-actionオプション。ストリング。アクション属性を拡張する手段。セクション5.1.1を参照してください。
severity Optional. ENUM. Indicates the desired priority of the action. This attribute is an enumerated list with no default value, and the semantics of these relative measures are context dependent.
重要度オプション。 ENUM。アクションの優先度を示します。この属性は、デフォルト値のない列挙リストであり、これらの相対的なメジャーのセマンティクスはコンテキストに依存します。
1. low. Low priority
1. 低い。優先度が低い
2. medium. Medium priority
2. 中。中優先度
3. high. High priority
3. 高い。優先度が高い
restriction Optional. ENUM. See Section 3.3.1. The default value is "default".
制限オプション。 ENUM。セクション3.3.1を参照してください。デフォルト値は「デフォルト」です。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The Flow class describes the systems and networks involved in the incident and the relationships between them.
Flowクラスは、インシデントに関係するシステムとネットワーク、およびそれらの間の関係を記述します。
+------------------+
| Flow |
+------------------+
| |<>--{1..*}--[ System ]
+------------------+
Figure 32: The Flow Class
図32:フロークラス
The aggregate class of the Flow class is:
The aggregate class of the Flow class is:
System One or More. A host or network involved in an event. See Section 3.17.
システム1つ以上。イベントに関与するホストまたはネットワーク。セクション3.17を参照してください。
The Flow class has no attributes.
The Flow class has no attributes.
The System class describes a system or network involved in an event.
Systemクラスは、イベントに関与するシステムまたはネットワークを記述します。
+------------------------+
| System |
+------------------------+
| ENUM category |<>----------[ Node ]
| STRING ext-category |<>--{0..*}--[ NodeRole ]
| STRING interface |<>--{0..*}--[ Service ]
| ENUM spoofed |<>--{0..*}--[ OperatingSystem ]
| ENUM virtual |<>--{0..*}--[ Counter ]
| ENUM ownership |<>--{0..*}--[ AssetID ]
| STRING ext-ownership |<>--{0..*}--[ Description ]
| ENUM restriction |<>--{0..*}--[ AdditionalData ]
| STRING ext-restriction |
| ID observable-id |
+------------------------+
Figure 33: The System Class
図33:システムクラス
The aggregate classes of the System class are:
Systemクラスの集約クラスは次のとおりです。
Node One. A host or network involved in the incident. See Section 3.18.
ノード1。インシデントに関与しているホストまたはネットワーク。セクション3.18を参照してください。
NodeRole Zero or more. The intended purpose of the system. See Section 3.18.2.
NodeRoleゼロ以上。システムの意図された目的。セクション3.18.2を参照してください。
Service Zero or more. A network service running on the system. See Section 3.20.
サービスゼロ以上。システムで実行されているネットワークサービス。セクション3.20を参照してください。
OperatingSystem Zero or more. SOFTWARE. The operating system running on the system.
OperatingSystemゼロ以上。ソフトウェア。システムで実行されているオペレーティングシステム。
Counter Zero or more. A counter with which to summarize properties of this host or network. See Section 3.18.3.
カウンターゼロ以上。このホストまたはネットワークのプロパティを要約するためのカウンター。セクション3.18.3を参照してください。
AssetID Zero or more. STRING. An asset identifier for the System.
AssetIDゼロ以上。ストリング。システムの資産識別子。
Description Zero or more. ML_STRING. A free-form text description of the System.
説明ゼロ以上。 ML_STRING。システムの自由形式のテキスト記述。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
The attributes of the System class are:
Systemクラスの属性は次のとおりです。
category Optional. ENUM. Classifies the role the host or network played in the incident. These values are maintained in the "System-category" IANA registry per Section 10.2.
カテゴリオプション。 ENUM。インシデントでホストまたはネットワークが果たした役割を分類します。これらの値は、セクション10.2の「システムカテゴリ」IANAレジストリで維持されます。
1. source. The System was the source of the event.
1. ソース。システムはイベントの発生源でした。
2. target. The System was the target of the event.
2. 目標。システムはイベントのターゲットでした。
3. intermediate. The System was an intermediary in the event.
3. 中間。システムは、イベントの仲介者でした。
4. sensor. The System was a sensor monitoring the event.
4. センサー。システムは、イベントを監視するセンサーでした。
5. infrastructure. The System was an infrastructure node of the IODEF document exchange.
5. インフラ。システムは、IODEFドキュメント交換のインフラストラクチャノードでした。
6. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
6. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.1.
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.1.
interface Optional. STRING. Specifies the interface on which the event(s) on this System originated. If the Node class specifies a network rather than a host, this attribute has no meaning.
インターフェースオプション。ストリング。このシステムのイベントが発生したインターフェースを指定します。 Nodeクラスがホストではなくネットワークを指定している場合、この属性は意味がありません。
spoofed Optional. ENUM. An indication of confidence in whether this System was the true target or attacking host. The permitted values for this attribute are shown below. The default value is "unknown".
スプーフィングオプション。 ENUM。このシステムが真のターゲットであるか攻撃ホストであるかについての信頼の指標。この属性に許可される値を以下に示します。デフォルト値は「不明」です。
1. unknown. The accuracy of the category attribute value is unknown.
1. わからない。カテゴリー属性値の正確性は不明です。
2. yes. The category attribute value is likely incorrect. In the case of a source, the System is likely a decoy; with a target, the System was likely not the intended victim.
2. yes. The category attribute value is likely incorrect. In the case of a source, the System is likely a decoy; with a target, the System was likely not the intended victim.
3. no. The category attribute value is believed to be correct.
3. 番号。カテゴリー属性値は正しいと考えられています。
virtual Optional. ENUM. Indicates whether this System is a virtual or physical device. The default value is "unknown".
virtualオプション。 ENUM。このシステムが仮想デバイスか物理デバイスかを示します。デフォルト値は「不明」です。
1. yes. The System is a virtual device.
1. はい。システムは仮想デバイスです。
2. no. The System is a physical device.
2. no. The System is a physical device.
3. unknown. It is not known if the System is virtual.
3. わからない。システムが仮想かどうかは不明です。
ownership Optional. ENUM. Describes the ownership of this System relative to the victim in the incident. These values are maintained in the "System-ownership" IANA registry per Section 10.2.
所有権オプション。 ENUM。インシデントの犠牲者に対するこのシステムの所有権を説明します。これらの値は、セクション10.2の「システム所有権」IANAレジストリで維持されます。
1. organization. Corporate or enterprise owned.
1. 組織。企業または企業所有。
2. personal. Personally owned by an employee or affiliate of the corporation or enterprise.
2. 個人的な。企業または企業の従業員または関連会社が個人所有。
3. partner. Owned by a partner of the corporation or enterprise.
3. 相棒。企業または企業のパートナーが所有しています。
4. customer. Owned by a customer of the corporation or enterprise.
4. お客様。企業または企業の顧客が所有しています。
5. no-relationship. Owned by an entity that has no known relationship with the victim organization.
5. 関係なし。被害者の組織との既知の関係を持っていないエンティティによって所有されています。
6. unknown. Ownership is unknown.
6. わからない。所有権は不明です。
7. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
7. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-ownership Optional. STRING. A means by which to extend the ownership attribute. See Section 5.1.1.
ext-ownershipオプション。ストリング。所有権属性を拡張する手段。セクション5.1.1を参照してください。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The Node class identifies a system, asset, or network and its location.
Nodeクラスは、システム、アセット、またはネットワークとその場所を識別します。
+---------------+
| Node |
+---------------+
| |<>--{0..*}--[ DomainData ]
| |<>--{0..*}--[ Address ]
| |<>--{0..1}--[ PostalAddress ]
| |<>--{0..*}--[ Location ]
| |<>--{0..*}--[ Counter ]
+---------------+
Figure 34: The Node Class
図34:ノードクラス
The aggregate classes of the Node class are:
Nodeクラスの集約クラスは次のとおりです。
DomainData Zero or more. The domain (DNS) information associated with this node. If an Address is not provided, at least one DomainData MUST be specified. See Section 3.19.
DomainDataゼロ以上。このノードに関連付けられているドメイン(DNS)情報。アドレスを指定しない場合は、少なくとも1つのDomainDataを指定する必要があります。セクション3.19を参照してください。
Address Zero or more. The hardware, network, or application address of the node. If a DomainData is not provided, at least one Address MUST be specified. See Section 3.18.1.
ゼロ以上のアドレス。ノードのハードウェア、ネットワーク、またはアプリケーションアドレス。 DomainDataが提供されない場合、少なくとも1つのアドレスを指定する必要があります。セクション3.18.1を参照してください。
PostalAddress Zero or one. POSTAL. The postal address of the node.
PostalAddressゼロまたは1。郵便。ノードの住所。
Location Zero or more. ML_STRING. A free-form text description of the physical location of the node. This description may provide a more detailed description of where at the address specified by the PostalAddress class this node is found (e.g., room number, rack number, or slot number in a chassis).
ロケーションゼロ以上。 ML_STRING。ノードの物理的な場所を説明する自由形式のテキスト。この説明は、PostalAddressクラスで指定されたアドレスでこのノードが見つかる場所の詳細な説明を提供します(たとえば、部屋番号、ラック番号、またはシャーシ内のスロット番号)。
Counter Zero or more. A counter with which to summarize properties of this host or network. See Section 3.18.3.
カウンターゼロ以上。このホストまたはネットワークのプロパティを要約するためのカウンター。セクション3.18.3を参照してください。
The Node class has no attributes.
Nodeクラスには属性がありません。
The Address class represents a hardware (Layer 2), network (Layer 3), or application (Layer 7) address.
The Address class represents a hardware (Layer 2), network (Layer 3), or application (Layer 7) address.
+-------------------------+
| Address |
+-------------------------+
| STRING |
| |
| ENUM category |
| STRING ext-category |
| STRING vlan-name |
| INTEGER vlan-num |
| ID observable-id |
+-------------------------+
Figure 35: The Address Class
Figure 35: The Address Class
The content of the class is an address of type STRING whose semantics are determined by the category attribute.
クラスの内容は、タイプ属性STRINGのアドレスであり、そのセマンティクスは、カテゴリー属性によって決定されます。
The attributes of the Address class are:
Addressクラスの属性は次のとおりです。
category Required. ENUM. The type of address represented. The default value is "ipv6-addr". These values are maintained in the "Address-category" IANA registry per Section 10.2.
カテゴリ必須。 ENUM。表示されるアドレスのタイプ。デフォルト値は「ipv6-addr」です。これらの値は、セクション10.2に従って「アドレスカテゴリ」IANAレジストリに保持されます。
1. asn. Autonomous System Number.
1. asn。自律システム番号。
2. atm. Asynchronous Transfer Mode (ATM) address.
2. atm。非同期転送モード(ATM)アドレス。
3. e-mail. Email address, per the EMAIL data type.
3. Eメール。 EMAILデータタイプごとの電子メールアドレス。
4. ipv4-addr. IPv4 host address in dotted-decimal notation (i.e., a.b.c.d).
4. ipv4-addr。ドット付き10進表記のIPv4ホストアドレス(つまり、a.b.c.d)。
5. ipv4-net. IPv4 network address in dotted-decimal notation, slash, significant bits (i.e., a.b.c.d/nn).
5. ipv4-net。ドット付き10進表記、スラッシュ、有効ビットのIPv4ネットワークアドレス(つまり、a.b.c.d / nn)。
6. ipv4-net-masked. A sanitized IPv4 address with significant bits per "ipv4-net" but with the character 'x' replacing any digit(s) in the address or prefix.
6. ipv4-net-masked。 「ipv4-net」あたりの有効ビット数を持つサニタイズされたIPv4アドレス。ただし、アドレスまたはプレフィックスの任意の数字を文字「x」で置き換えます。
7. ipv4-net-mask. IPv4 network address in dotted-decimal notation, slash, network mask in dotted-decimal notation (i.e., a.b.c.d/w.x.y.z).
7. ipv4-net-mask。ドット付き10進表記のIPv4ネットワークアドレス、スラッシュ、ドット付き10進表記のネットワークマスク(つまり、a.b.c.d / w.x.y.z)。
8. ipv6-addr. IPv6 host address per Section 4 of [RFC5952].
8. ipv6-addr。 [RFC5952]のセクション4に基づくIPv6ホストアドレス。
9. ipv6-net. IPv6 network address, slash, prefix per Section 2.3 of [RFC4291].
9. ipv6-net。 [RFC4291]のセクション2.3に基づくIPv6ネットワークアドレス、スラッシュ、プレフィックス。
10. ipv6-net-masked. A sanitized IPv6 address and prefix per "ipv6-net" but with the character 'x' replacing any hexadecimal digit(s) in the address or digit(s) in the prefix.
10. ipv6-net-masked。 「ipv6-net」ごとのサニタイズされたIPv6アドレスとプレフィックス。ただし、アドレスの16進数字またはプレフィックスの数字を文字「x」で置き換えたもの。
11. mac. Media Access Control (MAC) address (i.e., aa:bb:cc:dd:ee:ff).
11. マック。メディアアクセス制御(MAC)アドレス(つまり、aa:bb:cc:dd:ee:ff)。
12. site-uri. A URL or URI for a resource, per the URL data type.
12. サイトURI。 URLデータ型ごとの、リソースのURLまたはURI。
13. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
13. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.1.
ext-categoryオプション。ストリング。カテゴリー属性を拡張する手段。セクション5.1.1を参照してください。
vlan-name Optional. STRING. The name of the Virtual LAN to which the address belongs.
vlan-nameオプション。ストリング。アドレスが属する仮想LANの名前。
vlan-num Optional. INTEGER. The number of the Virtual LAN to which the address belongs.
vlan-numオプション。整数。アドレスが属する仮想LANの番号。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The NodeRole class describes the function performed by or role of a particular system, asset, or network.
NodeRoleクラスは、特定のシステム、アセット、またはネットワークによって実行される機能または役割を記述します。
+-----------------------+
| NodeRole |
+-----------------------+
| ENUM category |<>--{0..*}--[ Description ]
| STRING ext-category |
+-----------------------+
Figure 36: The NodeRole Class
図36:NodeRoleクラス
The aggregate class of the NodeRole class is:
NodeRoleクラスの集約クラスは次のとおりです。
Description Zero or more. ML_STRING. A free-form text description of the role of the system.
説明ゼロ以上。 ML_STRING。システムの役割を説明する自由形式のテキスト。
The attributes of the NodeRole class are:
NodeRoleクラスの属性は次のとおりです。
category Required. ENUM. Function or role of a node. These values are maintained in the "NodeRole-category" IANA registry per Section 10.2.
カテゴリ必須。 ENUM。ノードの機能または役割。これらの値は、セクション10.2の「NodeRole-category」IANAレジストリで維持されます。
1. client. Client computer.
1. クライアント。クライアントコンピュータ。
2. client-enterprise. Client computer on the enterprise network.
2. クライアント企業。エンタープライズネットワーク上のクライアントコンピューター。
3. client-partner. Client computer on network of a partner.
3. クライアントパートナー。パートナーのネットワーク上のクライアントコンピューター。
4. client-remote. Client computer remotely connected to the enterprise network.
4. クライアント-リモート。企業ネットワークにリモート接続されたクライアントコンピューター。
5. client-kiosk. Client computer serving as a kiosk.
5. client-kiosk。キオスクとして機能するクライアントコンピューター。
6. client-mobile. Mobile device.
6. クライアントモバイル。モバイル機器。
7. server-internal. Server with internal services.
7. サーバー内部。内部サービスを備えたサーバー。
8. server-public. Server with public services.
8. サーバーパブリック。公共サービスを備えたサーバー。
9. www. WWW server.
9. www。 WWWサーバー。
10. mail. Mail server.
10. 郵便物。メールサーバー。
11. webmail. Web mail server.
11. ウェブメール。 Webメールサーバー。
12. messaging. Messaging server (e.g., NNTP, IRC, IM).
12. messaging. Messaging server (e.g., NNTP, IRC, IM).
13. streaming. Streaming-media server.
13. ストリーミング。ストリーミングメディアサーバー。
14. voice. Voice server (e.g., SIP, H.323).
14. ボイス。音声サーバー(SIP、H.323など)。
15. file. File server.
15. ファイル。ファイルサーバー。
16. ftp. FTP server.
16. ftp。 FTPサーバー。
17. p2p. Peer-to-peer node.
17. p2p. Peer-to-peer node.
18. name. Name server (e.g., DNS, WINS).
18. 名前。ネームサーバー(DNS、WINSなど)。
19. directory. Directory server (e.g., LDAP, finger, whois).
19. ディレクトリ。ディレクトリサーバー(LDAP、finger、whoisなど)。
20. credential. Credential server (e.g., domain controller, Kerberos).
20. 資格。資格情報サーバー(ドメインコントローラー、Kerberosなど)。
21. print. Print server.
21. 印刷。プリントサーバー。
22. application. Application server.
22. 応用。アプリケーション・サーバー。
23. database. Database server.
23. データベース。データベースサーバー。
24. backup. Backup server.
24. バックアップ。バックアップサーバー。
25. dhcp. DHCP server.
25. dhcp。 DHCPサーバー。
26. assessment. Assessment server (e.g., vulnerability scanner, endpoint assessment).
26. 評価。評価サーバー(脆弱性スキャナー、エンドポイント評価など)。
27. source-control. Source code control server.
27. ソース管理。ソースコード管理サーバー。
28. config-management. Configuration management server.
28. 構成管理。構成管理サーバー。
29. monitoring. Security monitoring server (e.g., IDS).
29. モニタリング。セキュリティ監視サーバー(IDSなど)。
30. infra. Infrastructure server (e.g., router, firewall, DHCP).
30. インフラ。インフラストラクチャサーバー(ルーター、ファイアウォール、DHCPなど)。
31. infra-firewall. Firewall.
31. インフラファイアウォール。ファイアウォール。
32. infra-router. Router.
32. インフラルーター。ルーター。
33. infra-switch. Switch.
33. インフラスイッチ。スイッチ。
34. camera. Camera and video system.
34. カメラ。カメラおよびビデオシステム。
35. proxy. Proxy server.
35. プロキシ。プロキシサーバー。
36. remote-access. Remote access server.
36. リモートアクセス。リモートアクセスサーバー。
37. log. Log server (e.g., syslog).
37. ログ。ログサーバー(syslogなど)。
38. virtualization. Server running virtual machines.
38. 仮想化。仮想マシンを実行するサーバー。
39. pos. Point-of-sale device.
39. pos。 POSデバイス。
40. scada. Supervisory control and data acquisition (SCADA) system.
40. scada。監視制御およびデータ収集(SCADA)システム。
41. scada-supervisory. Supervisory system for a SCADA.
41. scada-supervisory。 SCADAの監視システム。
42. sinkhole. Traffic sinkhole destination.
42. シンクホール。トラフィックシンクホールの宛先。
43. honeypot. Honeypot server.
43. ハニーポット。ハニーポットサーバー。
44. anonymization. Anonymization server (e.g., Tor node).
44. 匿名化。匿名化サーバー(Torノードなど)。
45. c2-server. Malicious command and control server.
45. c2-server。悪意のあるコマンドアンドコントロールサーバー。
46. malware-distribution. Server that distributes malware
46. マルウェアの配布。マルウェアを配布するサーバー
47. drop-server. Server to which exfiltrated content is uploaded.
47. ドロップサーバー。漏洩したコンテンツがアップロードされるサーバー。
48. hop-point. Intermediary server used to get to a victim.
48. ホップポイント。被害者に到達するために使用される中間サーバー。
49. reflector. A system used in a reflector attack.
49. リフレクター。リフレクター攻撃で使用されるシステム。
50. phishing-site. Site hosting phishing content.
50. フィッシングサイト。フィッシングコンテンツをホストしているサイト。
51. spear-phishing-site. Site hosting spear-phishing content.
51. スピアフィッシングサイト。スピアフィッシングコンテンツをホストするサイト。
52. recruiting-site. Site to recruit.
52. 求人サイト。募集するサイト。
53. fraudulent-site. Fraudulent site.
53. 詐欺サイト。詐欺サイト。
54. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
54. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-category Optional. STRING. A means by which to extend the category attribute. See Section 5.1.1.
ext-categoryオプション。ストリング。カテゴリー属性を拡張する手段。セクション5.1.1を参照してください。
The Counter class summarizes multiple occurrences of an event or conveys counts or rates of various features.
Counterクラスは、イベントの複数の発生を要約するか、さまざまな機能の数または速度を伝えます。
The complete semantics of this class are context dependent based on the class in which it is aggregated.
このクラスの完全なセマンティクスは、それが集約されるクラスに基づいてコンテキストに依存します。
+---------------------+
| Counter |
+---------------------+
| REAL |
| |
| ENUM type |
| STRING ext-type |
| ENUM unit |
| STRING ext-unit |
| STRING meaning |
| ENUM duration |
| STRING ext-duration |
+---------------------+
Figure 37: The Counter Class
図37:Counterクラス
The content of the class is a value of type REAL whose meaning and units are determined by the type and duration attributes, respectively. If the duration attribute is present, the element content is a rate. Otherwise, it is a simple counter.
クラスの内容はREAL型の値であり、その意味と単位はそれぞれtype属性とduration属性によって決定されます。 duration属性が存在する場合、要素の内容はレートです。それ以外の場合は、単純なカウンターです。
The attributes of the Counter class are:
Counterクラスの属性は次のとおりです。
type Required. ENUM. Specifies the type of counter specified in the element content. These values are maintained in the "Counter-type" IANA registry per Section 10.2.
タイプ必須。 ENUM。要素コンテンツで指定されたカウンターのタイプを指定します。これらの値は、セクション10.2に従って「カウンタタイプ」のIANAレジストリで維持されます。
1. count. The Counter class value is a counter.
1. カウント。 Counterクラスの値はカウンターです。
2. peak. The Counter class value is a peak value.
2. ピーク。 Counterクラスの値はピーク値です。
3. average. The Counter class value is an average.
3. 平均。 Counterクラスの値は平均です。
4. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
4. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-typeオプション。ストリング。 type属性を拡張する手段。セクション5.1.1を参照してください。
unit Required. ENUM. Specifies the units of the element content. These values are maintained in the "Counter-unit" IANA registry per Section 10.2.
ユニットが必要です。 ENUM。要素コンテンツの単位を指定します。これらの値は、セクション10.2に従って「カウンターユニット」IANAレジストリで維持されます。
1. byte. Bytes transferred.
1. バイト。転送されたバイト。
2. mbit. Megabits (Mbits) transferred.
2. mbit。メガビット(Mbits)が転送されました。
3. packet. Packets.
3. パケット。パケット。
4. flow. Network flow records.
4. フロー。ネットワークフローレコード。
5. session. Sessions.
5. セッション。セッション。
6. alert. Notifications generated by another system (e.g., IDS or SIEM system).
6. 警告。別のシステム(IDSまたはSIEMシステムなど)によって生成された通知。
7. message. Messages (e.g., mail messages).
7. メッセージ。メッセージ(メールメッセージなど)。
8. event. Events.
8. イベント。イベント。
9. host. Hosts.
9. ホスト。ホスト。
10. site. Site.
10. 地点。地点。
11. organization. Organizations.
11. 組織。組織。
12. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
12. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-unit Optional. STRING. A means by which to extend the unit attribute. See Section 5.1.1.
ext-unitオプション。ストリング。ユニット属性を拡張する手段。セクション5.1.1を参照してください。
meaning Optional. STRING. A free-form text description of the metric represented by the Counter.
オプションを意味します。ストリング。カウンターによって表されるメトリックの自由形式のテキスト記述。
duration Optional. ENUM. If present, the Counter class represents a rate. This attribute specifies a unit of time over which the rate whose units are specified in the unit attribute is being conveyed. This attribute is the denominator of the rate (where the unit attribute specified the nominator). The possible values of this attribute are defined in the duration attribute of Section 3.12.3
期間オプション。 ENUM。存在する場合、Counterクラスはレートを表します。この属性は、unit属性で単位が指定されているレートが伝達される時間の単位を指定します。この属性は、レートの分母です(unit属性は分母を指定します)。この属性の可能な値は、セクション3.12.3のduration属性で定義されています。
ext-duration Optional. STRING. A means by which to extend the duration attribute. See Section 5.1.1.
ext-durationオプション。ストリング。期間属性を拡張する手段。セクション5.1.1を参照してください。
The DomainData class describes a domain name and metadata associated with this domain.
DomainDataクラスは、このドメインに関連付けられたドメイン名とメタデータを記述します。
+--------------------------+
| DomainData |
+--------------------------+
| ENUM system-status |<>----------[ Name ]
| STRING ext-system-status |<>--{0..1}--[ DateDomainWasChecked ]
| ENUM domain-status |<>--{0..1}--[ RegistrationDate ]
| STRING ext-domain-status |<>--{0..1}--[ ExpirationDate ]
| ID observable-id |<>--{0..*}--[ RelatedDNS ]
| |<>--{0..*}--[ Nameservers ]
| |<>--{0..1}--[ DomainContacts ]
+--------------------------+
Figure 38: The DomainData Class
図38:DomainDataクラス
The aggregate classes of the DomainData class are:
DomainDataクラスの集約クラスは次のとおりです。
Name One. STRING. The domain name of a system.
名前を1つ。ストリング。システムのドメイン名。
DateDomainWasChecked Zero or one. DATETIME. A timestamp of when the domain listed in the Name class was resolved.
DateDomainWasCheckedゼロまたは1。日付時刻。 Nameクラスにリストされているドメインが解決されたときのタイムスタンプ。
RegistrationDate Zero or one. DATETIME. A timestamp of when domain listed in the Name class was registered.
RegistrationDateゼロまたは1。日付時刻。 Nameクラスにリストされているドメインが登録されたときのタイムスタンプ。
ExpirationDate Zero or one. DATETIME. A timestamp of when the domain listed in the Name class is set to expire.
ExpirationDateゼロまたは1。日付時刻。 Nameクラスにリストされているドメインが期限切れになるように設定されているときのタイムスタンプ。
RelatedDNS Zero or more. EXTENSION. Additional DNS records associated with this domain.
関連DNSゼロ以上。拡張。このドメインに関連付けられている追加のDNSレコード。
Nameservers Zero or more. The nameservers identified for the domain listed in the Name class. See Section 3.19.1.
ネームサーバーゼロ以上。 Nameクラスにリストされているドメイン用に識別されたネームサーバー。セクション3.19.1を参照してください。
DomainContacts Zero or one. Contact information for the domain listed in the Name class supplied by the registrar or through a whois query.
DomainContactsゼロまたは1。レジストラまたはwhoisクエリを通じて提供されたNameクラスにリストされているドメインの連絡先情報。
The attributes of the DomainData class are:
DomainDataクラスの属性は次のとおりです。
system-status Required. ENUM. Assesses the domain's involvement in the event. These values are maintained in the "DomainData-system-status" IANA registry per Section 10.2.
system-status必須です。 ENUM。イベントへのドメインの関与を評価します。これらの値は、セクション10.2の「DomainData-system-status」IANAレジストリで維持されます。
1. spoofed. This domain was spoofed.
1. なりすまし。このドメインは偽装されました。
2. fraudulent. This domain was operated with fraudulent intentions.
2. 詐欺。このドメインは不正な目的で運営されていました。
3. innocent-hacked. This domain was compromised by a third party.
3. 無実のハッキング。このドメインは第三者によって侵害されました。
4. innocent-hijacked. This domain was deliberately hijacked.
4. 無実のハイジャック。このドメインは意図的にハイジャックされました。
5. unknown. No categorization for this domain known.
5. わからない。このドメインの分類は不明です。
6. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
6. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-system-status Optional. STRING. A means by which to extend the system-status attribute. See Section 5.1.1.
ext-system-statusオプション。ストリング。 system-status属性を拡張するための手段。セクション5.1.1を参照してください。
domain-status Required. ENUM. Categorizes the registry status of the domain at the time the document was generated. These values and their associated descriptions are derived from Section 3.2.2 of [RFC3982]. These values are maintained in the "DomainData-domain-status" IANA registry per Section 10.2.
domain-status必須。 ENUM。ドキュメントが生成されたときのドメインのレジストリステータスを分類します。これらの値とそれに関連する説明は、[RFC3982]のセクション3.2.2から派生しています。これらの値は、セクション10.2に従って「DomainData-domain-status」IANAレジストリで維持されます。
1. reservedDelegation. The domain is permanently inactive.
1. reservedDelegation。ドメインは永続的に非アクティブです。
2. assignedAndActive. The domain is in a normal state.
2. assignedAndActive。ドメインは正常な状態です。
3. assignedAndInactive. The domain has an assigned registration, but the delegation is inactive.
3. assignedAndInactive。ドメインには登録が割り当てられていますが、委任は非アクティブです。
4. assignedAndOnHold. The domain is in dispute.
4. assignedAndOnHold。ドメインは係争中です。
5. revoked. The domain is in the process of being purged from the database.
5. 取り消されました。ドメインはデータベースから削除中です。
6. transferPending. The domain is pending a change in authority.
6. transferPending。ドメインは権限の変更を保留しています。
7. registryLock. The domain is on hold by the registry.
7. registryLock。ドメインはレジストリによって保留されています。
8. registrarLock. Same as "registryLock".
8. registrarLock。 「registryLock」と同じです。
9. other. The domain has a known status, but it is not one of the redefined enumerated values.
9. その他。ドメインには既知のステータスがありますが、再定義された列挙値の1つではありません。
10. unknown. The domain has an unknown status.
10. わからない。ドメインのステータスは不明です。
11. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
11. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-domain-status Optional. STRING. A means by which to extend the domain-status attribute. See Section 5.1.1.
ext-domain-statusオプション。ストリング。ドメインステータス属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-id Optional. ID. See Section 3.3.2.
The Nameservers class describes the nameservers associated with a given domain.
Nameserversクラスは、特定のドメインに関連付けられたネームサーバーを記述します。
+--------------------+
| Nameservers |
+--------------------+
| |<>----------[ Server ]
| |<>--{1..*}--[ Address ]
+--------------------+
Figure 39: The Nameservers Class
Figure 39: The Nameservers Class
The aggregate classes of the Nameservers class are:
The aggregate classes of the Nameservers class are:
Server One. STRING. The domain name of the nameserver.
サーバー1。ストリング。ネームサーバーのドメイン名。
Address One or more. The address of the nameserver. The value of the category attribute MUST be either "ipv4-addr" or "ipv6-addr". See Section 3.18.1.
アドレス1つ以上。ネームサーバーのアドレス。カテゴリー属性の値は、「ipv4-addr」または「ipv6-addr」のいずれかでなければなりません。セクション3.18.1を参照してください。
The Nameservers class has no attributes.
Nameserversクラスには属性はありません。
The DomainContacts class describes the contact information for a given domain provided either by the registrar or through a whois query.
DomainContactsクラスは、レジストラまたはwhoisクエリを通じて提供される特定のドメインの連絡先情報を記述します。
This contact information can be explicitly described through a Contact class, or a reference can be provided to a domain with identical contact information. Either a single SameDomainContact or one or more Contact classes MUST be present.
この連絡先情報は、Contactクラスを介して明示的に説明できます。または、同じ連絡先情報を持つドメインへの参照を提供できます。単一のSameDomainContactまたは1つ以上のContactクラスが存在する必要があります。
+--------------------+
| DomainContacts |
+--------------------+
| |<>--{0..1}--[ SameDomainContact ]
| |<>--{1..*}--[ Contact ]
+--------------------+
Figure 40: The DomainContacts Class
Figure 40: The DomainContacts Class
The aggregate classes of the DomainContacts class are:
DomainContactsクラスの集約クラスは次のとおりです。
SameDomainContact Zero or one. STRING. A domain name already cited in this document or through previous exchange that contains the identical contact information as the domain name in question. The domain contact information associated with this domain should be used instead of an explicit definition with the Contact class.
SameDomainContact Zero or one. STRING. A domain name already cited in this document or through previous exchange that contains the identical contact information as the domain name in question. The domain contact information associated with this domain should be used instead of an explicit definition with the Contact class.
Contact One or more. Contact information for the domain. See Section 3.9.
お問い合わせください。ドメインの連絡先情報。セクション3.9を参照してください。
The DomainContacts class has no attributes.
DomainContactsクラスには属性がありません。
The Service class describes a network service. The service is described by a protocol, port, protocol header field, and application providing or using the service.
Serviceクラスはネットワークサービスを記述します。サービスは、プロトコル、ポート、プロトコルヘッダーフィールド、およびサービスを提供または使用するアプリケーションによって記述されます。
+-------------------------+
| Service |
+-------------------------+
| INTEGER ip-protocol |<>--{0..1}--[ ServiceName ]
| ID observable-id |<>--{0..1}--[ Port ]
| |<>--{0..1}--[ Portlist ]
| |<>--{0..1}--[ ProtoCode ]
| |<>--{0..1}--[ ProtoType ]
| |<>--{0..1}--[ ProtoField ]
| |<>--{0..1}--[ ApplicationHeader ]
| |<>--{0..1}--[ EmailData ]
| |<>--{0..1}--[ Application ]
+-------------------------+
Figure 41: The Service Class
図41:サービスクラス
The aggregate classes of the Service class are:
The aggregate classes of the Service class are:
ServiceName Zero or one. A protocol name.
ServiceNameゼロまたは1。プロトコル名。
Port Zero or one. INTEGER. A port number.
ポート0または1。整数。ポート番号。
Portlist Zero or one. PORTLIST. A list of port numbers.
Portlistゼロまたは1。 PORTLIST。ポート番号のリスト。
ProtoCode Zero or one. INTEGER. A transport-layer (Layer 4) protocol-specific code field (e.g., ICMP code field).
ProtoCodeゼロまたは1。整数。トランスポート層(レイヤー4)のプロトコル固有のコードフィールド(ICMPコードフィールドなど)。
ProtoType Zero or one. INTEGER. A transport-layer (Layer 4) protocol-specific type field (e.g., ICMP type field).
ProtoTypeゼロまたは1。整数。トランスポート層(レイヤー4)のプロトコル固有のタイプフィールド(例:ICMPタイプフィールド)。
ProtoField Zero or one. INTEGER. A transport-layer (Layer 4) protocol-specific flag field (e.g., TCP flag field).
ProtoFieldゼロまたは1。整数。トランスポート層(レイヤー4)のプロトコル固有のフラグフィールド(TCPフラグフィールドなど)。
ApplicationHeader Zero or one. A protocol header. See Section 3.20.2.
ApplicationHeader Zero or one. A protocol header. See Section 3.20.2.
EmailData Zero or one. Headers associated with an email message. See Section 3.21.
EmailDataゼロまたは1。電子メールメッセージに関連付けられたヘッダー。セクション3.21を参照してください。
Application Zero or one. SOFTWARE. The application acting as either the client or the server for the service.
アプリケーション0または1。ソフトウェア。サービスのクライアントまたはサーバーとして機能するアプリケーション。
At least one of these classes MUST be present.
これらのクラスの少なくとも1つが存在する必要があります。
When a given System class with category="source" and another with category="target" are aggregated into a single Flow class, and each of these System classes has a Service and Portlist class, an implicit relationship between these Portlists exists. If N ports are listed for a System@category="source", and M ports are listed for System@category="target", the number of ports in N must be equal to M. Likewise, the ports MUST be listed in an identical sequence such that the n-th port in the source corresponds to the n-th port of the target. If N is greater than 1, a given instance of a Flow class MUST only have a single instance of a System@category="source" and System@category="target".
category = "source"を持つ特定のSystemクラスとcategory = "target"を持つ別のSystemクラスが単一のFlowクラスに集約され、これらの各SystemクラスにServiceクラスとPortlistクラスがある場合、これらのPortlist間に暗黙的な関係が存在します。 System @ category = "source"にN個のポートがリストされ、System @ category = "target"にM個のポートがリストされている場合、Nのポート数はMと等しくなければなりません。同様に、ポートはソースのn番目のポートがターゲットのn番目のポートに対応するように、同じシーケンス。 Nが1より大きい場合、Flowクラスの特定のインスタンスは、System @ category = "source"およびSystem @ category = "target"の単一のインスタンスのみを持つ必要があります。
The attributes of the Service class are:
Serviceクラスの属性は次のとおりです。
ip-protocol Optional. INTEGER. The IANA-assigned IP protocol number per [IANA.Protocols]. The attribute MUST be set if a Port, Portlist, ProtoCode, ProtoType, or ProtoField class is present.
ip-protocolオプション。整数。 [IANA.Protocols]ごとにIANAが割り当てたIPプロトコル番号。この属性は、Port、Portlist、ProtoCode、ProtoType、またはProtoFieldクラスが存在する場合に設定する必要があります。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The ServiceName class identifies an application protocol. It can be described by referencing an IANA-registered protocol, by referencing a URL, or with free-form text.
ServiceNameクラスは、アプリケーションプロトコルを識別します。 IANAに登録されたプロトコルを参照するか、URLを参照するか、自由形式のテキストで記述できます。
+--------------------+
| ServiceName |
+--------------------+
| |<>--{0..1}--[ IANAService ]
| |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ Description ]
+--------------------+
Figure 42: The ServiceName Class
図42:ServiceNameクラス
The aggregate classes of the ServiceName class are:
ServiceNameクラスの集約クラスは次のとおりです。
IANAService Zero or one. STRING. The name of the service per the "Service Name" field of the registry [IANA.Ports].
IANAServiceゼロまたは1。ストリング。レジストリの[サービス名]フィールドによるサービスの名前[IANA.Ports]。
URL Zero or more. URL. A URL to a resource describing the service.
URLゼロ以上。 URL。サービスを説明するリソースへのURL。
Description Zero or more. ML_STRING. A free-form text description of the service.
説明ゼロ以上。 ML_STRING。サービスの自由形式のテキスト説明。
At least one of these classes MUST be present.
これらのクラスの少なくとも1つが存在する必要があります。
The ServiceName class has no attributes.
ServiceNameクラスには属性はありません。
The ApplicationHeader class describes arbitrary fields from a protocol header and its corresponding value.
ApplicationHeaderクラスは、プロトコルヘッダーの任意のフィールドとそれに対応する値を記述します。
+--------------------------+
| ApplicationHeader |
+--------------------------+
| |<>--{1..*}--[ ApplicationHeaderField ]
+--------------------------+
Figure 43: The ApplicationHeader Class
図43:ApplicationHeaderクラス
The aggregate class of the ApplicationHeader class is:
ApplicationHeaderクラスの集約クラスは次のとおりです。
ApplicationHeaderField One or more. EXTENSION. A field name and value in a protocol header. The name attribute MUST be set to the field name. The field value MUST be set in the element content.
ApplicationHeaderField 1つ以上。拡張。プロトコルヘッダーのフィールド名と値。 name属性はフィールド名に設定する必要があります。要素の内容にフィールド値を設定する必要があります。
The ApplicationHeader class has no attributes.
ApplicationHeaderクラスには属性がありません。
The EmailData class describes headers from an email message and cryptographic hashes and signatures applied to it.
EmailDataクラスは、電子メールメッセージのヘッダーと、それに適用される暗号化ハッシュおよび署名を記述します。
+-------------------------+
| EmailData |
+-------------------------+
| ID observable-id |<>--{0..*}--[ EmailTo ]
| |<>--{0..1}--[ EmailFrom ]
| |<>--{0..1}--[ EmailSubject ]
| |<>--{0..1}--[ EmailX-Mailer ]
| |<>--{0..*}--[ EmailHeaderField ]
| |<>--{0..1}--[ EmailHeaders ]
| |<>--{0..1}--[ EmailBody ]
| |<>--{0..1}--[ EmailMessage ]
| |<>--{0..*}--[ HashData ]
| |<>--{0..*}--[ SignatureData ]
+-------------------------+
Figure 44: EmailData Class
図44:EmailDataクラス
The aggregate classes of the EmailData class are:
The aggregate classes of the EmailData class are:
EmailTo Zero or more. EMAIL. The value of the "To:" header field (Section 3.6.3 of [RFC5322]) in an email.
ゼロ以上のメール。 Eメール。メールの「To:」ヘッダーフィールド([RFC5322]のセクション3.6.3)の値。
EmailFrom Zero or one. EMAIL. The value of the "From:" header field (Section 3.6.2 of [RFC5322]) in an email.
EmailFromゼロまたは1。 Eメール。メールの「From:」ヘッダーフィールド([RFC5322]のセクション3.6.2)の値。
EmailSubject Zero or one. STRING. The value of the "Subject:" header field in an email. See Section 3.6.5 of [RFC5322].
EmailSubjectゼロまたは1。ストリング。電子メールの "Subject:"ヘッダーフィールドの値。 [RFC5322]のセクション3.6.5を参照してください。
EmailX-Mailer Zero or one. STRING. The value of the "X-Mailer:" header field in an email.
EmailX-Mailerゼロまたは1。ストリング。電子メールの「X-Mailer:」ヘッダーフィールドの値。
EmailHeaderField Zero or more. EXTENSION. The header name and value of an arbitrary header field of the email message. The name attribute MUST be set to the header name. The header value MUST be set in the element body. The dtype attribute MUST be set to "string".
EmailHeaderField Zero or more. EXTENSION. The header name and value of an arbitrary header field of the email message. The name attribute MUST be set to the header name. The header value MUST be set in the element body. The dtype attribute MUST be set to "string".
EmailHeaders Zero or one. STRING. The headers of an email message.
EmailHeaders 0または1。ストリング。電子メールメッセージのヘッダー。
EmailBody Zero or one. STRING. The body of an email message.
EmailBodyゼロまたは1。ストリング。電子メールメッセージの本文。
EmailMessage Zero or one. STRING. The headers and body of an email message.
EmailMessageゼロまたは1。ストリング。メールメッセージのヘッダーと本文。
HashData Zero or more. Hash(es) associated with this email message. See Section 3.26.
HashDataゼロ以上。この電子メールメッセージに関連付けられているハッシュ。セクション3.26を参照してください。
SignatureData Zero or more. Signature(s) associated with this email message. See Section 3.27.
SignatureDataゼロ以上。この電子メールメッセージに関連付けられた署名。セクション3.27を参照してください。
The attribute of the EmailData class is:
The attribute of the EmailData class is:
observable-id Optional. ID. See Section 3.3.2.
observable-id Optional. ID. See Section 3.3.2.
The Record class is a container class for log and audit data that provides supportive information about the events in an incident. The source of this data will often be the output of monitoring tools. These logs substantiate the activity described in the document.
Recordクラスは、インシデントのイベントに関するサポート情報を提供するログおよび監査データのコンテナークラスです。このデータのソースは、多くの場合、監視ツールの出力です。これらのログは、ドキュメントで説明されているアクティビティを実証します。
+------------------------+
| Record |
+------------------------+
| ENUM restriction |<>--{1..*}--[ RecordData ]
| STRING ext-restriction |
+------------------------+
Figure 45: The Record Class
図45:レコードクラス
The aggregate classes of the Record class are:
The aggregate classes of the Record class are:
RecordData One or more. Log or audit data generated by a particular tool. Separate instances of the RecordData class SHOULD be used for each type of log. See Section 3.22.1.
RecordData 1つ以上。特定のツールによって生成されたログまたは監査データ。 RecordDataクラスの個別のインスタンスは、ログのタイプごとに使用する必要があります(SHOULD)。セクション3.22.1を参照してください。
The attributes of the Record class are:
Recordクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The RecordData class describes or references log or audit data from a given type of tool and provides a means to annotate the output.
The RecordData class describes or references log or audit data from a given type of tool and provides a means to annotate the output.
+------------------------+
| RecordData |
+------------------------+
| ENUM restriction |<>--{0..1}--[ DateTime ]
| STRING ext-restriction |<>--{0..*}--[ Description ]
| ID observable-id |<>--{0..1}--[ Application ]
| |<>--{0..*}--[ RecordPattern ]
| |<>--{0..*}--[ RecordItem ]
| |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ FileData ]
| |<>--{0..*}--
| | [ WindowsRegistryKeysModified ]
| |<>--{0..*}--[ CertificateData ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 46: The RecordData Class
図46:RecordDataクラス
The aggregate classes of the RecordData class are:
RecordDataクラスの集約クラスは次のとおりです。
DateTime Zero or one. DATETIME. A timestamp of the data found in the RecordItem or URL classes.
DateTimeゼロまたは1。日付時刻。 RecordItemクラスまたはURLクラスで見つかったデータのタイムスタンプ。
Description Zero or more. ML_STRING. A free-form text description of the data provided in the RecordItem or URL classes.
説明ゼロ以上。 ML_STRING。 RecordItemクラスまたはURLクラスで提供されるデータの自由形式のテキスト記述。
Application Zero or one. SOFTWARE. Identifies the tool used to generate the data in the RecordItem or URL classes.
アプリケーション0または1。ソフトウェア。 RecordItemクラスまたはURLクラスでデータを生成するために使用されるツールを識別します。
RecordPattern Zero or more. A search string to precisely find the relevant data in the RecordItem or URL classes. See Section 3.22.2.
RecordPatternゼロ以上。 RecordItemクラスまたはURLクラスで関連データを正確に見つけるための検索文字列。セクション3.22.2を参照してください。
RecordItem Zero or more. EXTENSION. Log, audit, or forensic data to support the conclusions made during the course of analyzing the incident.
RecordItemゼロ以上。拡張。インシデント分析の過程で行われた結論をサポートするためのログ、監査、または法医学データ。
URL Zero or more. URL. A URL reference to a log or audit data.
URLゼロ以上。 URL。ログまたは監査データへのURL参照。
FileData Zero or one. The files involved in the incident. See Section 3.25.
FileDataゼロまたは1。インシデントに関連するファイル。セクション3.25を参照してください。
WindowsRegistryKeysModified Zero or more. The registry keys that were involved in the incident. See Section 3.23.
WindowsRegistryKeysModifiedゼロ以上。インシデントに関与したレジストリキー。セクション3.23を参照してください。
CertificateData Zero or more. The certificates that were involved in the incident. See Section 3.24.
CertificateDataゼロ以上。インシデントに関与した証明書。セクション3.24を参照してください。
AdditionalData Zero or more. EXTENSION. An extension mechanism for data not explicitly represented in the data model.
AdditionalData Zero or more. EXTENSION. An extension mechanism for data not explicitly represented in the data model.
At least one of the following classes MUST be present: RecordItem, URL, FileData, WindowsRegistryKeysModified, CertificateData, or AdditionalData.
RecordItem、URL、FileData、WindowsRegistryKeysModified、CertificateData、またはAdditionalDataのクラスの少なくとも1つが存在している必要があります。
The attributes of the RecordData class are:
RecordDataクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-id Optional. ID. See Section 3.3.2.
The RecordPattern class describes where in the log data provided or referenced in the RecordData class relevant information can be found. It provides a way to reference subsets of information, identified by a pattern, in a large log file, audit trail, or forensic data.
RecordPatternクラスは、RecordDataクラスで提供または参照されるログデータのどこに関連情報があるかを示します。大きなログファイル、監査証跡、またはフォレンジックデータで、パターンによって識別される情報のサブセットを参照する方法を提供します。
+-----------------------+
| RecordPattern |
+-----------------------+
| STRING |
| |
| ENUM type |
| STRING ext-type |
| INTEGER offset |
| ENUM offsetunit |
| STRING ext-offsetunit |
| INTEGER instance |
+-----------------------+
Figure 47: The RecordPattern Class
図47:RecordPatternクラス
The content of the class is of type STRING and specifies a search pattern.
クラスのコンテンツはタイプSTRINGであり、検索パターンを指定します。
The attributes of the RecordPattern class are:
RecordPatternクラスの属性は次のとおりです。
type Required. ENUM. Describes the type of pattern being specified in the element content. The default is "regex". These values are maintained in the "RecordPattern-type" IANA registry per Section 10.2.
タイプ必須。 ENUM。要素コンテンツで指定されているパターンのタイプを説明します。デフォルトは「正規表現」です。これらの値は、セクション10.2に従って「RecordPattern-type」IANAレジストリで維持されます。
1. regex. Regular expression as defined by POSIX Extended Regular Expressions (ERE) in Chapter 9 of [IEEE.POSIX].
1. 正規表現。 [IEEE.POSIX]の第9章にあるPOSIX拡張正規表現(ERE)で定義されている正規表現。
2. binary. Binhex-encoded binary pattern, per the HEXBIN data type.
2. バイナリ。 HEXBINデータ型ごとのBinhexエンコードされたバイナリパターン。
3. xpath. XML Path (XPath) [W3C.XPATH].
3. xpath。 XMLパス(XPath)[W3C.XPATH]。
4. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
4. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
offset Optional. INTEGER. Amount of units (determined by the offsetunit attribute) to seek into the RecordItem data before matching the pattern.
オフセットオプション。整数。パターンに一致する前にRecordItemデータをシークする単位の量(offsetunit属性で決定)。
offsetunit Optional. ENUM. Describes the units of the offset attribute. The default is "line". These values are maintained in the "RecordPattern-offsetunit" IANA registry per Section 10.2.
offsetunit Optional. ENUM. Describes the units of the offset attribute. The default is "line". These values are maintained in the "RecordPattern-offsetunit" IANA registry per Section 10.2.
1. line. Offset is a count of lines.
1. ライン。オフセットは行数です。
2. byte. Offset is a count of bytes.
2. バイト。オフセットはバイト数です。
3. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
3. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
ext-offsetunit Optional. STRING. A means by which to extend the offsetunit attribute. See Section 5.1.1.
ext-offsetunitオプション。ストリング。 offsetunit属性を拡張する手段。セクション5.1.1を参照してください。
instance Optional. INTEGER. Number of times to apply the specified pattern.
インスタンスオプション。整数。指定したパターンを適用する回数。
The WindowsRegistryKeysModified class describes Windows operating system registry keys and the operations that were performed on them. This class was derived from [RFC5901].
The WindowsRegistryKeysModified class describes Windows operating system registry keys and the operations that were performed on them. This class was derived from [RFC5901].
+-----------------------------+
| WindowsRegistryKeysModified |
+-----------------------------+
| ID observable-id |<>--{1..*}--[ Key ]
+-----------------------------+
Figure 48: The WindowsRegistryKeysModified Class
Figure 48: The WindowsRegistryKeysModified Class
The aggregate classes of the WindowsRegistryKeysModified class are:
WindowsRegistryKeysModifiedクラスの集約クラスは次のとおりです。
Key One or more. The Windows registry key. See Section 3.23.1.
キー1つ以上。 Windowsレジストリキー。セクション3.23.1を参照してください。
The attribute of the WindowsRegistryKeysModified class is:
WindowsRegistryKeysModifiedクラスの属性は次のとおりです。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The Key class describes a Windows operating system registry key name and value pair, as well as the operation performed on it.
Keyクラスは、Windowsオペレーティングシステムのレジストリキーの名前と値のペア、およびその上で実行される操作を記述します。
+---------------------------+
| Key |
+---------------------------+
| ENUM registryaction |<>----------[ KeyName ]
| STRING ext-registryaction |<>--{0..1}--[ KeyValue ]
| ID observable-id |
+---------------------------+
Figure 49: The Key Class
図49:キークラス
The aggregate classes of the Key class are:
Keyクラスの集約クラスは次のとおりです。
KeyName One. STRING. The name of a Windows operating system registry key (e.g., [HKEY_LOCAL_MACHINE\Software\Test\KeyName]).
KeyName One. STRING. The name of a Windows operating system registry key (e.g., [HKEY_LOCAL_MACHINE\Software\Test\KeyName]).
KeyValue Zero or one. STRING. The value of the registry key identified in the KeyName class encoded per the .reg file format [KB310516].
KeyValueゼロまたは1。ストリング。 .regファイル形式[KB310516]に従ってエンコードされたKeyNameクラスで識別されたレジストリキーの値。
The attributes of the Key class are:
Keyクラスの属性は次のとおりです。
registryaction Optional. ENUM. The type of action taken on the registry key. These values are maintained in the "Key-registryaction" IANA registry per Section 10.2.
registryactionオプション。 ENUM。レジストリキーに対して実行されたアクションの種類。これらの値は、セクション10.2の「Key-registryaction」IANAレジストリで維持されます。
1. add-key. Registry key added.
1. 追加キー。レジストリキーが追加されました。
2. add-value. Value added to a registry key.
2. 付加価値。レジストリキーに追加される値。
3. delete-key. Registry key deleted.
3. 削除キー。レジストリキーが削除されました。
4. delete-value. Value deleted from a registry key.
4. 値を削除します。レジストリキーから値が削除されました。
5. modify-key. Registry key modified.
5. 変更キー。レジストリキーが変更されました。
6. modify-value. Value modified in a registry key.
6. 値を変更します。レジストリキーの値が変更されました。
7. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
7. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-registryaction Optional. STRING. A means by which to extend the registryaction attribute. See Section 5.1.1.
ext-registryactionオプション。ストリング。 registryaction属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The CertificateData class describes X.509 certificates.
CertificateDataクラスはX.509証明書を記述します。
+------------------------+
| CertificateData |
+------------------------+
| ENUM restriction |<>--{1..*}--[ Certificate ]
| STRING ext-restriction |
| ID observable-id |
+------------------------+
Figure 50: The CertificateData Class
図50:CertificateDataクラス
The aggregate classes of the CertificateData class are:
CertificateDataクラスの集約クラスは次のとおりです。
Certificate One or more. A description of an X.509 certificate or certificate chain. See Section 3.24.1.
証明書1つ以上。 X.509証明書または証明書チェーンの説明。セクション3.24.1を参照してください。
The attributes of the CertificateData class are:
CertificateDataクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The Certificate class describes a given X.509 certificate or certificate chain.
Certificateクラスは、特定のX.509証明書または証明書チェーンを記述します。
+--------------------------+
| Certificate |
+--------------------------+
| ID observable-id |<>----------[ ds:X509Data ]
| |<>--{0..*}--[ Description ]
+--------------------------+
Figure 51: The Certificate Class
図51:証明書クラス
The aggregate classes of the Certificate class are:
Certificateクラスの集約クラスは次のとおりです。
ds:X509Data One. A given X.509 certificate or chain. See Section 4.4.4 of [W3C.XMLSIG].
ds:X509Data One。特定のX.509証明書またはチェーン。 [W3C.XMLSIG]のセクション4.4.4を参照してください。
Description Zero or more. ML_STRING. A free-form text description explaining the context of this certificate.
説明ゼロ以上。 ML_STRING。この証明書のコンテキストを説明する自由形式のテキスト記述。
The attributes of the Certificate class are:
Certificateクラスの属性は次のとおりです。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The FileData class describes a file or set of files.
FileDataクラスは、ファイルまたはファイルのセットを記述します。
+------------------------+
| FileData |
+------------------------+
| ENUM restriction |<>--{1..*}--[ File ]
| STRING ext-restriction |
| ID observable-id |
+------------------------+
Figure 52: The FileData Class
図52:FileDataクラス
The aggregate classes of the FileData class are:
FileDataクラスの集約クラスは次のとおりです。
File One or more. A description of a file. See Section 3.25.1.
ファイル1つ以上。ファイルの説明。セクション3.25.1を参照してください。
The attributes of the FileData class are:
FileDataクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The File class describes a file; its associated metadata; and cryptographic hashes and signatures applied to it.
Fileクラスはファイルを記述します。関連するメタデータ。それに適用される暗号ハッシュと署名。
+-----------------------+
| File |
+-----------------------+
| ID observable-id |<>--{0..1}--[ FileName ]
| |<>--{0..1}--[ FileSize ]
| |<>--{0..1}--[ FileType ]
| |<>--{0..*}--[ URL ]
| |<>--{0..1}--[ HashData ]
| |<>--{0..1}--[ SignatureData ]
| |<>--{0..1}--[ AssociatedSoftware ]
| |<>--{0..*}--[ FileProperties ]
+-----------------------+
Figure 53: The File Class
図53:ファイルクラス
The aggregate classes of the File class are:
Fileクラスの集約クラスは次のとおりです。
FileName Zero or one. STRING. The name of the file.
FileNameゼロまたは1。ストリング。ファイルの名前。
FileSize Zero or one. INTEGER. The size of the file in bytes.
FileSizeゼロまたは1。整数。ファイルのサイズ(バイト単位)。
FileType Zero or one. STRING. The type of file per the IANA "Media Types" registry [IANA.Media]. Valid values correspond to the text in the "Template" column (e.g., "application/pdf").
FileTypeゼロまたは1。ストリング。 IANA "Media Types"レジストリ[IANA.Media]ごとのファイルのタイプ。有効な値は、「テンプレート」列のテキストに対応しています(例:「application / pdf」)。
URL Zero or more. URL. A URL reference to the file.
URLゼロ以上。 URL。ファイルへのURL参照。
HashData Zero or one. Hash(es) associated with this file. See Section 3.26.
HashDataゼロまたは1。このファイルに関連付けられているハッシュ。セクション3.26を参照してください。
SignatureData Zero or one. Signature(s) associated with this file. See Section 3.27.
SignatureDataゼロまたは1。このファイルに関連付けられている署名。セクション3.27を参照してください。
AssociatedSoftware Zero or one. SOFTWARE. The software application or operating system to which this file belongs or by which it can be processed.
AssociatedSoftware Zero or one. SOFTWARE. The software application or operating system to which this file belongs or by which it can be processed.
FileProperties Zero or more. EXTENSION. Mechanism by which to extend the data model to describe properties of the file.
FilePropertiesゼロ以上。拡張。データモデルを拡張してファイルのプロパティを記述するメカニズム。
The attributes of the File class are:
Fileクラスの属性は次のとおりです。
observable-id Optional. ID. See Section 3.3.2.
observable-idオプション。 ID。セクション3.3.2を参照してください。
The HashData class describes different types of hashes on a given object (e.g., file, part of a file, email).
HashDataクラスは、特定のオブジェクト(ファイル、ファイルの一部、電子メールなど)のさまざまなタイプのハッシュを記述します。
+--------------------------+
| HashData |
+--------------------------+
| ENUM scope |<>--{0..1}--[ HashTargetID ]
| |<>--{0..*}--[ Hash ]
| |<>--{0..*}--[ FuzzyHash ]
+--------------------------+
Figure 54: The HashData Class
図54:HashDataクラス
The aggregate classes of the HashData class are:
HashDataクラスの集約クラスは次のとおりです。
HashTargetID Zero or one. STRING. An identifier that references a subset of the object being hashed. The semantics of this identifier are specified by the scope attribute.
HashTargetIDゼロまたは1。ストリング。ハッシュされるオブジェクトのサブセットを参照する識別子。この識別子のセマンティクスは、scope属性によって指定されます。
Hash Zero or more. The hash of an object. See Section 3.26.1.
ハッシュゼロ以上。オブジェクトのハッシュ。セクション3.26.1を参照してください。
FuzzyHash Zero or more. The fuzzy hash of an object. See Section 3.26.2.
FuzzyHashゼロ以上。オブジェクトのファジーハッシュ。セクション3.26.2を参照してください。
At least one instance of either Hash or FuzzyHash MUST be present.
HashまたはFuzzyHashのいずれかのインスタンスが少なくとも1つ存在する必要があります。
The attribute of the HashData class is:
HashDataクラスの属性は次のとおりです。
scope Required. ENUM. Describes on which part of the object the hash should be applied. These values are maintained in the "HashData-scope" IANA registry per Section 10.2.
スコープが必要です。 ENUM。オブジェクトのどの部分にハッシュを適用するかを記述します。これらの値は、セクション10.2に従って「HashData-scope」IANAレジストリで維持されます。
1. file-contents. A hash computed over the entire contents of a file.
1. ファイルコンテンツ。ファイルのコンテンツ全体に対して計算されたハッシュ。
2. file-pe-section. A hash computed on a given section of a Windows Portable Executable (PE) file. If set to this value, the HashTargetID class MUST identify the section being hashed. A section is identified by an ordinal number (starting at 1) corresponding to the order in which the given section header was defined in the Section Table of the PE file header.
2. file-pe-section。 Windows Portable Executable(PE)ファイルの特定のセクションで計算されたハッシュ。この値に設定する場合、HashTargetIDクラスはハッシュされるセクションを識別しなければなりません(MUST)。セクションは、特定のセクションヘッダーがPEファイルヘッダーのセクションテーブルで定義された順序に対応する序数(1から始まる)で識別されます。
3. file-pe-iat. A hash computed on the Import Address Table (IAT) of a PE file. As IAT hashes are often tool dependent, if this value is set, the Application class of either the Hash or FuzzyHash classes MUST specify the tool used to generate the hash.
3. file-pe-iat。 PEファイルのインポートアドレステーブル(IAT)で計算されたハッシュ。 IATハッシュはツールに依存することが多いため、この値が設定されている場合、HashクラスまたはFuzzyHashクラスのApplicationクラスは、ハッシュの生成に使用されるツールを指定する必要があります。
4. file-pe-resource. A hash computed on a given resource in a PE file. If set to this value, the HashTargetID class MUST identify the resource being hashed. A resource is identified by an ordinal number (starting at 1) corresponding to the order in which the given resource is declared in the Resource Directory of the Data Dictionary in the PE file header.
4. file-pe-resource。 PEファイル内の特定のリソースで計算されたハッシュ。この値に設定する場合、HashTargetIDクラスはハッシュされるリソースを識別しなければなりません(MUST)。リソースは、特定のリソースがPEファイルヘッダーのデータディクショナリのリソースディレクトリで宣言されている順序に対応する序数(1から始まる)で識別されます。
5. file-pdf-object. A hash computed on a given object in a Portable Document Format (PDF) file. If set to this value, the HashTargetID class MUST identify the object being hashed. This object is identified by its offset in the PDF file.
5. file-pdf-object。 Portable Document Format(PDF)ファイル内の特定のオブジェクトに対して計算されたハッシュ。この値に設定する場合、HashTargetIDクラスはハッシュされるオブジェクトを識別しなければなりません(MUST)。このオブジェクトは、PDFファイル内のオフセットによって識別されます。
6. email-hash. A hash computed over the headers and body of an email message.
6. メールハッシュ。電子メールメッセージのヘッダーと本文に対して計算されたハッシュ。
7. email-headers-hash. A hash computed over all of the headers of an email message.
7. 電子メールヘッダーハッシュ。電子メールメッセージのすべてのヘッダーに対して計算されたハッシュ。
8. email-body-hash. A hash computed over the body of an email message.
8. email-body-hash。電子メールメッセージの本文に対して計算されたハッシュ。
9. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
9. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-scope Optional. STRING. A means by which to extend the scope attribute. See Section 5.1.1.
ext-scopeオプション。ストリング。スコープ属性を拡張する手段。セクション5.1.1を参照してください。
The Hash class describes a cryptographic hash value; the algorithm and application used to generate it; and the canonicalization method applied to the object being hashed.
Hashクラスは暗号化ハッシュ値を記述します。それを生成するために使用されたアルゴリズムとアプリケーション;ハッシュされるオブジェクトに適用される正規化メソッド。
+----------------+
| Hash |
+----------------+
| |<>----------[ ds:DigestMethod ]
| |<>----------[ ds:DigestValue ]
| |<>--{0..1}--[ ds:CanonicalizationMethod ]
| |<>--{0..1}--[ Application ]
+----------------+
Figure 55: The Hash Class
図55:ハッシュクラス
The aggregate classes of the Hash class are:
Hashクラスの集合クラスは次のとおりです。
ds:DigestMethod One. The hash algorithm used to generate the hash. See Section 4.3.3.5 of [W3C.XMLSIG].
ds:DigestMethod One。ハッシュの生成に使用されるハッシュアルゴリズム。 [W3C.XMLSIG]のセクション4.3.3.5を参照してください。
ds:DigestValue One. The computed hash value. See Section 4.3.3.6 of [W3C.XMLSIG].
ds:DigestValue One。計算されたハッシュ値。 [W3C.XMLSIG]のセクション4.3.3.6を参照してください。
ds:CanonicalizationMethod Zero or one. The canonicalization method used on the object being hashed. See Section 4.3.1 of [W3C.XMLSIG].
ds:CanonicalizationMethodゼロまたは1。ハッシュされるオブジェクトで使用される正規化メソッド。 [W3C.XMLSIG]のセクション4.3.1を参照してください。
Application Zero or one. SOFTWARE. The application used to calculate the hash.
アプリケーション0または1。ソフトウェア。ハッシュの計算に使用されるアプリケーション。
The HashData class has no attributes.
HashDataクラスには属性がありません。
The FuzzyHash class describes a fuzzy hash and the application used to generate it.
FuzzyHashクラスは、ファジーハッシュとそれを生成するために使用されるアプリケーションを記述します。
+--------------------------+
| FuzzyHash |
+--------------------------+
| |<>--{1..*}--[ FuzzyHashValue ]
| |<>--{0..1}--[ Application ]
| |<>--{0..*}--[ AdditionalData ]
+--------------------------+
Figure 56: The FuzzyHash Class
図56:FuzzyHashクラス
The aggregate classes of the FuzzyHash class are:
FuzzyHashクラスの集約クラスは次のとおりです。
FuzzyHashValue One or more. EXTENSION. The computed fuzzy hash value.
FuzzyHashValue 1つ以上。拡張。計算されたファジーハッシュ値。
Application Zero or one. SOFTWARE. The application used to calculate the hash.
アプリケーション0または1。ソフトウェア。ハッシュの計算に使用されるアプリケーション。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The FuzzyData class has no attributes.
FuzzyDataクラスには属性はありません。
The SignatureData class describes different types of digital signatures on an object.
SignatureDataクラスは、オブジェクトのさまざまなタイプのデジタル署名を記述します。
+--------------------------+
| SignatureData |
+--------------------------+
| |<>--{1..*}--[ ds:Signature ]
+--------------------------+
Figure 57: The SignatureData Class
図57:SignatureDataクラス
The aggregate class of the SignatureData class is:
SignatureDataクラスの集約クラスは次のとおりです。
Signature One or more. A given signature. See Section 4.2 of [W3C.XMLSIG].
署名1つ以上。特定の署名。 [W3C.XMLSIG]のセクション4.2を参照してください。
The SignatureData class has no attributes.
SignatureDataクラスには属性がありません。
The IndicatorData class describes indicators and metadata associated with them.
IndicatorDataクラスは、インジケーターとそれに関連付けられたメタデータを記述します。
+--------------------------+
| IndicatorData |
+--------------------------+
| |<>--{1..*}--[ Indicator ]
+--------------------------+
Figure 58: The IndicatorData Class
図58:IndicatorDataクラス
The aggregate class of the IndicatorData class is:
IndicatorDataクラスの集約クラスは次のとおりです。
Indicator One or more. A description of an indicator. See Section 3.29.
インジケーター1つ以上。インジケーターの説明。セクション3.29を参照してください。
The IndicatorData class has no attributes.
IndicatorDataクラスには属性はありません。
The Indicator class describes an indicator. An indicator consists of observable features and phenomenon that aid in the forensic or proactive detection of malicious activity and associated metadata. An indicator can be described outright by referencing or composing previously defined indicators or by referencing observables described in the incident report found in this document.
インジケータークラスは、インジケーターを記述します。インジケーターは、悪意のあるアクティビティと関連するメタデータのフォレンジックまたはプロアクティブな検出を支援する観察可能な機能と現象で構成されています。インジケーターは、以前に定義されたインジケーターを参照または作成することによって、またはこのドキュメントにあるインシデントレポートに記載されているオブザーバブルを参照することによって、完全に説明できます。
+------------------------+
| Indicator |
+------------------------+
| ENUM restriction |<>----------[ IndicatorID ]
| STRING ext-restriction |<>--{0..*}--[ AlternativeIndicatorID ]
| |<>--{0..*}--[ Description ]
| |<>--{0..1}--[ StartTime ]
| |<>--{0..1}--[ EndTime ]
| |<>--{0..1}--[ Confidence ]
| |<>--{0..*}--[ Contact ]
| |<>--{0..1}--[ Observable ]
| |<>--{0..1}--[ ObservableReference ]
| |<>--{0..1}--[ IndicatorExpression ]
| |<>--{0..1}--[ IndicatorReference ]
| |<>--{0..*}--[ NodeRole ]
| |<>--{0..*}--[ AttackPhase ]
| |<>--{0..*}--[ Reference ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 59: The Indicator Class
図59:インジケータークラス
The aggregate classes of the Indicator class are:
Indicatorクラスの集約クラスは次のとおりです。
IndicatorID One. An identifier for this indicator. See Section 3.29.1.
IndicatorID One。このインジケーターの識別子。セクション3.29.1を参照してください。
AlternativeIndicatorID Zero or more. An alternative identifier for this indicator. See Section 3.29.2.
AlternativeIndicatorIDゼロ以上。このインジケーターの代替識別子。セクション3.29.2を参照してください。
Description Zero or more. ML_STRING. A free-form text description of the indicator.
説明ゼロ以上。 ML_STRING。インジケーターの自由形式のテキスト説明。
StartTime Zero or one. DATETIME. A timestamp of the start of the time period during which this indicator is valid.
StartTimeゼロまたは1。日付時刻。このインジケーターが有効な期間の開始のタイムスタンプ。
EndTime Zero or one. DATETIME. A timestamp of the end of the time period during which this indicator is valid.
EndTimeゼロまたは1。日付時刻。このインジケーターが有効な期間の終了のタイムスタンプ。
Confidence Zero or one. An estimate of the confidence in the quality of the indicator. See Section 3.12.5.
信頼度0または1。インジケーターの品質の信頼度の推定。セクション3.12.5を参照してください。
Contact Zero or more. Contact information for this indicator. See Section 3.9.
ゼロ以上にお問い合わせください。この指標の連絡先情報。セクション3.9を参照してください。
Observable Zero or one. An observable feature or phenomenon of this indicator. See Section 3.29.3.
観測可能なゼロまたは1。このインジケーターの観察可能な機能または現象。セクション3.29.3を参照してください。
ObservableReference Zero or one. A reference to an observable feature or phenomenon defined elsewhere in the document. See Section 3.29.6.
ObservableReferenceゼロまたは1。ドキュメントの他の場所で定義されている観察可能な機能または現象への参照。セクション3.29.6を参照してください。
IndicatorExpression Zero or one. A composition of observables. See Section 3.29.4.
IndicatorExpressionゼロまたは1。オブザーバブルの構成。セクション3.29.4を参照してください。
IndicatorReference Zero or one. A reference to an indicator. See Section 3.29.7.
IndicatorReferenceゼロまたは1。インジケーターへの参照。セクション3.29.7を参照してください。
NodeRole Zero or more. The role of the system in the attack should this indicator be matched to it. See Section 3.18.2.
NodeRoleゼロ以上。この指標がそれに一致する場合の攻撃におけるシステムの役割。セクション3.18.2を参照してください。
AttackPhase Zero or more. The phase in an attack life cycle during which this indicator might be seen. See Section 3.29.8.
AttackPhaseゼロ以上。このインジケータが表示される可能性がある攻撃ライフサイクルのフェーズ。セクション3.29.8を参照してください。
Reference Zero or more. A reference to additional information relevant to this indicator. See Section 3.11.1.
ゼロ以上の参照。この指標に関連する追加情報への参照。セクション3.11.1を参照してください。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The Indicator class MUST have exactly one instance of an Observable, IndicatorExpression, ObservableReference, or IndicatorReference class.
インジケータークラスは、Observable、IndicatorExpression、ObservableReference、またはIndicatorReferenceクラスのインスタンスを1つだけ持つ必要があります。
The StartTime and EndTime classes can be used to define an interval during which the indicator is valid. If both classes are present, the indicator is consider valid only during the described interval. If neither class is provided, the indicator is considered valid during any time interval. If only a StartTime is provided, the indicator is valid anytime after this timestamp. If only an EndTime is provided, the indicator is valid anytime prior to this timestamp.
StartTimeクラスとEndTimeクラスを使用して、インジケーターが有効な間隔を定義できます。両方のクラスが存在する場合、インジケーターは説明された間隔の間のみ有効であると見なされます。どちらのクラスも提供されない場合、インジケーターは任意の時間間隔で有効と見なされます。 StartTimeのみが指定されている場合、インジケーターはこのタイムスタンプ以降のいつでも有効です。 EndTimeのみが指定されている場合、インジケーターはこのタイムスタンプより前の任意の時点で有効です。
The attributes of the Indicator class are:
Indicatorクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The IndicatorID class identifies an indicator with a globally unique identifier. The combination of the name and version attributes and the element content form this identifier. Indicators generated by given CSIRT MUST NOT reuse the same value unless they are referencing the same indicator.
IndicatorIDクラスは、グローバルに一意の識別子でインジケーターを識別します。名前とバージョンの属性の組み合わせ、および要素のコンテンツがこの識別子を形成します。特定のCSIRTによって生成されたインジケーターは、同じインジケーターを参照していない限り、同じ値を再利用してはなりません。
+------------------+
| IndicatorID |
+------------------+
| ID |
| |
| STRING name |
| STRING version |
+------------------+
Figure 60: The IndicatorID Class
図60:IndicatorIDクラス
The content of the class is of type ID and specifies an identifier for an indicator.
クラスのコンテンツはIDタイプで、インジケーターの識別子を指定します。
The attributes of the IndicatorID class are:
IndicatorIDクラスの属性は次のとおりです。
name Required. STRING. An identifier describing the CSIRT that created the indicator. In order to have a globally unique CSIRT name, the fully qualified domain name associated with the CSIRT MUST be used. This format is identical to the IncidentID@name attribute in Section 3.4.
name Required. STRING. An identifier describing the CSIRT that created the indicator. In order to have a globally unique CSIRT name, the fully qualified domain name associated with the CSIRT MUST be used. This format is identical to the IncidentID@name attribute in Section 3.4.
version Required. STRING. A version number of an indicator.
バージョン必須。ストリング。インジケーターのバージョン番号。
The AlternativeIndicatorID class lists alternative identifiers for an indicator.
AlternativeIndicatorIDクラスは、インジケーターの代替識別子をリストします。
+-------------------------+
| AlternativeIndicatorID |
+-------------------------+
| ENUM restriction |<>--{1..*}--[ IndicatorReference ]
| STRING ext-restriction |
+-------------------------+
Figure 61: The AlternativeIndicatorID Class
図61:AlternativeIndicatorIDクラス
The aggregate class of the AlternativeIndicatorID class is:
AlternativeIndicatorIDクラスの集約クラスは次のとおりです。
IndicatorReference One or more. A reference to an indicator. See Section 3.29.7.
IndicatorReference 1つ以上。インジケーターへの参照。セクション3.29.7を参照してください。
The attributes of the AlternativeIndicatorID class are:
AlternativeIndicatorIDクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The Observable class describes a feature and phenomenon that can be observed or measured for the purposes of detecting malicious behavior.
Observableクラスは、悪意のある動作を検出する目的で監視または測定できる機能と現象を記述します。
+------------------------+
| Observable |
+------------------------+
| ENUM restriction |<>--{0..1}--[ System ]
| STRING ext-restriction |<>--{0..1}--[ Address ]
| |<>--{0..1}--[ DomainData ]
| |<>--{0..1}--[ Service ]
| |<>--{0..1}--[ EmailData ]
| |<>--{0..1}--[ WindowsRegistryKeysModified ]
| |<>--{0..1}--[ FileData ]
| |<>--{0..1}--[ CertificateData ]
| |<>--{0..1]--[ RegistryHandle ]
| |<>--{0..1}--[ RecordData ]
| |<>--{0..1}--[ EventData ]
| |<>--{0..1}--[ Incident ]
| |<>--{0..1}--[ Expectation ]
| |<>--{0..1}--[ Reference ]
| |<>--{0..1}--[ Assessment ]
| |<>--{0..1}--[ DetectionPattern ]
| |<>--{0..1}--[ HistoryItem ]
| |<>--{0..1}--[ BulkObservable ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 62: The Observable Class
図62:観察可能なクラス
The aggregate classes of the Observable class are:
Observableクラスの集約クラスは次のとおりです。
System Zero or one. A System observable. See Section 3.17.
システムゼロまたは1。観測可能なシステム。セクション3.17を参照してください。
Address Zero or one. An Address observable. See Section 3.18.1.
アドレス0または1。観測可能なアドレス。セクション3.18.1を参照してください。
DomainData Zero or one. A DomainData observable. See Section 3.19.
DomainDataゼロまたは1。観察可能なDomainData。セクション3.19を参照してください。
Service Zero or one. A Service observable. See Section 3.20.
サービス0または1。監視可能なサービス。セクション3.20を参照してください。
EmailData Zero or one. An EmailData observable. See Section 3.21.
EmailData Zero or one. An EmailData observable. See Section 3.21.
WindowsRegistryKeysModified Zero or one. A WindowsRegistryKeysModified observable. See Section 3.23.
WindowsRegistryKeysModifiedゼロまたは1。 WindowsRegistryKeysModifiedオブザーバブル。セクション3.23を参照してください。
FileData Zero or one. A FileData observable. See Section 3.25.
FileDataゼロまたは1。監視可能なFileData。セクション3.25を参照してください。
CertificateData Zero or one. A CertificateData observable. See Section 3.24.
CertificateDataゼロまたは1。監視可能なCertificateData。セクション3.24を参照してください。
RegistryHandle Zero or one. A RegistryHandle observable. See Section 3.9.1.
RegistryHandleゼロまたは1。 RegistryHandle監視可能。セクション3.9.1を参照してください。
RecordData Zero or one. A RecordData observable. See Section 3.22.1.
RecordDataゼロまたは1。観測可能なRecordData。セクション3.22.1を参照してください。
EventData Zero or one. An EventData observable. See Section 3.14.
EventDataゼロまたは1。監視可能なEventData。セクション3.14を参照してください。
Incident Zero or one. An Incident observable. See Section 3.2.
インシデント0または1。インシデント監視。セクション3.2を参照してください。
Expectation Zero or one. An Expectation observable. See Section 3.15.
期待値0または1。期待できる観測。セクション3.15を参照してください。
Reference Zero or one. A Reference observable. See Section 3.11.1.
ゼロまたは1を参照します。参照オブザーバブル。セクション3.11.1を参照してください。
Assessment Zero or one. An Assessment observable. See Section 3.12.
Assessment Zero or one. An Assessment observable. See Section 3.12.
DetectionPattern Zero or one. A DetectionPattern observable. See Section 3.10.1.
DetectionPatternゼロまたは1。検出可能なDetectionPattern。セクション3.10.1を参照してください。
HistoryItem Zero or one. A HistoryItem observable. See Section 3.13.1.
HistoryItem Zero or one. A HistoryItem observable. See Section 3.13.1.
BulkObservable Zero or one. A bulk list of observables. See Section 3.29.3.1.
BulkObservableゼロまたは1。オブザーバブルの一括リスト。セクション3.29.3.1を参照してください。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The Observable class MUST have exactly one of the possible child classes.
The Observable class MUST have exactly one of the possible child classes.
The attributes of the Observable class are:
Observableクラスの属性は次のとおりです。
restriction Optional. ENUM. See Section 3.3.1.
制限オプション。 ENUM。セクション3.3.1を参照してください。
ext-restriction Optional. STRING. A means by which to extend the restriction attribute. See Section 5.1.1.
ext-restrictionオプション。ストリング。制限属性を拡張する手段。セクション5.1.1を参照してください。
The BulkObservable class allows the enumeration of a single type of observable without requiring each one to be encoded individually in multiple instances of the same class.
BulkObservableクラスを使用すると、同じクラスの複数のインスタンスでそれぞれを個別にエンコードする必要なく、単一タイプのオブザーバブルを列挙できます。
The type attribute describes the type of observable listed in the child BulkObservableList class. The BulkObservableFormat class optionally provides additional metadata.
type属性は、子のBulkObservableListクラスにリストされているオブザーバブルのタイプを示します。 BulkObservableFormatクラスは、オプションで追加のメタデータを提供します。
+---------------------------+
| BulkObservable |
+---------------------------+
| ENUM type |<>--{0..1}--[ BulkObservableFormat ]
| STRING ext-type |<>----------[ BulkObservableList ]
| |<>--{0..*}--[ AdditionalData ]
+---------------------------+
Figure 63: The BulkObservable Class
図63:BulkObservableクラス
The aggregate classes of the BulkObservable class are:
BulkObservableクラスの集約クラスは次のとおりです。
BulkObservableFormat Zero or one. Provides additional metadata about the observables enumerated in the BulkObservableList class. See Section 3.29.3.1.1.
BulkObservableFormat Zero or one. Provides additional metadata about the observables enumerated in the BulkObservableList class. See Section 3.29.3.1.1.
BulkObservableList One. STRING. A list of observables, one per line. Each line is separated with either a LF character or CR and LF characters. The type attribute specifies which observables will be listed.
BulkObservableList 1つ。ストリング。 1行に1つのオブザーバブルのリスト。各行は、LF文字またはCRとLF文字で区切られています。 type属性は、リストされるオブザーバブルを指定します。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The attributes of the BulkObservable class are:
BulkObservableクラスの属性は次のとおりです。
type Optional. ENUM. The type of the observable listed in the child ObservableList class. These values are maintained in the "BulkObservable-type" IANA registry per Section 10.2.
タイプオプション。 ENUM。子のObservableListクラスにリストされているオブザーバブルのタイプ。これらの値は、セクション10.2に従って「BulkObservable-type」IANAレジストリで維持されます。
1. asn. Autonomous System Number (per the Address@category attribute).
1. asn. Autonomous System Number (per the Address@category attribute).
2. atm. Asynchronous Transfer Mode (ATM) address (per the Address@category attribute).
2. atm。非同期転送モード(ATM)アドレス(Address @ category属性ごと)。
3. e-mail. Email address (per the Address@category attribute).
3. Eメール。メールアドレス(Address @ category属性ごと)。
4. ipv4-addr. IPv4 host address in dotted-decimal notation, e.g., 192.0.2.1 (per the Address@category attribute).
4. ipv4-addr。ドット付き10進表記のIPv4ホストアドレス(例:192.0.2.1(Address @ category属性ごと))。
5. ipv4-net. IPv4 network address in dotted-decimal notation, slash, significant bits, e.g., 192.0.2.0/24 (per the Address@category attribute).
5. ipv4-net。ドット付き10進表記、スラッシュ、有効ビットのIPv4ネットワークアドレス(192.0.2.0/24など)(Address @ category属性ごと)。
6. ipv4-net-mask. IPv4 network address in dotted-decimal notation, slash, network mask in dotted-decimal notation, i.e., 192.0.2.0/255.255.255.0 (per the Address@category attribute).
6. ipv4-net-mask。ドット付き10進表記のIPv4ネットワークアドレス、スラッシュ、ドット付き10進表記のネットワークマスク。つまり、192.0.2.0 / 255.255.255.0(Address @ category属性ごと)。
7. ipv6-addr. IPv6 host address, e.g., 2001:DB8::3 (per the Address@category attribute).
7. ipv6-addr。 IPv6ホストアドレス(例:2001:DB8 :: 3(Address @ category属性ごと))。
8. ipv6-net. IPv6 network address, slash, significant bits, e.g., 2001:DB8::/32 (per the Address@category attribute).
8. ipv6-net。 IPv6ネットワークアドレス、スラッシュ、有効ビット。たとえば、2001:DB8 :: / 32(Address @ category属性ごと)。
9. ipv6-net-mask. IPv6 network address, slash, network mask (per the Address@category attribute).
9. ipv6-net-mask。 IPv6ネットワークアドレス、スラッシュ、ネットワークマスク(Address @ category属性による)。
10. mac. Media Access Control (MAC) address, i.e., a:b:c:d:e:f (per the Address@category attribute).
10. マック。メディアアクセスコントロール(MAC)アドレス、つまりa:b:c:d:e:f(Address @ category属性ごと)。
11. site-uri. A URL or URI for a resource (per the Address@category attribute).
11. サイトURI。リソースのURLまたはURI(Address @ category属性ごと)。
12. domain-name. A fully qualified domain name or part of a name (e.g., fqdn.example.com, example.com).
12. ドメイン名。完全修飾ドメイン名または名前の一部(fqdn.example.com、example.comなど)。
13. domain-to-ipv4. A mapping of FQDN to IPv4 address specified as a comma-separated list (e.g., "fqdn.example.com, 192.0.2.1").
13. domain-to-ipv4。カンマ区切りのリストとして指定されたIPv4アドレスへのFQDNのマッピング(たとえば、「fqdn.example.com、192.0.2.1」)。
14. domain-to-ipv6. A mapping of FQDN to IPv6 address specified as a comma-separated list (e.g., "fqdn.example.com, 2001:DB8::3").
14. domain-to-ipv6。コンマ区切りのリストとして指定されたIPv6アドレスへのFQDNのマッピング(たとえば、「fqdn.example.com、2001:DB8 :: 3」)。
15. domain-to-ipv4-timestamp. Same as domain-to-ipv4 but with a timestamp (in the DATETIME format) of the resolution (e.g., "fqdn.example.com, 192.0.2.1, 2015-06-11T00:38:31-06:00").
15. domain-to-ipv4-timestamp。 domain-to-ipv4と同じですが、解像度のタイムスタンプ(DATETIME形式)が付きます(たとえば、「fqdn.example.com、192.0.2.1、2015-06-11T00:38:31-06:00」)。
16. domain-to-ipv6-timestamp. Same as domain-to-ipv6 but with a timestamp (in the DATETIME format) of the resolution (e.g., "fqdn.example.com, 2001:DB8::3, 2015-06-11T00:38:31-06:00").
16. domain-to-ipv6-timestamp。 domain-to-ipv6と同じですが、解像度のタイムスタンプ(DATETIME形式)を持ちます(例: "fqdn.example.com、2001:DB8 :: 3、2015-06-11T00:38:31-06:00 ")。
17. ipv4-port. An IPv4 address, port, and protocol tuple (e.g., 192.0.2.1, 80, TCP). The protocol name corresponds to the "Keyword" column in the "Assigned Internet Protocol Numbers" registry [IANA.Protocols].
17. ipv4-port。 IPv4アドレス、ポート、プロトコルタプル(192.0.2.1、80、TCPなど)。プロトコル名は、「割り当てられたインターネットプロトコル番号」レジストリ[IANA.Protocols]の「キーワード」列に対応しています。
18. ipv6-port. An IPv6 address, port, and protocol tuple (e.g., 2001:DB8::3, 80, TCP). The protocol name corresponds to the "Keyword" column in the "Assigned Internet Protocol Numbers" registry [IANA.Protocols].
18. ipv6-port。 IPv6アドレス、ポート、プロトコルタプル(2001:DB8 :: 3、80、TCPなど)。プロトコル名は、「割り当てられたインターネットプロトコル番号」レジストリ[IANA.Protocols]の「キーワード」列に対応しています。
19. windows-reg-key. A Microsoft Windows registry key.
19. windows-reg-key。 Microsoft Windowsレジストリキー。
20. file-hash. A file hash. The format of this hash is described in the Hash class that MUST be present in a sibling BulkObservableFormat class.
20. ファイルハッシュ。ファイルハッシュ。このハッシュの形式は、兄弟のBulkObservableFormatクラスに存在する必要があるHashクラスで説明されています。
21. email-x-mailer. An X-Mailer field from an email.
21. email-x-mailer。電子メールのX-Mailerフィールド。
22. email-subject. An email subject line.
22. メールの件名。メールの件名。
23. http-user-agent. A User Agent field from an HTTP request header (e.g., "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0").
23. http-user-agent。 HTTPリクエストヘッダーのユーザーエージェントフィールド(例:「Mozilla / 5.0(Windows NT 6.3; WOW64; rv:38.0)Gecko / 20100101 Firefox / 38.0」)。
24. http-request-uri. The Request URI from an HTTP request header.
24. http-request-uri。 HTTPリクエストヘッダーからのリクエストURI。
25. mutex. The name of a system mutex (mutual exclusion lock).
25. mutex. The name of a system mutex (mutual exclusion lock).
26. file-path. A file path (e.g., "/tmp/local/file", "c:\windows\system32\file.sys").
26. ファイルパス。ファイルパス(例:「/tmp/local/file」、「c:\windows\system32\file.sys」)。
27. user-name. A username.
27. user-name. A username.
28. ext-value. A value used to indicate that this attribute is extended and the actual value is provided using the corresponding ext-* attribute. See Section 5.1.1.
28. ext-value。この属性が拡張されていることを示すために使用される値。実際の値は、対応するext- *属性を使用して提供されます。セクション5.1.1を参照してください。
ext-type Optional. STRING. A means by which to extend the type attribute. See Section 5.1.1.
ext-typeオプション。ストリング。 type属性を拡張する手段。セクション5.1.1を参照してください。
The ObservableFormat class specifies metadata about the format of an observable enumerated in a sibling BulkObservableList class.
ObservableFormatクラスは、兄弟のBulkObservableListクラスで列挙されたオブザーバブルの形式に関するメタデータを指定します。
+---------------------------+
| BulkObservableFormat |
+---------------------------+
| |<>--{0..1}--[ Hash ]
| |<>--{0..*}--[ AdditionalData ]
+---------------------------+
Figure 64: The BulkObservableFormat Class
図64:BulkObservableFormatクラス
The aggregate classes of the BulkObservableFormat class are:
BulkObservableFormatクラスの集約クラスは次のとおりです。
Hash Zero or one. Describes the format of a hash. See Section 3.26.1.
ハッシュゼロまたは1。ハッシュの形式について説明します。セクション3.26.1を参照してください。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The BulkObservableFormat class has no attributes.
BulkObservableFormatクラスには属性はありません。
Either Hash or AdditionalData MUST be present.
HashまたはAdditionalDataのいずれかが存在する必要があります。
The IndicatorExpression describes an expression composed of observed phenomenon, features, or indicators. Elements of the expression can be described directly, reference relevant data from other parts of a given IODEF document, or reference previously defined indicators.
IndicatorExpressionは、観測された現象、機能、またはインジケーターで構成される式を記述します。式の要素は、直接記述することも、特定のIODEFドキュメントの他の部分の関連データを参照することも、以前に定義されたインジケーターを参照することもできます。
All child classes of a given instance of IndicatorExpression form a boolean algebraic expression where the operator between them is determined by the operator attribute.
IndicatorExpressionの特定のインスタンスのすべての子クラスは、ブール代数表現を形成し、それらの間の演算子は、operator属性によって決定されます。
+--------------------------+
| IndicatorExpression |
+--------------------------+
| ENUM operator |<>--{0..*}--[ IndicatorExpression ]
| STRING ext-operator |<>--{0..*}--[ Observable ]
| |<>--{0..*}--[ ObservableReference ]
| |<>--{0..*}--[ IndicatorReference ]
| |<>--{0..1}--[ Confidence ]
| |<>--{0..*}--[ AdditionalData ]
+--------------------------+
Figure 65: The IndicatorExpression Class
図65:IndicatorExpressionクラス
The aggregate classes of the IndicatorExpression class are:
IndicatorExpressionクラスの集約クラスは次のとおりです。
IndicatorExpression Zero or more. An expression composed of other observables or indicators. See Section 3.29.4.
IndicatorExpressionゼロ以上。他のオブザーバブルまたはインジケーターで構成される式。セクション3.29.4を参照してください。
Observable Zero or more. A description of an observable. See Section 3.29.3.
Observable Zero or more. A description of an observable. See Section 3.29.3.
ObservableReference Zero or more. A reference to an observable. See Section 3.29.6.
ObservableReferenceゼロ以上。オブザーバブルへの参照。セクション3.29.6を参照してください。
IndicatorReference Zero or more. A reference to an indicator. See Section 3.29.7.
IndicatorReferenceゼロ以上。インジケーターへの参照。セクション3.29.7を参照してください。
Confidence Zero or one. An estimate of the confidence in the quality of the terms expressed in the expression. See Section 3.12.5.
信頼度0または1。式で表現された用語の品質の信頼度の推定。セクション3.12.5を参照してください。
AdditionalData Zero or more. EXTENSION. Mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するメカニズム。
The attributes of the IndicatorExpression class are:
IndicatorExpressionクラスの属性は次のとおりです。
operator Optional. ENUM. The operator to be applied between the child elements. See Section 3.29.5 for parsing guidance. The default value is "and". These values are maintained in the "IndicatorExpression-operator" IANA registry per Section 10.2.
オペレーターオプション。 ENUM。子要素間に適用される演算子。解析のガイダンスについては、セクション3.29.5を参照してください。デフォルト値は「and」です。これらの値は、セクション10.2に従って、「IndicatorExpression-operator」IANAレジストリで維持されます。
1. not. negation operator.
1. ない。否定演算子。
2. and. conjunction operator.
2. and. conjunction operator.
3. or. disjunction operator.
3. または。分離演算子。
4. xor. exclusive disjunction operator.
4. xor。排他的分離演算子。
ext-operator Optional. STRING. A means by which to extend the operator attribute. See Section 5.1.1.
ext-operatorオプション。ストリング。演算子属性を拡張する手段。セクション5.1.1を参照してください。
Boolean algebraic expressions can be used to specify relationships between observables and indicators. These expressions are constructed through the use of the operator attribute and parent-child relationships in IndicatorExpressions. These expressions should be parsed as follows:
ブール代数式を使用して、オブザーバブルとインジケーターの関係を指定できます。これらの式は、IndicatorExpressionsの演算子属性と親子関係を使用して構築されます。これらの式は、次のように解析する必要があります。
1. The operator specified by the operator attribute is applied between each of the child elements of the immediate parent IndicatorExpression element. If no operator attribute is specified, it should be assumed to be the conjunction operator (i.e., operator="and").
1. operator属性で指定された演算子は、直接の親であるIndicatorExpression要素の各子要素間に適用されます。演算子属性が指定されていない場合は、結合演算子(つまり、operator = "and")であると見なされます。
2. A nested IndicatorExpression element with a parent IndicatorExpression is the equivalent of a parentheses in the expression.
2. 親のIndicatorExpressionを持つネストされたIndicatorExpression要素は、式の括弧と同等です。
The following examples in Figures 66 through 70 illustrate these parsing rules:
図66〜70の次の例は、これらの解析ルールを示しています。
1 : <IndicatorExpression>
2 [O1]: <Observable>..</Observable>
3 [O2]: <Observable>..</Observable>
4 : </IndicatorExpression>
Equivalent expression: (O1 AND O2)
同等の式:(O1 AND O2)
Figure 66: Nested Elements in an IndicatorExpression without an Operator Attribute Specified
図66:演算子属性が指定されていないIndicatorExpression内のネストされた要素
1 : <IndicatorExpression operator="or">
2 [O1]: <Observable>..</Observable>
3 [O2]: <Observable>..</Observable>
4 : </IndicatorExpression>
Equivalent expression: (O1 OR O2)
Equivalent expression: (O1 OR O2)
Figure 67: Nested Elements in an IndicatorExpression with an Operator Attribute Specified
図67:演算子属性が指定されたIndicatorExpression内のネストされた要素
1 : <IndicatorExpression operator="or">
2 : <IndicatorExpression operator="or">
3 [O1]: <Observable>..</Observable>
4 [O2]: <Observable>..</Observable>
5 : </IndicatorExpression>
6 [O3]: <Observable>..</Observable>
7 : </IndicatorExpression>
Equivalent expression: ((O1 OR O2) OR O3)
Equivalent expression: ((O1 OR O2) OR O3)
Figure 68: Nested Elements with a Recursive IndicatorExpression with an Operator Attribute Specified
図68:演算子属性が指定された再帰的なIndicatorExpressionを持つネストされた要素
1 : <IndicatorExpression operator="not">
2 : <IndicatorExpression operator="and">
3 [O1]: <Observable>..</Observable>
4 [O2]: <Observable>..</Observable>
5 : </IndicatorExpression>
6 : </IndicatorExpression>
Equivalent expression: (NOT (O1 AND O2))
同等の表現:(NOT(O1 AND O2))
Figure 69: A Recursive IndicatorExpression with an Operator Attribute Specified
図69:演算子属性が指定された再帰的な指標式
1 : <IndicatorExpression operator="or">
2 : <IndicatorExpression>
3 [O1 with low confidence] : <Observable>..</Observable>
4 : <Confidence rating="low" />
5 : </IndicatorExpression>
6 : <IndicatorExpression>
7 [O2 with high confidence]: <Observable>..</Observable>
8 : <Confidence rating="high" />
9 : </IndicatorExpression>
10 : </IndicatorExpression>
Equivalent expression: ((O1) OR (O2))
同等の式:((O1)OR(O2))
Figure 70: Varying Confidence on Particular Observables
図70:特定の観察可能性に対する変動する信頼度
Invalid algebraic expressions while valid XML MUST NOT be specified.
有効なXMLを指定してはいけませんが、代数式が無効です。
The ObservableReference describes a reference to an observable feature or phenomenon described elsewhere in the document.
ObservableReferenceは、ドキュメントの他の場所で説明されている観察可能な機能または現象への参照を示します。
The ObservableReference class has no content.
ObservableReferenceクラスにはコンテンツがありません。
+-------------------------+
| ObservableReference |
+-------------------------+
| IDREF uid-ref |
+-------------------------+
Figure 71: The ObservableReference Class
図71:ObservableReferenceクラス
The ObservableReference class has no content.
ObservableReferenceクラスにはコンテンツがありません。
The attribute of the ObservableReference class is:
ObservableReferenceクラスの属性は次のとおりです。
uid-ref Required. IDREF. An identifier that serves as a reference to a class in the IODEF document. The referenced class will have this identifier set in its observable-id attribute.
uid-ref必須。 IDREF。 IODEFドキュメント内のクラスへの参照として機能する識別子。参照されるクラスには、observable-id属性にこの識別子が設定されます。
The IndicatorReference describes a reference to an indicator. This reference may be to an indicator described in this IODEF document or in a previously exchanged IODEF document.
IndicatorReferenceは、インジケーターへの参照を記述します。この参照は、このIODEFドキュメントまたは以前に交換されたIODEFドキュメントで説明されているインジケーターを指す場合があります。
The IndicatorReference class has no content.
IndicatorReferenceクラスにはコンテンツがありません。
+--------------------------+
| IndicatorReference |
+--------------------------+
| IDREF uid-ref |
| STRING euid-ref |
| STRING version |
+--------------------------+
Figure 72: The IndicatorReference Class
Figure 72: The IndicatorReference Class
The attributes of the IndicatorReference class are:
IndicatorReferenceクラスの属性は次のとおりです。
uid-ref Optional. IDREF. An identifier that references an Indicator class in the IODEF document. The referenced Indicator class will have this identifier set in its IndicatorID class.
uid-ref Optional. IDREF. An identifier that references an Indicator class in the IODEF document. The referenced Indicator class will have this identifier set in its IndicatorID class.
euid-ref Optional. STRING. An identifier that references an IndicatorID not in this IODEF document.
euid-refオプション。ストリング。このIODEFドキュメントにないIndicatorIDを参照する識別子。
version Optional. STRING. A version number of an indicator.
バージョンオプション。ストリング。インジケーターのバージョン番号。
Either the uid-ref or the euid-ref attribute MUST be set.
uid-refまたはeuid-ref属性のいずれかを設定する必要があります。
The AttackPhase class describes a particular phase of an attack life cycle.
AttackPhaseクラスは、攻撃ライフサイクルの特定のフェーズを記述します。
+------------------------+
| AttackPhase |
+------------------------+
| |<>--{0..*}--[ AttackPhaseID ]
| |<>--{0..*}--[ URL ]
| |<>--{0..*}--[ Description ]
| |<>--{0..*}--[ AdditionalData ]
+------------------------+
Figure 73: The AttackPhase Class
図73:AttackPhaseクラス
The aggregate classes of the AttackPhase class are:
AttackPhaseクラスの集約クラスは次のとおりです。
AttackPhaseID Zero or more. STRING. An identifier for the phase of the attack.
AttackPhaseIDゼロ以上。ストリング。攻撃のフェーズの識別子。
URL Zero or more. URL. A URL to a resource describing this phase of the attack.
URLゼロ以上。 URL。攻撃のこの段階を説明するリソースへのURL。
Description Zero or more. ML_STRING. A free-form text description of this phase of the attack.
説明ゼロ以上。 ML_STRING。攻撃のこの段階の自由形式のテキスト説明。
AdditionalData Zero or more. EXTENSION. A mechanism by which to extend the data model.
AdditionalDataゼロ以上。拡張。データモデルを拡張するためのメカニズム。
AttackPhase MUST have at least one instance of a child class.
AttackPhaseには、子クラスのインスタンスが少なくとも1つ必要です。
The AttackPhase class has no attributes.
AttackPhaseクラスには属性はありません。
This section provides additional requirements and guidance on creating and processing IODEF documents.
このセクションでは、IODEFドキュメントの作成と処理に関する追加の要件とガイダンスを提供します。
Every IODEF document MUST begin with an XML declaration and MUST specify the XML version used. The character encoding MUST also be explicitly specified. UTF-8 [RFC3629] SHOULD be used unless UTF-16 [RFC2781] is necessary. Encodings other than UTF-8 and UTF-16 SHOULD NOT be used. The IODEF conforms to all XML data-encoding conventions and constraints.
すべてのIODEFドキュメントは、XML宣言で始まり、使用するXMLバージョンを指定する必要があります。文字エンコードも明示的に指定する必要があります。 UTF-8 [RFC3629]は、UTF-16 [RFC2781]が必要でない限り使用する必要があります(SHOULD)。 UTF-8およびUTF-16以外のエンコーディングは使用しないでください。 IODEFは、すべてのXMLデータエンコーディング規則と制約に準拠しています。
The XML declaration with UTF-8 character encoding will read as follows:
The XML declaration with UTF-8 character encoding will read as follows:
<?xml version="1.0" encoding="UTF-8" ?>
Certain characters have special meaning in XML and MUST not appear in literal form. Per Section 2.4 of [W3C.XML], these characters MUST be escaped with a numeric character or entity reference.
特定の文字はXMLで特別な意味を持ち、リテラル形式で表示してはなりません。 [W3C.XML]のセクション2.4に従って、これらの文字は数字またはエンティティ参照でエスケープする必要があります。
The IODEF schema declares a namespace of "urn:ietf:params:xml:ns:iodef-2.0" and registers it per [W3C.XMLNS]. Each IODEF document MUST include a valid reference to the IODEF schema using the "xsi:schemaLocation" attribute. An example of such a declaration would look as follows:
IODEFスキーマは、「urn:ietf:params:xml:ns:iodef-2.0」の名前空間を宣言し、[W3C.XMLNS]に従って登録します。各IODEFドキュメントには、「xsi:schemaLocation」属性を使用してIODEFスキーマへの有効な参照を含める必要があります。このような宣言の例は次のようになります。
<IODEF-Document
version="2.00" lang="en-US"
xmlns:iodef="urn:ietf:params:xml:ns:iodef-2.0"
xsi:schemaLocation="urn:ietf:params:xmls:schema:iodef-2.0" ...>
IODEF documents MUST be well-formed XML. It is RECOMMENDED that recipients validate the document against the schema described in Section 8. However, mere conformance to this schema is not sufficient for a semantically valid IODEF document. The text of Section 3 describes further formatting and constraints, including some that cannot be conveniently encoded in the schema. These MUST also be considered by an IODEF implementation. Furthermore, the enumerated values present in this document are a static list that will be incomplete over time as select attributes can be extended by a corresponding IANA registry per Section 10.2. Therefore, IODEF
IODEFドキュメントは整形式のXMLでなければなりません。セクション8で説明されているスキーマに対して受信者がドキュメントを検証することをお勧めします。ただし、このスキーマへの単なる適合だけでは、意味的に有効なIODEFドキュメントには不十分です。セクション3のテキストでは、スキーマで簡単にエンコードできないものを含む、さらなるフォーマットと制約について説明しています。これらはまた、IODEF実装によって考慮されなければなりません(MUST)。さらに、このドキュメントに記載されている列挙値は静的リストであり、セクション10.2に従って対応するIANAレジストリによって選択属性を拡張できるため、時間の経過とともに不完全になります。したがって、IODEF
implementations SHOULD periodically update their schema and MAY need to update their parsing algorithms to incorporate newly registered values.
implementations SHOULD periodically update their schema and MAY need to update their parsing algorithms to incorporate newly registered values.
The IODEF data model in this document makes a number of changes to [RFC5070]. These changes were largely additive -- classes and enumerated values were added. However, some incompatibilities between [RFC5070] and this new specification were introduced. These incompatibilities are as follows:
このドキュメントのIODEFデータモデルは、[RFC5070]にいくつかの変更を加えます。これらの変更は主に追加的でした-クラスと列挙値が追加されました。ただし、[RFC5070]とこの新しい仕様の間の非互換性がいくつか導入されました。これらの非互換性は次のとおりです。
o The IODEF-Document@version attribute is set to "2.0".
o IODEF-Document @ version属性は「2.0」に設定されています。
o Attributes with enumerated values can now also be extended with IANA registries.
o 列挙された値を持つ属性も、IANAレジストリで拡張できるようになりました。
o All iodef:MLStringType classes use xml:lang. IODEF-Document also uses xml:lang.
o すべてのiodef:MLStringTypeクラスはxml:langを使用します。 IODEF-Documentもxml:langを使用します。
o The Service@ip_protocol attribute was renamed to @ip-protocol.
o Service @ ip_protocol属性は、@ ip-protocolに名前が変更されました。
o The Node/NodeName class was removed in favor of representing domain names with Node/DomainData/Name class. The Node/DataTime class was also removed, so that the Node/DomainData/ DateDomainWasChecked class can represent the time at which the name-to-address resolution occurred.
o Node / NodeNameクラスでドメイン名を表すために、Node / NodeNameクラスが削除されました。 Node / DataTimeクラスも削除されたので、Node / DomainData / DateDomainWasCheckedクラスは、名前からアドレスへの解決が行われた時間を表すことができます。
o The Node/NodeRole class was moved to System/NodeRole.
o Node / NodeRoleクラスはSystem / NodeRoleに移動されました。
o The Reference class is now defined by [RFC7495].
o Referenceクラスは現在[RFC7495]によって定義されています。
o The data previously represented in the Impact class is now in the SystemImpact and IncidentCategory classes. The Impact class has been removed.
o 以前はImpactクラスで表されていたデータは、現在SystemImpactクラスとIncidentCategoryクラスにあります。 Impactクラスは削除されました。
o The semantics of Counter@type are now represented in Counter@unit.
o Counter @ typeのセマンティクスは、Counter @ unitで表されるようになりました。
o The IODEF-Document@formatid attribute has been renamed to @format-id.
o IODEF-Document @ formatid属性の名前が@ format-idに変更されました。
o The Incident/ReportTime class is no longer required. However, the GenerationTime class is required.
o Incident / ReportTimeクラスは不要になりました。ただし、GenerationTimeクラスは必須です。
o The Fax class was removed and is now represented by a generic Telephone class.
o Faxクラスは削除され、現在は一般的なTelephoneクラスで表されています。
o The Telephone, Email, and PostalAddress classes were redefined from improved internationalization.
o 国際化の改善により、Telephone、Email、PostalAddressクラスが再定義されました。
o The "ipv6-net-mask" value was removed from the category attribute of Address.
o 「ipv6-net-mask」値は、アドレスのカテゴリ属性から削除されました。
In order to support the dynamic nature of security operations, the IODEF data model will need to continue to evolve. This section discusses how new data elements can be incorporated into the IODEF. There is support to add additional enumerated values and new classes. Adding additional attributes to existing classes is not supported.
セキュリティ操作の動的な性質をサポートするために、IODEFデータモデルは進化し続ける必要があります。このセクションでは、新しいデータ要素をIODEFに組み込む方法について説明します。追加の列挙値と新しいクラスを追加するためのサポートがあります。既存のクラスへの属性の追加はサポートされていません。
These extension mechanisms are designed so that adding new data elements is possible without requiring modifications to this document. Extensions can be implemented publicly or privately. With proven value, well-documented extensions can be incorporated into future versions of the specification.
これらの拡張メカニズムは、このドキュメントを変更せずに新しいデータ要素を追加できるように設計されています。拡張機能は、パブリックまたはプライベートに実装できます。実績のある値を使用して、十分に文書化された拡張機能を仕様の将来のバージョンに組み込むことができます。
Additional enumerated values can be added to select attributes either through the use of specially marked attributes with the "ext-" prefix or through a set of corresponding IANA registries. The former approach allows for the extension to remain private. The latter approach is public.
追加の列挙値を追加して、「ext-」接頭辞付きの特別にマークされた属性を使用するか、対応するIANAレジストリのセットを使用して、属性を選択できます。前者の方法では、拡張機能をプライベートのままにすることができます。後者のアプローチは公開されています。
The data model supports adding new enumerated values to an attribute without public registration. For each attribute that supports this extension technique, there is a corresponding attribute in the same element whose name is identical but with a prefix of "ext-". This special attribute is referred to as the extension attribute. The attribute being extended is referred to as an extensible attribute. For example, an extensible attribute named "foo" will have a corresponding extension attribute named "ext-foo". An element may have many extensible attributes.
データモデルは、パブリック登録なしで新しい列挙値を属性に追加することをサポートします。この拡張手法をサポートする属性ごとに、同じ要素に対応する属性があり、名前は同じですが、接頭辞が「ext-」です。この特別な属性は、拡張属性と呼ばれます。拡張される属性は、拡張可能属性と呼ばれます。たとえば、「foo」という名前の拡張可能な属性には、「ext-foo」という名前の対応する拡張属性があります。要素は、多くの拡張可能な属性を持つことができます。
In addition to a corresponding extension attribute, each extensible attribute has "ext-value" as one its possible enumerated values. Selection of this particular value in an extensible attribute signals that the extension attribute contains data. Otherwise, this "ext-value" value has no meaning.
対応する拡張属性に加えて、各拡張属性には、可能な拡張値の1つとして「ext-value」があります。拡張可能な属性でこの特定の値を選択すると、拡張属性にデータが含まれていることが示されます。それ以外の場合、この「ext-value」値は意味がありません。
In order to add a new enumerated value to an extensible attribute, the value of this attribute MUST be set to "ext-value", and the new desired value MUST be set in the corresponding extension attribute. For example, extending the type attribute of the SystemImpact class would look as follows:
拡張可能な属性に新しい列挙値を追加するには、この属性の値を「ext-value」に設定する必要があり、対応する拡張属性に新しい目的の値を設定する必要があります。たとえば、SystemImpactクラスのtype属性を拡張すると、次のようになります。
<SystemImpact type="ext-value" ext-type="new-attack-type">
A given extension attribute MUST NOT be set unless the corresponding extensible attribute has been set to "ext-value".
対応する拡張可能な属性が「ext-value」に設定されていない限り、特定の拡張属性を設定してはなりません(MUST NOT)。
The data model also supports publicly extending select enumerated attributes. A new entry can be added by registering a new entry in the appropriate IANA registry. Section 10.2 provides a mapping between the extensible attributes and their corresponding registry. Section 4.3 discusses the XML validation implications of this type of extension. All extensible attributes that support private extensions also support public extensions.
データモデルは、パブリックに拡張された一部の列挙型属性もサポートしています。新しいエントリを追加するには、適切なIANAレジストリに新しいエントリを登録します。セクション10.2は、拡張可能な属性と対応するレジストリ間のマッピングを提供します。セクション4.3では、このタイプの拡張機能のXML検証の影響について説明します。プライベート拡張をサポートするすべての拡張可能な属性は、パブリック拡張もサポートします。
Classes of the EXTENSION (iodef:ExtensionType) type can extend the data model. They provide the ability to have new atomic or XML-encoded data elements in all of the top-level classes of the Incident class and in a few of the complex subordinate classes. As there are multiple instances of the extensible classes in the data model, there is discretion on where to add a new data element. It is RECOMMENDED that the extension be placed in the most closely related class to the new information.
EXTENSION(iodef:ExtensionType)タイプのクラスは、データモデルを拡張できます。それらは、Incidentクラスのすべての最上位クラスといくつかの複雑な下位クラスで、新しいアトミックまたはXMLエンコードされたデータ要素を持つ機能を提供します。データモデルには拡張可能なクラスのインスタンスが複数あるため、新しいデータ要素をどこに追加するかは自由裁量です。拡張機能を新しい情報に最も密接に関連するクラスに配置することをお勧めします。
Extensions using the atomic data types (i.e., all values of the dtype attributes other than "xml") MUST:
アトミックデータタイプ(つまり、「xml」以外のdtype属性のすべての値)を使用する拡張機能:
1. Set the element content to the desired value, and
1. 要素の内容を目的の値に設定し、
2. Set the dtype attribute to correspond to the data type of the element content.
2. 要素コンテンツのデータ型に対応するようにdtype属性を設定します。
The following guidelines exist for extensions using XML (i.e., dtype="xml"):
XMLを使用した拡張(dtype = "xml"など)には、次のガイドラインがあります。
1. The element content of the extensible class MUST be set to the desired value, and the dtype attribute MUST be set to "xml".
1. 拡張可能なクラスの要素コンテンツは、必要な値に設定する必要があり、dtype属性は "xml"に設定する必要があります。
2. The extension schema MUST declare a separate namespace. It is RECOMMENDED that these extensions have the prefix "iodef-". This recommendation makes readability of the document easier by allowing the reader to infer which namespaces relate to IODEF by inspection.
2. 拡張スキーマは、別の名前空間を宣言する必要があります。これらの拡張機能にプレフィックス「iodef-」を付けることをお勧めします。この推奨事項は、閲覧者が検査によってIODEFに関連する名前空間を推測できるようにすることで、ドキュメントを読みやすくします。
3. It is RECOMMENDED that extension schemas follow the naming convention of the IODEF data model. This too improves the readability of extended IODEF documents. The names of all elements SHOULD be capitalized. For elements with composed names, a capital letter SHOULD be used for each word. Attribute names SHOULD be in lowercase. Attributes with composed names SHOULD be separated by a hyphen.
3. 拡張スキーマは、IODEFデータモデルの命名規則に従うことをお勧めします。これにより、拡張IODEFドキュメントの可読性も向上します。すべての要素の名前は大文字にする必要があります。構成された名前を持つ要素の場合、各単語に大文字を使用する必要があります(SHOULD)。属性名は小文字である必要があります。構成された名前を持つ属性は、ハイフンで区切る必要があります(SHOULD)。
4. Implementations that encounter an unrecognized element, attribute, or attribute value in a supported namespace SHOULD reject the document as a syntax error.
4. サポートされている名前空間で認識されない要素、属性、または属性値を検出した実装は、ドキュメントを構文エラーとして拒否する必要があります(SHOULD)。
5. There are security and performance implications in requiring implementations to dynamically download schemas at runtime. Therefore, implementations MUST NOT download schemas at runtime unless the appropriate precautions are taken. Implementations also need to contend with the potential of significant network and processing issues.
5. 実装時に実行時にスキーマを動的にダウンロードする必要がある場合、セキュリティとパフォーマンスに影響があります。したがって、適切な予防措置を講じない限り、実装は実行時にスキーマをダウンロードしてはなりません。実装では、ネットワークと処理に関する重大な問題の可能性に対処する必要もあります。
6. Some adopters of the IODEF may have private schema definitions that are not publicly available. Thus, implementations may encounter IODEF documents with references to private schemas that may not be resolvable. Hence, IODEF document recipients MUST be prepared for a schema definition in an IODEF document never to resolve.
6. IODEFの採用者によっては、公開されていないプライベートスキーマ定義を持っている場合があります。したがって、実装では、解決できないプライベートスキーマへの参照を含むIODEFドキュメントが発生する可能性があります。したがって、IODEFドキュメントの受信者は、解決できないIODEFドキュメントのスキーマ定義を準備する必要があります。
The following schema and XML document excerpt provide a template for an extension schema and its use in the IODEF document.
次のスキーマとXMLドキュメントの抜粋は、拡張スキーマのテンプレートとIODEFドキュメントでのその使用法を示しています。
This example schema defines a namespace of "iodef-extension1" and a single element named "newdata".
このスキーマの例では、「iodef-extension1」の名前空間と「newdata」という名前の単一の要素を定義しています。
<xs:schema
targetNamespace="iodef-extension1.xsd"
xmlns:iodef-extension1="iodef-extension1.xsd"
xmlns:xs="http://www.w3.org/2001/XMLSchema">
attributeFormDefault="unqualified"
elementFormDefault="qualified">
<xs:import
namespace="urn:ietf:params:xml:ns:iodef-2.0"
schemaLocation=" urn:ietf:params:xml:schema:iodef-2.0"/>
<xs:element name="newdata" type="xs:string" />
</xs:schema>
The following XML excerpt demonstrates the use of the above schema as an extension to the IODEF.
次のXMLの抜粋は、上記のスキーマをIODEFの拡張として使用する方法を示しています。
<IODEF-Document
version="2.00" lang="en-US"
xmlns="urn:ietf:params:xml:ns:iodef-2.0"
xmlns:iodef=" urn:ietf:params:xml:ns:iodef-2.0"
xmlns:iodef-extension1="iodef-extension1.xsd"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="iodef-extension1.xsd">
<Incident purpose="reporting">
...
<AdditionalData dtype="xml" meaning="xml">
<iodef-extension1:newdata>
Field that could not be represented elsewhere
</iodef-extension1:newdata>
</AdditionalData>
</Incident>
</IODEF-Document>
To disambiguate which private extension is used in an IODEF document, the data model provides a means to identify the source of an extension. Two attributes in the IODEF-Document class, private-enum-name and private-enum-id, are used to specify this attribution. Only a single private extension can be identified in a given IODEF-Document.
IODEFドキュメントで使用されているプライベート拡張機能を明確にするために、データモデルは拡張機能のソースを識別する手段を提供します。 IODEF-Documentクラスの2つの属性、private-enum-nameとprivate-enum-idを使用して、この属性を指定します。特定のIODEF-Documentで識別できるプライベート拡張は1つだけです。
If an implementor has a single private extension, then only the private-enum-name attribute needs to be specified. Multiple distinct private extensions or versioning of a single extension can be attributed by also setting the corresponding private-num-id attribute.
実装者が単一のプライベート拡張を持っている場合、private-enum-name属性のみを指定する必要があります。対応するprivate-num-id属性を設定することにより、複数の個別のプライベート拡張機能または単一の拡張機能のバージョン管理を行うことができます。
The following XML excerpt demonstrates the specification of a private extension from "example.com" with an identifier of "13".
次のXMLの抜粋は、識別子が「13」の「example.com」からのプライベート拡張の仕様を示しています。
<IODEF-Document
version="2.00" lang="en-US"
private-enum-name="example.com"
private-enum-id="13" ...>
...
</IODEF-Document>
If an unrecognized private extension is encountered in processing, the recipient MAY reject the entire document as a syntax error.
処理中に認識できないプライベート拡張が検出された場合、受信者はドキュメント全体を構文エラーとして拒否できます(MAY)。
Internationalization and localization is of specific concern to the IODEF as it facilitates operational coordination with a diverse set of partners. The IODEF implements internationalization by relying on XML constructs and through explicit design choices in the data model.
国際化とローカリゼーションは、さまざまなパートナーとの運用調整を容易にするため、IODEFにとって特に懸念事項です。 IODEFは、XML構成体に依存し、データモデルでの明示的な設計選択を通じて、国際化を実装します。
Since the IODEF is implemented as an XML schema, it supports different character encodings, such as UTF-8 and UTF-16, that are possible with XML. Additionally, each IODEF document MUST specify the language in which its content is encoded. The language can be specified with the attribute "xml:lang" (per Section 2.12 of [W3C.XML]) in the top-level element (i.e., IODEF-Document) and lets all other elements inherit that definition. All IODEF classes with a free-form text definition (i.e., all those defined with type iodef:MLStringType) can also specify a language different from the rest of the document.
IODEFはXMLスキーマとして実装されているため、XMLで可能なUTF-8やUTF-16などのさまざまな文字エンコーディングをサポートしています。さらに、各IODEFドキュメントは、そのコンテンツがエンコードされる言語を指定する必要があります。言語は最上位の要素(つまり、IODEF-Document)の属性「xml:lang」([W3C.XML]のセクション2.12に従って)で指定でき、他のすべての要素がその定義を継承できるようにします。自由形式のテキスト定義を持つすべてのIODEFクラス(つまり、タイプiodef:MLStringTypeで定義されたすべてのクラス)も、ドキュメントの他の部分とは異なる言語を指定できます。
The data model supports multiple translations of free-form text. All ML_STRING (iodef:MLStringType) classes have a one-to-many cardinality to their parent. This allows the identical text translated into different languages to be encoded in different instances of the same class with a common parent. This design also enables the creation of a single document containing all the translations. The IODEF implementation SHOULD extract the appropriate language relevant to the recipient.
データモデルは、自由形式のテキストの複数の翻訳をサポートしています。すべてのML_STRING(iodef:MLStringType)クラスは、親に対して1対多のカーディナリティを持っています。これにより、異なる言語に翻訳された同じテキストを、共通の親を持つ同じクラスの異なるインスタンスでエンコードできます。この設計により、すべての翻訳を含む単一のドキュメントを作成することもできます。 IODEF実装は、受信者に関連する適切な言語を抽出する必要があります(SHOULD)。
Related instances of a given iodef:MLStringType class that are translations of each other are identified by a common identifier set in the translation-id attribute. The example below shows three instances of a Description class expressed in three different languages. The relationship between these three instances of the Description class is conveyed by the common value of "1" in the translation-id attribute.
相互に翻訳された特定のiodef:MLStringTypeクラスの関連インスタンスは、translation-id属性に設定された共通の識別子によって識別されます。以下の例は、3つの異なる言語で表現されたDescriptionクラスの3つのインスタンスを示しています。 Descriptionクラスのこれら3つのインスタンス間の関係は、translation-id属性の共通値「1」によって伝えられます。
<IODEF-Document version="2.00" xml:lang="en" ...>
<Incident purpose="reporting">
...
<Description translation-id="1"
xml:lang="en">English</Description>
<Description translation-id="1"
xml:lang="de">Englisch</Description>
<Description translation-id="1"
xml:lang="fr">Anglais</Description>
The IODEF balances internationalization support with the need for interoperability. While the IODEF supports different languages, the data model also relies heavily on standardized enumerated attributes that can crudely approximate the contents of the document. With this approach, a CSIRT should be able to make some sense of an IODEF document it receives even if the free-form text data elements are written in a language unfamiliar to the recipient.
IODEFは、国際化のサポートと相互運用性の必要性のバランスをとっています。 IODEFはさまざまな言語をサポートしていますが、データモデルは、ドキュメントのコンテンツを大まかに概算できる標準化された列挙型属性にも大きく依存しています。このアプローチを使用すると、CSIRTは、自由形式のテキストデータ要素が受信者になじみのない言語で記述されている場合でも、受信したIODEFドキュメントをある程度理解できるはずです。
This section provides examples of IODEF documents. These examples do not represent the full capabilities of the data model or the only way to encode particular information.
このセクションでは、IODEFドキュメントの例を示します。これらの例は、データモデルの完全な機能や特定の情報をエンコードする唯一の方法を表すものではありません。
A document containing only the mandatory elements and attributes.
必須の要素と属性のみを含むドキュメント。
<?xml version="1.0" encoding="UTF-8"?>
<!-- Minimum IODEF document -->
<IODEF-Document version="2.00" xml:lang="en"
xmlns="urn:ietf:params:xml:ns:iodef-2.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation=
"http://www.iana.org/assignments/xml-registry/schema/
iodef-2.0.xsd">
<Incident purpose="reporting" restriction="private">
<IncidentID name="csirt.example.com">492382</IncidentID>
<GenerationTime>2015-07-18T09:00:00-05:00</GenerationTime>
<Contact type="organization" role="creator">
<Email>
<EmailTo>contact@csirt.example.com</EmailTo>
</Email>
</Contact>
<!-- Add more fields to make the document useful -->
</Incident>
</IODEF-Document>
An example of C2 domains from a given campaign.
特定のキャンペーンのC2ドメインの例。
<?xml version="1.0" encoding="UTF-8"?>
<!-- A list of C2 domains associated with a campaign -->
<IODEF-Document version="2.00" xml:lang="en"
xmlns="urn:ietf:params:xml:ns:iodef-2.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation=
"http://www.iana.org/assignments/xml-registry/schema/
iodef-2.0.xsd">
<Incident purpose="watch" restriction="green">
<IncidentID name="csirt.example.com">897923</IncidentID>
<RelatedActivity>
<ThreatActor>
<ThreatActorID>
TA-12-AGGRESSIVE-BUTTERFLY
</ThreatActorID>
<Description>Aggressive Butterfly</Description>
</ThreatActor>
<Campaign>
<CampaignID>C-2015-59405</CampaignID>
<Description>Orange Giraffe</Description>
</Campaign>
</RelatedActivity>
<GenerationTime>2015-10-02T11:18:00-05:00</GenerationTime>
<Description>Summarizes the Indicators of Compromise
for the Orange Giraffe campaign of the Aggressive
Butterfly crime gang.
</Description>
<Assessment>
<BusinessImpact type="breach-proprietary"/>
</Assessment>
<Contact type="organization" role="creator">
<ContactName>CSIRT for example.com</ContactName>
<Email>
<EmailTo>contact@csirt.example.com</EmailTo>
</Email>
</Contact>
<IndicatorData>
<Indicator>
<IndicatorID name="csirt.example.com" version="1">
G90823490
</IndicatorID>
<Description>C2 domains</Description>
<StartTime>2014-12-02T11:18:00-05:00</StartTime>
<Observable>
<BulkObservable type="fqdn">
<BulkObservableList>
kj290023j09r34.example.com
09ijk23jfj0k8.example.net
klknjwfjiowjefr923.example.org
oimireik79msd.example.org
</BulkObservableList>
</BulkObservable>
</Observable>
</Indicator>
</IndicatorData>
</Incident>
</IODEF-Document>
<?xml version="1.0"?>
<xs:schema xmlns="urn:ietf:params:xml:ns:iodef-2.0"
xmlns:iodef="urn:ietf:params:xml:ns:iodef-2.0"
xmlns:enum="urn:ietf:params:xml:ns:iodef-enum-1.0"
xmlns:sci="urn:ietf:params:xml:ns:iodef-sci-1.0"
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
targetNamespace="urn:ietf:params:xml:ns:iodef-2.0"
elementFormDefault="qualified"
attributeFormDefault="unqualified">
<xs:import namespace="http://www.w3.org/2000/09/xmldsig#"
schemaLocation="http://www.w3.org/TR/2002/
REC-xmldsig-core-20020212/xmldsig-core-schema.xsd"/>
<xs:import namespace="urn:ietf:params:xml:ns:iodef-enum-1.0"
schemaLocation="http://www.iana.org/assignments/
xml-registry/schema/iodef-enum-1.0.xsd"/>
<xs:import namespace="urn:ietf:params:xml:ns:iodef-sci-1.0"
schemaLocation="http://www.iana.org/assignments/
xml-registry/schema/iodef-sci-1.0.xsd"/>
<xs:import namespace="http://www.w3.org/XML/1998/namespace"
schemaLocation="http://www.w3c.org/2001/xml.xsd"/>
<xs:annotation>
<xs:documentation>
Incident Object Description Exchange Format v2.0
</xs:documentation>
</xs:annotation>
<!--
===================================================================
== IODEF-Document class ==
===================================================================
-->
<xs:element name="IODEF-Document">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Incident" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="version" type="xs:string" fixed="2.00"/>
<xs:attribute ref="xml:lang"/>
<xs:attribute name="format-id" type="xs:string" use="optional"/>
<xs:attribute name="private-enum-name"
type="xs:string" use="optional"/>
<xs:attribute name="private-enum-id"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== Incident class ==
===================================================================
-->
<xs:element name="Incident">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IncidentID"/>
<xs:element ref="iodef:AlternativeID" minOccurs="0"/>
<xs:element ref="iodef:RelatedActivity"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:DetectTime" minOccurs="0"/>
<xs:element ref="iodef:StartTime" minOccurs="0"/>
<xs:element ref="iodef:EndTime" minOccurs="0"/>
<xs:element ref="iodef:RecoveryTime" minOccurs="0"/>
<xs:element ref="iodef:ReportTime" minOccurs="0"/>
<xs:element ref="iodef:GenerationTime"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Discovery"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Assessment"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Method"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Contact" maxOccurs="unbounded"/>
<xs:element ref="iodef:EventData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:IndicatorData" minOccurs="0"/>
<xs:element ref="iodef:History" minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="purpose"
type="incident-purpose-type" use="required"/>
<xs:attribute name="ext-purpose"
type="xs:string" use="optional"/>
<xs:attribute name="status" type="incident-status-type"/>
<xs:attribute name="ext-status"
type="xs:string" use="optional"/>
<xs:attribute ref="xml:lang"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" default="private"
use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="incident-purpose-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="traceback"/>
<xs:enumeration value="mitigation"/>
<xs:enumeration value="reporting"/>
<xs:enumeration value="watch"/>
<xs:enumeration value="other"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="incident-status-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="new"/>
<xs:enumeration value="in-progress"/>
<xs:enumeration value="forwarded"/>
<xs:enumeration value="resolved"/>
<xs:enumeration value="future"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
===================================================================
== IncidentID class ==
===================================================================
-->
<xs:element name="IncidentID" type="iodef:IncidentIDType"/>
<xs:complexType name="IncidentIDType">
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="name" type="xs:string" use="required"/>
<xs:attribute name="instance"
type="xs:string" use="optional"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
<!--
==================================================================
== AlternativeID class ==
==================================================================
-->
<xs:element name="AlternativeID">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IncidentID" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== RelatedActivity class ==
===================================================================
-->
<xs:element name="RelatedActivity">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IncidentID"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:ThreatActor"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Campaign"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:IndicatorID"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Confidence" minOccurs="0"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="ThreatActor">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:ThreatActorID"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:URL" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="ThreatActorID" type="xs:string"/>
<xs:element name="Campaign">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:CampaignID"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="CampaignID" type="xs:string"/>
<!--
===================================================================
== Contact class ==
===================================================================
-->
<xs:element name="Contact">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:ContactName"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:ContactTitle"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:RegistryHandle"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:PostalAddress"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Email"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Telephone"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Timezone" minOccurs="0"/>
<xs:element ref="iodef:Contact"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="role"
type="contact-role-type" use="required"/>
<xs:attribute name="ext-role"
type="xs:string" use="optional"/>
<xs:attribute name="type"
type="contact-type-type" use="required"/>
<xs:attribute name="ext-type"
type="xs:string" use="optional"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="contact-role-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="creator"/>
<xs:enumeration value="reporter"/>
<xs:enumeration value="admin"/>
<xs:enumeration value="tech"/>
<xs:enumeration value="provider"/>
<xs:enumeration value="user"/>
<xs:enumeration value="billing"/>
<xs:enumeration value="legal"/>
<xs:enumeration value="abuse"/>
<xs:enumeration value="irt"/>
<xs:enumeration value="cc"/>
<xs:enumeration value="cc-irt"/>
<xs:enumeration value="leo"/>
<xs:enumeration value="vendor"/>
<xs:enumeration value="vendor-services"/>
<xs:enumeration value="victim"/>
<xs:enumeration value="victim-notified"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="contact-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="person"/>
<xs:enumeration value="organization"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="ContactName" type="iodef:MLStringType"/>
<xs:element name="ContactTitle" type="iodef:MLStringType"/>
<xs:element name="RegistryHandle">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="registry"
type="registryhandle-registry-type"/>
<xs:attribute name="ext-registry"
type="xs:string" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:simpleType name="registryhandle-registry-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="internic"/>
<xs:enumeration value="apnic"/>
<xs:enumeration value="arin"/>
<xs:enumeration value="lacnic"/>
<xs:enumeration value="ripe"/>
<xs:enumeration value="afrinic"/>
<xs:enumeration value="local"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="PostalAddress">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:PAddress"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="type"
type="postaladdress-type-type" use="optional"/>
<xs:attribute name="ext-type" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="PAddress" type="iodef:MLStringType"/>
<xs:simpleType name="postaladdress-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="street"/>
<xs:enumeration value="mailing"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="Telephone">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:TelephoneNumber"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="type"
type="telephone-type-type" use="optional"/>
<xs:attribute name="ext-type" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="TelephoneNumber" type="xs:string"/>
<xs:simpleType name="telephone-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="wired"/>
<xs:enumeration value="mobile"/>
<xs:enumeration value="fax"/>
<xs:enumeration value="hotline"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="Email">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:EmailTo"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="type"
type="email-type-type" use="optional"/>
<xs:attribute name="ext-type" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="email-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="direct"/>
<xs:enumeration value="hotline"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
===================================================================
== Time-based classes ==
===================================================================
-->
<xs:element name="DateTime" type="xs:dateTime"/>
<xs:element name="ReportTime" type="xs:dateTime"/>
<xs:element name="DetectTime" type="xs:dateTime"/>
<xs:element name="StartTime" type="xs:dateTime"/>
<xs:element name="EndTime" type="xs:dateTime"/>
<xs:element name="RecoveryTime" type="xs:dateTime"/>
<xs:element name="GenerationTime" type="xs:dateTime"/>
<xs:element name="Timezone" type="iodef:TimezoneType"/>
<!--
===================================================================
== History class ==
===================================================================
-->
<xs:element name="History">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:HistoryItem" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="HistoryItem">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:DateTime"/>
<xs:element ref="iodef:IncidentID" minOccurs="0"/>
<xs:element ref="iodef:Contact" minOccurs="0"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:DefinedCOA"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="action"
type="iodef:action-type" use="required"/>
<xs:attribute name="ext-action"
type="xs:string" use="optional"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="DefinedCOA" type="xs:string"/>
<!--
===================================================================
== Expectation class ==
===================================================================
-->
<xs:element name="Expectation">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:DefinedCOA"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:StartTime" minOccurs="0"/>
<xs:element ref="iodef:EndTime" minOccurs="0"/>
<xs:element ref="iodef:Contact" minOccurs="0"/>
</xs:sequence>
<xs:attribute name="action"
type="iodef:action-type" default="other"/>
<xs:attribute name="ext-action"
type="xs:string" use="optional"/>
<xs:attribute name="severity" type="iodef:severity-type"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== Discovery class ==
===================================================================
-->
<xs:element name="Discovery">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Contact"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:DetectionPattern"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="source"
type="discovery-source-type" use="optional"
default="unknown"/>
<xs:attribute name="ext-source"
type="xs:string" use="optional"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="discovery-source-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="nidps"/>
<xs:enumeration value="hips"/>
<xs:enumeration value="siem"/>
<xs:enumeration value="av"/>
<xs:enumeration value="third-party-monitoring"/>
<xs:enumeration value="incident"/>
<xs:enumeration value="os-log"/>
<xs:enumeration value="application-log"/>
<xs:enumeration value="device-log"/>
<xs:enumeration value="network-flow"/>
<xs:enumeration value="passive-dns"/>
<xs:enumeration value="investigation"/>
<xs:enumeration value="audit"/>
<xs:enumeration value="internal-notification"/>
<xs:enumeration value="external-notification"/>
<xs:enumeration value="leo"/>
<xs:enumeration value="partner"/>
<xs:enumeration value="actor"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="DetectionPattern">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Application"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element name="DetectionConfiguration"
type="xs:string"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== Method class ==
===================================================================
-->
<xs:element name="Method">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Reference"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="sci:AttackPattern"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="sci:Vulnerability"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="sci:Weakness"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== Reference class ==
===================================================================
-->
<xs:element name="Reference">
<xs:complexType>
<xs:sequence>
<xs:element ref="enum:ReferenceName" minOccurs="0"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== Assessment class ==
===================================================================
-->
<xs:element name="Assessment">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IncidentCategory"
minOccurs="0" maxOccurs="unbounded"/>
<xs:choice maxOccurs="unbounded">
<xs:element ref="iodef:SystemImpact"/>
<xs:element ref="iodef:BusinessImpact"/>
<xs:element ref="iodef:TimeImpact"/>
<xs:element ref="iodef:MonetaryImpact"/>
<xs:element ref="iodef:IntendedImpact"/>
</xs:choice>
<xs:element ref="iodef:Counter"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:MitigatingFactor"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Cause"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Confidence" minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="occurrence">
<xs:simpleType>
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="actual"/>
<xs:enumeration value="potential"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="IncidentCategory" type="iodef:MLStringType"/>
<xs:element name="BusinessImpact" type="iodef:BusinessImpactType"/>
<xs:element name="IntendedImpact" type="iodef:BusinessImpactType"/>
<xs:element name="MitigatingFactor" type="iodef:MLStringType"/>
<xs:element name="Cause" type="iodef:MLStringType"/>
<xs:element name="SystemImpact">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="severity"
type="iodef:severity-type" use="optional"/>
<xs:attribute name="completion"
type="iodef:systemimpact-completion-type"
use="optional"/>
<xs:attribute name="type"
type="systemimpact-type-type"
use="optional" default="unknown"/>
<xs:attribute name="ext-type" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="systemimpact-completion-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="failed"/>
<xs:enumeration value="succeeded"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="systemimpact-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="takeover-account"/>
<xs:enumeration value="takeover-service"/>
<xs:enumeration value="takeover-system"/>
<xs:enumeration value="cps-manipulation"/>
<xs:enumeration value="cps-damage"/>
<xs:enumeration value="availability-data"/>
<xs:enumeration value="availability-account"/>
<xs:enumeration value="availability-service"/>
<xs:enumeration value="availability-system"/>
<xs:enumeration value="damaged-system"/>
<xs:enumeration value="damaged-data"/>
<xs:enumeration value="breach-proprietary"/>
<xs:enumeration value="breach-privacy"/>
<xs:enumeration value="breach-credential"/>
<xs:enumeration value="breach-configuration"/>
<xs:enumeration value="integrity-data"/>
<xs:enumeration value="integrity-configuration"/>
<xs:enumeration value="integrity-hardware"/>
<xs:enumeration value="traffic-redirection"/>
<xs:enumeration value="monitoring-traffic"/>
<xs:enumeration value="monitoring-host"/>
<xs:enumeration value="policy"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:complexType name="BusinessImpactType">
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="severity"
type="businessimpact-severity-type" use="optional"/>
<xs:attribute name="ext-severity"
type="xs:string" use="optional"/>
<xs:attribute name="type"
type="businessimpact-type-type"
use="optional" default="unknown"/>
<xs:attribute name="ext-type" type="xs:string" use="optional"/>
</xs:complexType>
<xs:simpleType name="businessimpact-severity-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="none"/>
<xs:enumeration value="low"/>
<xs:enumeration value="medium"/>
<xs:enumeration value="high"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="businessimpact-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="breach-proprietary"/>
<xs:enumeration value="breach-privacy"/>
<xs:enumeration value="breach-credential"/>
<xs:enumeration value="loss-of-integrity"/>
<xs:enumeration value="loss-of-service"/>
<xs:enumeration value="theft-financial"/>
<xs:enumeration value="theft-service"/>
<xs:enumeration value="degraded-reputation"/>
<xs:enumeration value="asset-damage"/>
<xs:enumeration value="asset-manipulation"/>
<xs:enumeration value="legal"/>
<xs:enumeration value="extortion"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="TimeImpact">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="iodef:PositiveFloatType">
<xs:attribute name="severity" type="iodef:severity-type"/>
<xs:attribute name="metric"
type="timeimpact-metric-type" use="required"/>
<xs:attribute name="ext-metric"
type="xs:string" use="optional"/>
<xs:attribute name="duration" type="iodef:duration-type"/>
<xs:attribute name="ext-duration"
type="xs:string" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:simpleType name="timeimpact-metric-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="labor"/>
<xs:enumeration value="elapsed"/>
<xs:enumeration value="downtime"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="MonetaryImpact">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="iodef:PositiveFloatType">
<xs:attribute name="severity" type="iodef:severity-type"/>
<xs:attribute name="currency" type="xs:string"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Confidence">
<xs:complexType>
<xs:attribute name="rating"
type="confidence-rating-type" use="required"/>
<xs:attribute name="ext-rating"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="confidence-rating-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="low"/>
<xs:enumeration value="medium"/>
<xs:enumeration value="high"/>
<xs:enumeration value="numeric"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
===================================================================
== EventData class ==
===================================================================
-->
<xs:element name="EventData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:DetectTime" minOccurs="0"/>
<xs:element ref="iodef:StartTime" minOccurs="0"/>
<xs:element ref="iodef:EndTime" minOccurs="0"/>
<xs:element ref="iodef:RecoveryTime" minOccurs="0"/>
<xs:element ref="iodef:ReportTime" minOccurs="0"/>
<xs:element ref="iodef:Contact"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Discovery"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Assessment" minOccurs="0"/>
<xs:element ref="iodef:Method"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Flow"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Expectation"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Record" minOccurs="0"/>
<xs:element ref="iodef:EventData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== Flow class ==
===================================================================
-->
<xs:element name="Flow">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:System" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<!--
===================================================================
== System class ==
===================================================================
-->
<xs:element name="System">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Node"/>
<xs:element ref="iodef:NodeRole"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Service"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:OperatingSystem"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Counter"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element name="AssetID"
type="xs:string"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="category" type="system-category-type"/>
<xs:attribute name="ext-category"
type="xs:string" use="optional"/>
<xs:attribute name="interface" type="xs:string"/>
<xs:attribute name="spoofed"
type="yes-no-unknown-type" default="unknown"/>
<xs:attribute name="virtual"
type="yes-no-unknown-type" use="optional"
default="unknown"/>
<xs:attribute name="ownership" type="system-ownership-type"
use="optional"/>
<xs:attribute name="ext-ownership"
type="xs:string" use="optional"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="OperatingSystem" type="iodef:SoftwareType"/>
<xs:simpleType name="system-category-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="source"/>
<xs:enumeration value="target"/>
<xs:enumeration value="intermediate"/>
<xs:enumeration value="sensor"/>
<xs:enumeration value="infrastructure"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="system-ownership-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="organization"/>
<xs:enumeration value="personal"/>
<xs:enumeration value="partner"/>
<xs:enumeration value="customer"/>
<xs:enumeration value="no-relationship"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
==================================================================
== Node class ==
==================================================================
-->
<xs:element name="Node">
<xs:complexType>
<xs:sequence>
<xs:choice maxOccurs="unbounded">
<xs:element ref="iodef:DomainData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Address"
minOccurs="0" maxOccurs="unbounded"/>
</xs:choice>
<xs:element ref="iodef:PostalAddress" minOccurs="0"/>
<xs:element ref="iodef:Location"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Counter"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="Address">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="category"
type="address-category-type"
default="ipv6-addr"/>
<xs:attribute name="ext-category"
type="xs:string" use="optional"/>
<xs:attribute name="vlan-name" type="xs:string"/>
<xs:attribute name="vlan-num" type="xs:integer"/>
<xs:attribute name="observable-id"
type="xs:ID" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:simpleType name="address-category-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="asn"/>
<xs:enumeration value="atm"/>
<xs:enumeration value="e-mail"/>
<xs:enumeration value="mac"/>
<xs:enumeration value="ipv4-addr"/>
<xs:enumeration value="ipv4-net"/>
<xs:enumeration value="ipv4-net-masked"/>
<xs:enumeration value="ipv4-net-mask"/>
<xs:enumeration value="ipv6-addr"/>
<xs:enumeration value="ipv6-net"/>
<xs:enumeration value="ipv6-net-masked"/>
<xs:enumeration value="site-uri"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="Location" type="iodef:MLStringType"/>
<xs:element name="NodeRole">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="category"
type="noderole-category-type" use="required"/>
<xs:attribute name="ext-category"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="noderole-category-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="client"/>
<xs:enumeration value="client-enterprise"/>
<xs:enumeration value="client-partner"/>
<xs:enumeration value="client-remote"/>
<xs:enumeration value="client-kiosk"/>
<xs:enumeration value="client-mobile"/>
<xs:enumeration value="server-internal"/>
<xs:enumeration value="server-public"/>
<xs:enumeration value="www"/>
<xs:enumeration value="mail"/>
<xs:enumeration value="webmail"/>
<xs:enumeration value="messaging"/>
<xs:enumeration value="streaming"/>
<xs:enumeration value="voice"/>
<xs:enumeration value="file"/>
<xs:enumeration value="ftp"/>
<xs:enumeration value="p2p"/>
<xs:enumeration value="name"/>
<xs:enumeration value="directory"/>
<xs:enumeration value="credential"/>
<xs:enumeration value="print"/>
<xs:enumeration value="application"/>
<xs:enumeration value="database"/>
<xs:enumeration value="backup"/>
<xs:enumeration value="dhcp"/>
<xs:enumeration value="assessment"/>
<xs:enumeration value="source-control"/>
<xs:enumeration value="config-management"/>
<xs:enumeration value="monitoring"/>
<xs:enumeration value="infra"/>
<xs:enumeration value="infra-firewall"/>
<xs:enumeration value="infra-router"/>
<xs:enumeration value="infra-switch"/>
<xs:enumeration value="camera"/>
<xs:enumeration value="proxy"/>
<xs:enumeration value="remote-access"/>
<xs:enumeration value="log"/>
<xs:enumeration value="virtualization"/>
<xs:enumeration value="pos"/>
<xs:enumeration value="scada"/>
<xs:enumeration value="scada-supervisory"/>
<xs:enumeration value="sinkhole"/>
<xs:enumeration value="honeypot"/>
<xs:enumeration value="anonymization"/>
<xs:enumeration value="c2-server"/>
<xs:enumeration value="malware-distribution"/>
<xs:enumeration value="drop-server"/>
<xs:enumeration value="hop-point"/>
<xs:enumeration value="reflector"/>
<xs:enumeration value="phishing-site"/>
<xs:enumeration value="spear-phishing-site"/>
<xs:enumeration value="recruiting-site"/>
<xs:enumeration value="fraudulent-site"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
===================================================================
== Service class ==
===================================================================
-->
<xs:element name="Service">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:ServiceName" minOccurs="0"/>
<xs:element ref="iodef:Port" minOccurs="0"/>
<xs:element ref="iodef:Portlist" minOccurs="0"/>
<xs:element ref="iodef:ProtoType" minOccurs="0"/>
<xs:element ref="iodef:ProtoCode" minOccurs="0"/>
<xs:element ref="iodef:ProtoField" minOccurs="0"/>
<xs:element ref="iodef:ApplicationHeader" minOccurs="0"/>
<xs:element ref="iodef:EmailData" minOccurs="0"/>
<xs:element ref="iodef:Application" minOccurs="0"/>
</xs:sequence>
<xs:attribute name="ip-protocol"
type="xs:integer" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="Port" type="xs:integer"/>
<xs:element name="Portlist" type="iodef:PortlistType"/>
<xs:element name="ProtoType" type="xs:integer"/>
<xs:element name="ProtoCode" type="xs:integer"/>
<xs:element name="ProtoField" type="xs:integer"/>
<xs:element name="ApplicationHeader">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:ApplicationHeaderField"
maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="ApplicationHeaderField"
type="iodef:ExtensionType"/>
<xs:element name="ServiceName">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IANAService"
minOccurs="0"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="IANAService" type="xs:string"/>
<xs:element name="Application" type="iodef:SoftwareType"/>
<!--
===================================================================
== Counter class ==
===================================================================
-->
<xs:element name="Counter">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:float">
<xs:attribute name="type"
type="counter-type-type" use="required"/>
<xs:attribute name="ext-type"
type="xs:string" use="optional"/>
<xs:attribute name="unit"
type="counter-unit-type" use="required"/>
<xs:attribute name="ext-unit"
type="xs:string" use="optional"/>
<xs:attribute name="meaning"
type="xs:string" use="optional"/>
<xs:attribute name="duration" type="iodef:duration-type"/>
<xs:attribute name="ext-duration"
type="xs:string" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:simpleType name="counter-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="counter"/>
<xs:enumeration value="rate"/>
<xs:enumeration value="average"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="counter-unit-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="byte"/>
<xs:enumeration value="mbit"/>
<xs:enumeration value="packet"/>
<xs:enumeration value="flow"/>
<xs:enumeration value="session"/>
<xs:enumeration value="event"/>
<xs:enumeration value="alert"/>
<xs:enumeration value="message"/>
<xs:enumeration value="host"/>
<xs:enumeration value="site"/>
<xs:enumeration value="organization"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
===================================================================
== EmailData class ==
===================================================================
-->
<xs:element name="EmailData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:EmailTo"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:EmailFrom" minOccurs="0"/>
<xs:element ref="iodef:EmailSubject" minOccurs="0"/>
<xs:element ref="iodef:EmailX-Mailer" minOccurs="0"/>
<xs:element ref="iodef:EmailHeaderField"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:EmailHeaders" minOccurs="0"/>
<xs:element ref="iodef:EmailBody" minOccurs="0"/>
<xs:element ref="iodef:EmailMessage" minOccurs="0"/>
<xs:element ref="iodef:HashData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="SignatureData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="EmailTo" type="xs:string"/>
<xs:element name="EmailFrom" type="xs:string"/>
<xs:element name="EmailSubject" type="xs:string"/>
<xs:element name="EmailX-Mailer" type="xs:string"/>
<xs:element name="EmailHeaderField" type="iodef:ExtensionType"/>
<xs:element name="EmailHeaders" type="xs:string"/>
<xs:element name="EmailBody" type="xs:string"/>
<xs:element name="EmailMessage" type="xs:string"/>
<!--
===================================================================
== DomainData class ==
===================================================================
-->
<xs:element name="DomainData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Name"/>
<xs:element ref="iodef:DateDomainWasChecked"
minOccurs="0"/>
<xs:element ref="iodef:RegistrationDate"
minOccurs="0"/>
<xs:element ref="iodef:ExpirationDate"
minOccurs="0"/>
<xs:element ref="iodef:RelatedDNS"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Nameservers"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:DomainContacts"
minOccurs="0"/>
</xs:sequence>
<xs:attribute name="system-status"
type="domaindata-system-status-type"/>
<xs:attribute name="ext-system-status"
type="xs:string" use="optional"/>
<xs:attribute name="domain-status"
type="domaindata-domain-status-type"/>
<xs:attribute name="ext-domain-status"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="Name" type="xs:string"/>
<xs:element name="DateDomainWasChecked" type="xs:dateTime"/>
<xs:element name="RegistrationDate" type="xs:dateTime"/>
<xs:element name="ExpirationDate" type="xs:dateTime"/>
<xs:simpleType name="domaindata-system-status-type">
<xs:restriction base="xs:string">
<xs:enumeration value="spoofed"/>
<xs:enumeration value="fraudulent"/>
<xs:enumeration value="innocent-hacked"/>
<xs:enumeration value="innocent-hijacked"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="domaindata-domain-status-type">
<xs:restriction base="xs:string">
<xs:enumeration value="reservedDelegation"/>
<xs:enumeration value="assignedAndActive"/>
<xs:enumeration value="assignedAndInactive"/>
<xs:enumeration value="assignedAndOnHold"/>
<xs:enumeration value="revoked"/>
<xs:enumeration value="transferPending"/>
<xs:enumeration value="registryLock"/>
<xs:enumeration value="registrarLock"/>
<xs:enumeration value="other"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="RelatedDNS" type="iodef:ExtensionType"/>
<xs:element name="Nameservers">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Server"/>
<xs:element ref="iodef:Address" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="Server" type="xs:string"/>
<xs:element name="DomainContacts">
<xs:complexType>
<xs:choice>
<xs:element ref="iodef:SameDomainContact"/>
<xs:element ref="iodef:Contact"
minOccurs="1" maxOccurs="unbounded"/>
</xs:choice>
</xs:complexType>
</xs:element>
<xs:element name="SameDomainContact" type="xs:string"/>
<!--
===================================================================
== Record class ==
===================================================================
-->
<xs:element name="Record">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:RecordData" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="RecordData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:DateTime" minOccurs="0"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Application" minOccurs="0"/>
<xs:element ref="iodef:RecordPattern"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:RecordItem"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:FileData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:WindowsRegistryKeysModified"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:CertificateData"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="RecordPattern">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="type"
type="recordpattern-type-type"
use="required"/>
<xs:attribute name="ext-type"
type="xs:string" use="optional"/>
<xs:attribute name="offset"
type="xs:integer" use="optional"/>
<xs:attribute name="offsetunit"
type="recordpattern-offsetunit-type"
use="optional" default="line"/>
<xs:attribute name="ext-offsetunit"
type="xs:string" use="optional"/>
<xs:attribute name="instance"
type="xs:integer" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:simpleType name="recordpattern-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="regex"/>
<xs:enumeration value="binary"/>
<xs:enumeration value="xpath"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="recordpattern-offsetunit-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="line"/>
<xs:enumeration value="byte"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="RecordItem" type="iodef:ExtensionType"/>
<!--
===================================================================
== WindowsRegistryKeysModified class ==
===================================================================
-->
<xs:element name="WindowsRegistryKeysModified">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Key" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="Key">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:KeyName"/>
<xs:element ref="iodef:Value" minOccurs="0"/>
</xs:sequence>
<xs:attribute name="registryaction"
type="key-registryaction-type"/>
<xs:attribute name="ext-registryaction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="KeyName" type="xs:string"/>
<xs:element name="Value" type="xs:string"/>
<xs:simpleType name="key-registryaction-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="add-key"/>
<xs:enumeration value="add-value"/>
<xs:enumeration value="delete-key"/>
<xs:enumeration value="delete-value"/>
<xs:enumeration value="modify-key"/>
<xs:enumeration value="modify-value"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
====================================================================
== FileData class ==
====================================================================
-->
<xs:element name="FileData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:File"
minOccurs="1" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="File">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:FileName" minOccurs="0"/>
<xs:element ref="iodef:FileSize" minOccurs="0"/>
<xs:element ref="FileType" minOccurs="0"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:HashData" minOccurs="0"/>
<xs:element ref="iodef:SignatureData" minOccurs="0"/>
<xs:element ref="iodef:AssociatedSoftware" minOccurs="0"/>
<xs:element ref="iodef:FileProperties"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="FileName" type="xs:string"/>
<xs:element name="FileSize" type="xs:integer"/>
<xs:element name="FileType" type="xs:string"/>
<xs:element name="AssociatedSoftware" type="iodef:SoftwareType"/>
<xs:element name="FileProperties" type="iodef:ExtensionType"/>
<!--
====================================================================
== HashData class ==
====================================================================
-->
<xs:element name="HashData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:HashTargetID" minOccurs="0"/>
<xs:element ref="iodef:Hash"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:FuzzyHash"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="scope"
type="hashdata-scope-type" use="required"/>
<xs:attribute name="ext-scope" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="HashTargetID" type="xs:string"/>
<xs:simpleType name="hashdata-scope-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="file-contents"/>
<xs:enumeration value="file-pe-section"/>
<xs:enumeration value="file-pe-iat"/>
<xs:enumeration value="file-pe-resource"/>
<xs:enumeration value="file-pdf-object"/>
<xs:enumeration value="email-hash"/>
<xs:enumeration value="email-headers-hash"/>
<xs:enumeration value="email-body-hash"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="Hash">
<xs:complexType>
<xs:sequence>
<xs:element ref="ds:DigestMethod"/>
<xs:element ref="ds:DigestValue"/>
<xs:element ref="ds:CanonicalizationMethod"
minOccurs="0"/>
<xs:element ref="iodef:Application" minOccurs="0"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="FuzzyHash">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:FuzzyHashValue"
maxOccurs="unbounded"/>
<xs:element ref="iodef:Application" minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="FuzzyHashValue" type="iodef:ExtensionType"/>
<!--
===================================================================
== SignatureData class ==
===================================================================
-->
<xs:element name="SignatureData">
<xs:complexType>
<xs:sequence>
<xs:element ref="ds:Signature" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<!--
===================================================================
== CertificateData class ==
===================================================================
-->
<xs:element name="CertificateData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Certificate" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="Certificate">
<xs:complexType>
<xs:sequence>
<xs:element ref="ds:X509Data"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
</xs:element>
<!--
===================================================================
== IndicatorData class ==
===================================================================
-->
<xs:element name="IndicatorData">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Indicator"
minOccurs="1" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="Indicator">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IndicatorID"/>
<xs:element ref="iodef:AlternativeIndicatorID"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:StartTime" minOccurs="0"/>
<xs:element ref="iodef:EndTime" minOccurs="0"/>
<xs:element ref="iodef:Confidence" minOccurs="0"/>
<xs:element ref="iodef:Contact"
minOccurs="0" maxOccurs="unbounded"/>
<xs:choice>
<xs:element ref="iodef:Observable"/>
<xs:element ref="iodef:ObservableReference"/>
<xs:element ref="iodef:IndicatorExpression"/>
<xs:element ref="iodef:IndicatorReference"/>
</xs:choice>
<xs:element ref="iodef:NodeRole"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AttackPhase"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Reference"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="IndicatorID">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:ID">
<xs:attribute name="name" type="xs:string" use="required"/>
<xs:attribute name="version"
type="xs:string" use="required"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="AlternativeIndicatorID">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:IndicatorID" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="Observable">
<xs:complexType>
<xs:choice>
<xs:element ref="iodef:System" minOccurs="0"/>
<xs:element ref="iodef:Address" minOccurs="0"/>
<xs:element ref="iodef:DomainData" minOccurs="0"/>
<xs:element ref="iodef:Service" minOccurs="0"/>
<xs:element ref="iodef:EmailData" minOccurs="0"/>
<xs:element ref="iodef:WindowsRegistryKeysModified"
minOccurs="0"/>
<xs:element ref="iodef:FileData" minOccurs="0"/>
<xs:element ref="iodef:CertificateData" minOccurs="0"/>
<xs:element ref="iodef:RegistryHandle" minOccurs="0"/>
<xs:element ref="iodef:RecordData" minOccurs="0"/>
<xs:element ref="iodef:EventData" minOccurs="0"/>
<xs:element ref="iodef:Incident" minOccurs="0"/>
<xs:element ref="iodef:Expectation" minOccurs="0"/>
<xs:element ref="iodef:Reference" minOccurs="0"/>
<xs:element ref="iodef:Assessment" minOccurs="0"/>
<xs:element ref="iodef:DetectionPattern" minOccurs="0"/>
<xs:element ref="iodef:HistoryItem" minOccurs="0"/>
<xs:element ref="iodef:BulkObservable" minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:choice>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="BulkObservable">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:BulkObservableFormat" minOccurs="0"/>
<xs:element name="BulkObservableList"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="type"
type="bulkobservable-type-type" use="required"/>
<xs:attribute name="ext-type" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="bulkobservable-type-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="asn"/>
<xs:enumeration value="atm"/>
<xs:enumeration value="e-mail"/>
<xs:enumeration value="ipv4-addr"/>
<xs:enumeration value="ipv4-net"/>
<xs:enumeration value="ipv4-net-mask"/>
<xs:enumeration value="ipv6-addr"/>
<xs:enumeration value="ipv6-net"/>
<xs:enumeration value="ipv6-net-mask"/>
<xs:enumeration value="mac"/>
<xs:enumeration value="site-uri"/>
<xs:enumeration value="domain-name"/>
<xs:enumeration value="domain-to-ipv4"/>
<xs:enumeration value="domain-to-ipv6"/>
<xs:enumeration value="domain-to-ipv4-timestamp"/>
<xs:enumeration value="domain-to-ipv6-timestamp"/>
<xs:enumeration value="ipv4-port"/>
<xs:enumeration value="ipv6-port"/>
<xs:enumeration value="windows-reg-key"/>
<xs:enumeration value="file-hash"/>
<xs:enumeration value="email-x-mailer"/>
<xs:enumeration value="email-subject"/>
<xs:enumeration value="http-user-agent"/>
<xs:enumeration value="http-request-uri"/>
<xs:enumeration value="mutex"/>
<xs:enumeration value="file-path"/>
<xs:enumeration value="user-name"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="BulkObservableFormat">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:Hash" minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="BulkObservableList" type="xs:string"/>
<xs:element name="IndicatorExpression">
<xs:complexType>
<xs:sequence maxOccurs="unbounded">
<xs:choice>
<xs:element ref="iodef:IndicatorExpression"/>
<xs:element ref="iodef:Observable"/>
<xs:element ref="iodef:ObservableReference"/>
<xs:element ref="iodef:IndicatorReference"/>
</xs:choice>
<xs:element ref="iodef:Confidence" minOccurs="0"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="operator"
type="indicatorexpression-operator-type"
use="optional" default="and"/>
<xs:attribute name="ext-operator"
type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="indicatorexpression-operator-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="not"/>
<xs:enumeration value="and"/>
<xs:enumeration value="or"/>
<xs:enumeration value="xor"/>
</xs:restriction>
</xs:simpleType>
<xs:element name="ObservableReference">
<xs:complexType>
<xs:attribute name="uid-ref" type="xs:IDREF" use="required"/>
</xs:complexType>
</xs:element>
<xs:element name="IndicatorReference">
<xs:complexType>
<xs:attribute name="uid-ref" type="xs:IDREF" use="optional"/>
<xs:attribute name="euid-ref" type="xs:string" use="optional"/>
<xs:attribute name="version" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:element name="AttackPhase">
<xs:complexType>
<xs:sequence>
<xs:element ref="iodef:AttackPhaseID"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:URL" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:AdditionalData"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element name="AttackPhaseID" type="xs:string"/>
<!--
===================================================================
== Miscellaneous classes ==
===================================================================
-->
<xs:element name="AdditionalData" type="iodef:ExtensionType"/>
<xs:element name="Description" type="iodef:MLStringType"/>
<xs:element name="URL" type="xs:anyURI"/>
<!--
===================================================================
== IODEF data types ==
===================================================================
-->
<xs:simpleType name="PositiveFloatType">
<xs:restriction base="xs:float">
<xs:minExclusive value="0"/>
</xs:restriction>
</xs:simpleType>
<xs:complexType name="MLStringType">
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute name="translation-id"
type="xs:string" use="optional"/>
<xs:attribute ref="xml:lang"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
<xs:simpleType name="PortlistType">
<xs:restriction base="xs:string">
<xs:pattern value="\d+(\-\d+)?(,\d+(\-\d+)?)*"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="TimezoneType">
<xs:restriction base="xs:string">
<xs:pattern
value="Z|[\+\-](0[0-9]|1[0-4]):[0-5][0-9]"/>
</xs:restriction>
</xs:simpleType>
<xs:complexType name="ExtensionType" mixed="true">
<xs:sequence>
<xs:any namespace="##any" processContents="lax"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="name" type="xs:string" use="optional"/>
<xs:attribute name="dtype"
type="iodef:dtype-type" use="required"/>
<xs:attribute name="ext-dtype" type="xs:string" use="optional"/>
<xs:attribute name="meaning" type="xs:string" use="optional"/>
<xs:attribute name="formatid" type="xs:string" use="optional"/>
<xs:attribute name="restriction"
type="iodef:restriction-type" use="optional"/>
<xs:attribute name="ext-restriction"
type="xs:string" use="optional"/>
<xs:attribute name="observable-id" type="xs:ID" use="optional"/>
</xs:complexType>
<xs:complexType name="SoftwareType">
<xs:sequence>
<xs:element ref="iodef:SoftwareReference" minOccurs="0"/>
<xs:element ref="iodef:URL"
minOccurs="0" maxOccurs="unbounded"/>
<xs:element ref="iodef:Description"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
<xs:element name="SoftwareReference">
<xs:complexType>
<xs:sequence>
<xs:any namespace="##any" processContents="lax"
minOccurs="0" maxOccurs="unbounded"/>
</xs:sequence>
<xs:attribute name="spec-name"
type="softwarereference-spec-name-type"
use="required"/>
<xs:attribute name="ext-spec-name"
type="xs:string" use="optional"/>
<xs:attribute name="dtype"
type="softwarereference-dtype-type"
use="optional"/>
<xs:attribute name="ext-dtype" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="softwarereference-spec-name-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="custom"/>
<xs:enumeration value="cpe"/>
<xs:enumeration value="swid"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="softwarereference-dtype-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="bytes"/>
<xs:enumeration value="integer"/>
<xs:enumeration value="real"/>
<xs:enumeration value="string"/>
<xs:enumeration value="xml"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
===================================================================
== Global attribute type declarations ==
===================================================================
-->
<xs:simpleType name="yes-no-unknown-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="yes"/>
<xs:enumeration value="no"/>
<xs:enumeration value="unknown"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="restriction-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="default"/>
<xs:enumeration value="public"/>
<xs:enumeration value="partner"/>
<xs:enumeration value="need-to-know"/>
<xs:enumeration value="private"/>
<xs:enumeration value="white"/>
<xs:enumeration value="green"/>
<xs:enumeration value="amber"/>
<xs:enumeration value="red"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="severity-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="low"/>
<xs:enumeration value="medium"/>
<xs:enumeration value="high"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="duration-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="second"/>
<xs:enumeration value="minute"/>
<xs:enumeration value="hour"/>
<xs:enumeration value="day"/>
<xs:enumeration value="month"/>
<xs:enumeration value="quarter"/>
<xs:enumeration value="year"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="action-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="nothing"/>
<xs:enumeration value="contact-source-site"/>
<xs:enumeration value="contact-target-site"/>
<xs:enumeration value="contact-sender"/>
<xs:enumeration value="investigate"/>
<xs:enumeration value="block-host"/>
<xs:enumeration value="block-network"/>
<xs:enumeration value="block-port"/>
<xs:enumeration value="rate-limit-host"/>
<xs:enumeration value="rate-limit-network"/>
<xs:enumeration value="rate-limit-port"/>
<xs:enumeration value="redirect-traffic"/>
<xs:enumeration value="honeypot"/>
<xs:enumeration value="upgrade-software"/>
<xs:enumeration value="rebuild-asset"/>
<xs:enumeration value="harden-asset"/>
<xs:enumeration value="remediate-other"/>
<xs:enumeration value="status-triage"/>
<xs:enumeration value="status-new-info"/>
<xs:enumeration value="watch-and-report"/>
<xs:enumeration value="defined-coa"/>
<xs:enumeration value="other"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<xs:simpleType name="dtype-type">
<xs:restriction base="xs:NMTOKEN">
<xs:enumeration value="boolean"/>
<xs:enumeration value="byte"/>
<xs:enumeration value="bytes"/>
<xs:enumeration value="character"/>
<xs:enumeration value="date-time"/>
<xs:enumeration value="integer"/>
<xs:enumeration value="ntpstamp"/>
<xs:enumeration value="portlist"/>
<xs:enumeration value="real"/>
<xs:enumeration value="string"/>
<xs:enumeration value="file"/>
<xs:enumeration value="path"/>
<xs:enumeration value="frame"/>
<xs:enumeration value="packet"/>
<xs:enumeration value="ipv4-packet"/>
<xs:enumeration value="ipv6-packet"/>
<xs:enumeration value="url"/>
<xs:enumeration value="csv"/>
<xs:enumeration value="winreg"/>
<xs:enumeration value="xml"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
</xs:schema>
The IODEF data model does not directly introduce security or privacy issues. However, as the data encoded by the IODEF might be considered sensitive by the parties exchanging it or by those described by it, care needs to be taken to ensure appropriate handling during the document construction, exchange, processing, archiving, subsequent retrieval, and analysis.
IODEFデータモデルは、セキュリティやプライバシーの問題を直接引き起こしません。ただし、IODEFによってエンコードされたデータは、それを交換する当事者またはそれによって記述されるデータによって機密と見なされる可能性があるため、ドキュメントの構築、交換、処理、アーカイブ、その後の取得、および分析中に適切に処理するように注意する必要があります。
The underlying messaging format and protocol used to exchange instances of the IODEF MUST provide appropriate guarantees of confidentiality, integrity, and authenticity. The use of a standardized security protocol is encouraged. The Real-time Inter-network Defense (RID) protocol [RFC6545] and its associated transport binding IODEF/RID over HTTP/TLS [RFC6546] provide such security.
IODEFのインスタンスを交換するために使用される基になるメッセージング形式とプロトコルは、機密性、完全性、および信頼性の適切な保証を提供する必要があります。標準化されたセキュリティプロトコルの使用をお勧めします。 Real-time Inter-Network Defense(RID)プロトコル[RFC6545]とそれに関連するトランスポートバインディングIODEF / RID over HTTP / TLS [RFC6546]は、このようなセキュリティを提供します。
An IODEF implementation may act on the data in the document. These actions might be explicitly requested in the document or the result of analytical logic that triggered on data in the document. For this reason, care must be taken by IODEF implementations to properly authenticate the sender and receiver of the document. The sender needs confidence that sensitive information and timely requests for action are sent to the correct recipient. The recipient may interpret the contents of the document differently based on who sent it or vary actions based on the sender. While the sender of the document may explicitly convey confidence in the data in a granular way using the Confidence class, the recipient is free to ignore or refine this information to make its own assessment. Ambiguous Confidence elements (where it is unclear to which of a set of other elements the Confidence element relates) in a document MUST be ignored by the recipient.
IODEF実装は、ドキュメント内のデータに作用する場合があります。これらのアクションは、ドキュメントで明示的に要求されたり、ドキュメント内のデータでトリガーされた分析ロジックの結果である可能性があります。このため、IODEF実装では、ドキュメントの送信者と受信者を適切に認証するように注意する必要があります。送信者は、機密情報とタイムリーなアクション要求が正しい受信者に送信されることを確信する必要があります。受信者は、送信者に基づいてドキュメントの内容を異なる方法で解釈したり、送信者に基づいてアクションを変更したりできます。ドキュメントの送信者は、Confidenceクラスを使用してデータの信頼性を細かく明示的に伝えることができますが、受信者はこの情報を無視または調整して独自の評価を行うことができます。文書内のあいまいな信頼要素(Confidence要素が他の要素のセットのどれに関連しているかが不明確な場合)は、受信者が無視する必要があります。
Certain classes may require out-of-band coordination to agree upon their semantics (e.g., Confidence@rating="low" or DefinedCOA). This coordination MUST occur prior to operational data exchange to prevent the incorrect interpretation of these select data elements. When parsing these data elements, implementations should validate, when possible, that they conform to the agreed upon semantics. These semantics may need to be periodically reevaluated.
特定のクラスでは、セマンティクスに同意するために帯域外の調整が必要になる場合があります(例:Confidence @ rating = "low"またはDefinedCOA)。この調整は、これらの選択されたデータ要素の誤った解釈を防ぐために、運用データ交換の前に行わなければなりません(MUST)。これらのデータ要素を解析するとき、実装は、可能であれば、合意されたセマンティクスに準拠していることを検証する必要があります。これらのセマンティクスは、定期的に再評価する必要がある場合があります。
Executable content of various forms could be embedded into the IODEF document directly or through an extension. Implementation MUST handle this content with care to prevent unintentional automated execution. The following classes are explicitly intended to represent content that might be executable: o All classes of type iodef:ExtensionType and the RecordPattern class can represent arbitrary binary strings such as legitimate software programs or malware.
さまざまな形式の実行可能コンテンツを、直接または拡張機能を介してIODEFドキュメントに埋め込むことができます。実装は、意図しない自動実行を防止するように注意してこのコンテンツを処理する必要があります。次のクラスは、実行可能である可能性のあるコンテンツを表すことを明示的に意図しています。iodef:ExtensionTypeタイプのすべてのクラスとRecordPatternクラスは、正当なソフトウェアプログラムやマルウェアなどの任意のバイナリ文字列を表すことができます。
o The EmailMessage and EmailBody classes can represent email attachments that can contain arbitrary content.
o EmailMessageクラスとEmailBodyクラスは、任意のコンテンツを含むことができる電子メールの添付ファイルを表すことができます。
o The DetectionPattern class could specify a machine-readable configuration that directs the execution of the corresponding tool.
o DetectionPatternクラスは、対応するツールの実行を指示する機械可読構成を指定できます。
Per Section 4.3, IODEF implementations will need to periodically consult the IANA registries specified in Section 10.2 to discover newly registered enumerated attribute values. These implementations MUST communicate with IANA in a way that ensures the integrity of the values and the authenticity of the source. HTTPS over TLS [RFC2818][RFC5246] provides such security.
セクション4.3に従って、IODEF実装は、セクション10.2で指定されたIANAレジストリを定期的に調べて、新しく登録された列挙型属性値を検出する必要があります。これらの実装は、値の整合性とソースの信頼性を保証する方法でIANAと通信する必要があります。 HTTPS over TLS [RFC2818] [RFC5246]は、このようなセキュリティを提供します。
The IODEF contains numerous fields that are identifiers that could be linked to an individual or organization. IODEF documents may contain sensitive information about these identified parties; repeated document exchanges about the same and related parties may enable the correlation of data about them. Likewise, a party may report on another to a third party without their knowledge.
IODEFには、個人または組織にリンクできる識別子である多数のフィールドが含まれています。 IODEF文書には、これらの特定された当事者に関する機密情報が含まれる場合があります。同じ関係者と関連する関係者について繰り返しドキュメント交換を行うと、それらに関するデータの相関が可能になる場合があります。同様に、当事者は自分の知らないうちに第三者に別の当事者を報告する場合があります。
When creating an IODEF document, careful consideration must be given to what information is shared. Personal identifiers and attributable sensitive information should only be shared when necessary.
IODEFドキュメントを作成するときは、どの情報が共有されるかを慎重に検討する必要があります。個人識別子と帰属する機密情報は、必要な場合にのみ共有する必要があります。
When exchanging documents, transport security MUST provide document-level confidentiality. XML element-level confidentiality can also be provided by using [W3C.XMLENC].
ドキュメントを交換する場合、トランスポートセキュリティはドキュメントレベルの機密性を提供する必要があります。 XML要素レベルの機密性は、[W3C.XMLENC]を使用して提供することもできます。
In order to suggest data processing and handling guidelines of the encoded information, the IODEF allows a document sender to convey a privacy policy using the restriction attribute. The various instances of this attribute allow different data elements of the document to be covered by dissimilar policies. While flexible, it must be stressed that this approach only serves as a guideline from the sender, as the recipient is free to ignore it.
エンコードされた情報のデータ処理と処理のガイドラインを提案するために、IODEFでは、ドキュメント送信者が制限属性を使用してプライバシーポリシーを伝達できます。この属性のさまざまなインスタンスにより、ドキュメントのさまざまなデータ要素を異なるポリシーでカバーできます。柔軟ではありますが、このアプローチは受信者が自由に無視できるため、送信者からのガイドラインとしてのみ機能することを強調する必要があります。
Although outside of the scope of an IODEF implementation, the contents of IODEF documents and any derived analysis should be archived with appropriate confidentiality controls. Likewise, access to retrieve and analyze this data should be restricted to authorized users.
IODEF実装の範囲外ですが、IODEF文書の内容と派生した分析は、適切な機密管理を使用してアーカイブする必要があります。同様に、このデータを取得して分析するためのアクセスは、許可されたユーザーに制限する必要があります。
This document registers a namespace, an XML schema, and a number of registries that map to enumerated values defined in the data model. It also defines an Expert Review process for IODEF-related XML registry entries.
このドキュメントでは、名前空間、XMLスキーマ、およびデータモデルで定義された列挙値にマップするいくつかのレジストリを登録します。また、IODEF関連のXMLレジストリエントリのエキスパートレビュープロセスも定義します。
This document uses URNs to describe an XML namespace and schema conforming to a registry mechanism described in [RFC3688].
このドキュメントでは、URNを使用して、[RFC3688]で説明されているレジストリメカニズムに準拠したXML名前空間とスキーマについて説明します。
Registration for the IODEF namespace:
IODEF名前空間の登録:
o URI: urn:ietf:params:xml:ns:iodef-2.0
o うり: うrん:いえtf:ぱらms:xml:んs:いおでfー2。0
o Registrant Contact: See the author in the "Author's Address" section of this document.
o 登録者の連絡先:このドキュメントの「著者のアドレス」セクションで著者を参照してください。
o XML: None. Namespace URIs do not represent an XML specification.
o XML:なし。名前空間URIはXML仕様を表していません。
Registration for the IODEF XML schema:
IODEF XMLスキーマの登録:
o URI: urn:ietf:params:xml:schema:iodef-2.0
o うり: うrん:いえtf:ぱらms:xml:sちぇま:いおでfー2。0
o Registrant Contact: See the first author of the "Author's Address" section of this document.
o 登録者の連絡先:このドキュメントの「著者のアドレス」セクションの最初の著者を参照してください。
o XML: See Section 8 of this document.
o XML:このドキュメントのセクション8を参照してください。
This document creates 34 identically structured registries to be managed by IANA:
このドキュメントは、IANAによって管理される34の同じ構造のレジストリを作成します。
o Name of the parent registry: "Incident Object Description Exchange Format v2 (IODEF)"
o 親レジストリの名前:「インシデントオブジェクト記述交換フォーマットv2(IODEF)」
o URL of the registry: <http://www.iana.org/assignments/iodef2>
o レジストリのURL:<http://www.iana.org/assignments/iodef2>
o Namespace format: A registry entry consists of:
o 名前空間の形式:レジストリエントリは次のもので構成されます。
* Value. A value for a given IODEF attribute. It MUST conform to the formatting specified by the IODEF ENUM data type which is implemented as an "xs:NMTOKEN" type per Section 3.3.4 of [W3C.SCHEMA.DTYPES]. The value SHOULD conform to the convention specified in Section 5.2.
* 値。特定のIODEF属性の値。 [W3C.SCHEMA.DTYPES]のセクション3.3.4に従って「xs:NMTOKEN」型として実装されるIODEF ENUMデータ型で指定されたフォーマットに準拠する必要があります。値は、セクション5.2で指定された規則に準拠する必要があります(SHOULD)。
* Description. A short description of the enumerated value.
* 説明。列挙値の簡単な説明。
* Reference. An optional list of URIs to further describe the value.
* 参照。値をさらに説明するためのURIのオプションのリスト。
o Allocation policy: Expert Review per [RFC5226]. This reviewer will ensure that the requested registry entry conforms to the prescribed formatting. The reviewer will also ensure that the entry is an appropriate value for the attribute per the information model (Section 3).
o 割り当てポリシー:[RFC5226]によるExpert Review。このレビュー担当者は、要求されたレジストリエントリが所定のフォーマットに準拠していることを確認します。レビュー担当者は、エントリが情報モデルごとの属性の適切な値であることも確認します(セクション3)。
The registries to be created are named in the "Registry Name" column of Table 1. Each registry is initially populated with values and descriptions that come from an attribute specified in the IODEF schema (Section 8) whose description is found in a sub-section of the information model (Section 3). The initial values for the Value and Description fields of a given registry are listed in the "IV (Value)" and "IV (Desc.)" columns, respectively. The "IV (Value)" points to a given schema type per Section 8. Each enumerated value in the schema gets a corresponding entry in a given registry. The "IV (Desc.)" points to a section in the text of this document that describes each enumerated value. The initial value of the Reference field of every registry entry described below should be this document.
作成されるレジストリーは、表1の「レジストリー名」列で名前が付けられます。各レジストリーには、最初に、サブセクションに説明があるIODEFスキーマ(セクション8)で指定された属性からの値と説明が入力されます。情報モデル(セクション3)の。特定のレジストリの「値」フィールドと「説明」フィールドの初期値は、それぞれ「IV(値)」列と「IV(説明)」列にリストされています。 「IV(値)」は、セクション8で指定されたスキーマタイプを指します。スキーマ内の各列挙値は、指定されたレジストリ内の対応するエントリを取得します。 「IV(説明)」は、このドキュメントの本文で、列挙された各値を説明するセクションを指します。以下で説明するすべてのレジストリエントリのReferenceフィールドの初期値は、このドキュメントである必要があります。
+-------------------------+-----------------------------+-----------+
| Registry Name | IV (Value) | IV |
| | | (Desc.) |
+-------------------------+-----------------------------+-----------+
| Restriction | iodef-restriction-type | 3.3.1 |
| | | |
| Incident-purpose | incident-purpose-type | 3.2 |
| | | |
| Incident-status | incident-status-type | 3.2 |
| | | |
| Contact-role | contact-role-type | 3.9 |
| | | |
| Contact-type | contact-type-type | 3.9 |
| | | |
| RegistryHandle-registry | registryhandle-registry- | 3.9.1 |
| | type | |
| | | |
| PostalAddress-type | postaladdress-type-type | 3.9.2 |
| | | |
| Telephone-type | telephone-type-type | 3.9.4 |
| | | |
| Email-type | email-type-type | 3.9.3 |
| | | |
| Expectation-action | action-type | 3.15 |
| | | |
| Discovery-source | discovery-source-type | 3.10 |
| | | |
| SystemImpact-type | systemimpact-type-type | 3.12.1 |
| | | |
| BusinessImpact-severity | businessimpact-severity- | 3.12.2 |
| | type | |
| | | |
| BusinessImpact-type | businessimpact-type-type | 3.12.2 |
| | | |
| TimeImpact-metric | timeimpact-metric-type | 3.12.3 |
| | | |
| TimeImpact-duration | duration-type | 3.12.3 |
| | | |
| Confidence-rating | confidence-rating-type | 3.12.5 |
| | | |
| NodeRole-category | noderole-category-type | 3.18.2 |
| | | |
| System-category | system-category-type | 3.17 |
| | | |
| System-ownership | system-ownership-type | 3.17 |
| | | |
| Address-category | address-category-type | 3.18.1 |
| | | |
| Counter-type | counter-type-type | 3.18.3 |
| | | |
| Counter-unit | counter-unit-type | 3.18.3 |
| | | |
| DomainData-system- | domaindata-system-status- | 3.19 |
| status | type | |
| | | |
| DomainData-domain- | domaindata-domain-status- | 3.19 |
| status | type | |
| | | |
| RecordPattern-type | recordpattern-type-type | 3.22.2 |
| | | |
| RecordPattern- | recordpattern-offsetunit- | 3.22.2 |
| offsetunit | type | |
| | | |
| Key-registryaction | key-registryaction-type | 3.23.1 |
| | | |
| HashData-scope | hashdata-scope-type | 3.26 |
| | | |
| BulkObservable-type | bulkobservable-type-type | 3.29.3.1 |
| | | |
| IndicatorExpression- | indicatorexpression- | 3.29.4 |
| operator | operator-type | |
| | | |
| ExtensionType-dtype | dtype-type | 2.16 |
| | | |
| SoftwareReference-spec- | softwarereference-spec-id- | 2.15.1 |
| id | type | |
| | | |
| SoftwareReference-dtype | softwarereference-dtype- | 2.15.1 |
| | type | |
+-------------------------+-----------------------------+-----------+
Table 1: IANA Enumerated Value Registries
表1:IANA列挙値レジストリ
IODEF class extensions, per Section 5.2, could register their namespaces and schemas with the IANA XML namespace ("ns" on <http://www.iana.org/assignments/xml-registry/>) and schema registries ("schema" on <http://www.iana.org/assignments/ xml-registry/>) described in [RFC3688]. In addition to any reviews required by IANA, changes to the XML "schema" registry for schema names beginning with "urn:ietf:params:xml:schema:iodef" are subject to an additional IODEF Expert Review [RFC5226] to ensure compatibility with IODEF and other existing IODEF extensions.
セクション5.2のIODEFクラス拡張は、IANA XML名前空間(<http://www.iana.org/assignments/xml-registry/>の「ns」)とスキーマレジストリ(「スキーマ」)に名前空間とスキーマを登録できます[RFC3688]で説明されている<http://www.iana.org/assignments/ xml-registry />を参照)。 IANAで必要なすべてのレビューに加えて、「urn:ietf:params:xml:schema:iodef」で始まるスキーマ名のXML「スキーマ」レジストリへの変更は、との互換性を確保するために追加のIODEFエキスパートレビュー[RFC5226]の対象となりますIODEFおよびその他の既存のIODEF拡張。
The IODEF expert(s) for these reviews will be designated by the IETF Security Area Directors.
これらのレビューのIODEFエキスパートは、IETFセキュリティエリアディレクターによって指名されます。
This document obsoletes [RFC6685].
このドキュメントは廃止されました[RFC6685]。
[E.164] ITU Telecommunication Standardization Sector, "The International Public Telecommunication Numbering Plan", ITU-T Recommendation E.164, November 2010.
[E.164] ITU Telecommunication Standardization Sector、「The International Public Telecommunication Numbering Plan」、ITU-T Recommendation E.164、2010年11月。
[IANA.Media] IANA, "Media Types", <http://www.iana.org/assignments/media-types/>.
[IANA.Media] IANA、「メディアタイプ」、<http://www.iana.org/assignments/media-types/>。
[IANA.Ports] IANA, "Service Name and Transport Protocol Port Number Registry", <http://www.iana.org/assignments/ service-names-port-numbers/>.
[IANA.Ports] IANA、「サービス名とトランスポートプロトコルのポート番号レジストリ」、<http://www.iana.org/assignments/ service-names-port-numbers />。
[IANA.Protocols] IANA, "Assigned Internet Protocol Numbers", <http://www.iana.org/assignments/protocol-numbers/>.
[IANA.Protocols] IANA、「割り当てられたインターネットプロトコル番号」、<http://www.iana.org/assignments/protocol-numbers/>。
[IEEE.POSIX] IEEE, "Information Technology - Portable Operating System Interface (POSIX) Base Specifications, Issue 7", IEEE Std 1003.1-2001, DOI 10.1109/IEEESTD.2009.5393893, September 2009.
[IEEE.POSIX] IEEE、「情報技術-ポータブルオペレーティングシステムインターフェイス(POSIX)基本仕様、第7号」、IEEE Std 1003.1-2001、DOI 10.1109 / IEEESTD.2009.5393893、2009年9月。
[ISO19770] International Organization for Standardization, "Information technology -- Software asset management -- Part 2: Software identification tag", ISO Standard 19770-2:2015, October 2015.
[ISO19770]国際標準化機構、「情報技術-ソフトウェア資産管理-パート2:ソフトウェア識別タグ」、ISO標準19770-2:2015、2015年10月。
[ISO4217] International Organization for Standardization, "Codes for the representation of currencies", ISO 4217:2015, 2015.
[ISO4217]国際標準化機構、「通貨を表すためのコード」、ISO 4217:2015、2015。
[NIST.CPE] Cheikes, B., Waltermire, D., and K. Scarfone, "Common Platform Enumeration: Naming Specification Version 2.3", NIST Interagency Report 7695, August 2011, <http://csrc.nist.gov/publications/nistir/ir7695/ NISTIR-7695-CPE-Naming.pdf>.
[NIST.CPE] Cheikes、B.、Waltermire、D。、およびK. Scarfone、「Common Platform Enumeration:Naming Specification Version 2.3」、NIST Interagency Report 7695、2011年8月、<http://csrc.nist.gov/ Publications / nistir / ir7695 / NISTIR-7695-CPE-Naming.pdf>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。
[RFC2781] Hoffman, P. and F. Yergeau, "UTF-16, an encoding of ISO 10646", RFC 2781, DOI 10.17487/RFC2781, February 2000, <http://www.rfc-editor.org/info/rfc2781>.
[RFC2781] Hoffman、P。およびF. Yergeau、「UTF-16、ISO 10646のエンコーディング」、RFC 2781、DOI 10.17487 / RFC2781、2000年2月、<http://www.rfc-editor.org/info/ rfc2781>。
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, DOI 10.17487/RFC3629, November 2003, <http://www.rfc-editor.org/info/rfc3629>.
[RFC3629] Yergeau、F。、「UTF-8、ISO 10646の変換フォーマット」、STD 63、RFC 3629、DOI 10.17487 / RFC3629、2003年11月、<http://www.rfc-editor.org/info/ rfc3629>。
[RFC3688] Mealling, M., "The IETF XML Registry", BCP 81, RFC 3688, DOI 10.17487/RFC3688, January 2004, <http://www.rfc-editor.org/info/rfc3688>.
[RFC3688] Mealling、M。、「The IETF XML Registry」、BCP 81、RFC 3688、DOI 10.17487 / RFC3688、2004年1月、<http://www.rfc-editor.org/info/rfc3688>。
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, DOI 10.17487/RFC3986, January 2005, <http://www.rfc-editor.org/info/rfc3986>.
[RFC3986] Berners-Lee、T.、Fielding、R。、およびL. Masinter、「Uniform Resource Identifier(URI):Generic Syntax」、STD 66、RFC 3986、DOI 10.17487 / RFC3986、2005年1月、<http:/ /www.rfc-editor.org/info/rfc3986>。
[RFC4291] Hinden, R. and S. Deering, "IP Version 6 Addressing Architecture", RFC 4291, DOI 10.17487/RFC4291, February 2006, <http://www.rfc-editor.org/info/rfc4291>.
[RFC4291] Hinden、R。およびS. Deering、「IPバージョン6アドレッシングアーキテクチャ」、RFC 4291、DOI 10.17487 / RFC4291、2006年2月、<http://www.rfc-editor.org/info/rfc4291>。
[RFC4519] Sciberras, A., Ed., "Lightweight Directory Access Protocol (LDAP): Schema for User Applications", RFC 4519, DOI 10.17487/RFC4519, June 2006, <http://www.rfc-editor.org/info/rfc4519>.
[RFC4519] Sciberras、A。、編、「Lightweight Directory Access Protocol(LDAP):Schema for User Applications」、RFC 4519、DOI 10.17487 / RFC4519、2006年6月、<http://www.rfc-editor.org/ info / rfc4519>。
[RFC5322] Resnick, P., Ed., "Internet Message Format", RFC 5322, DOI 10.17487/RFC5322, October 2008, <http://www.rfc-editor.org/info/rfc5322>.
[RFC5322] Resnick、P。、編、「インターネットメッセージ形式」、RFC 5322、DOI 10.17487 / RFC5322、2008年10月、<http://www.rfc-editor.org/info/rfc5322>。
[RFC5646] Phillips, A., Ed. and M. Davis, Ed., "Tags for Identifying Languages", BCP 47, RFC 5646, DOI 10.17487/RFC5646, September 2009, <http://www.rfc-editor.org/info/rfc5646>.
[RFC5646]フィリップス、A。、エド。 M.デイビス編、「言語を識別するためのタグ」、BCP 47、RFC 5646、DOI 10.17487 / RFC5646、2009年9月、<http://www.rfc-editor.org/info/rfc5646>。
[RFC5952] Kawamura, S. and M. Kawashima, "A Recommendation for IPv6 Address Text Representation", RFC 5952, DOI 10.17487/RFC5952, August 2010, <http://www.rfc-editor.org/info/rfc5952>.
[RFC5952] Kawamura、S. and M. Kawashima、 "A Recommendation for IPv6 Address Text Representation"、RFC 5952、DOI 10.17487 / RFC5952、August 2010、<http://www.rfc-editor.org/info/rfc5952> 。
[RFC6531] Yao, J. and W. Mao, "SMTP Extension for Internationalized Email", RFC 6531, DOI 10.17487/RFC6531, February 2012, <http://www.rfc-editor.org/info/rfc6531>.
[RFC6531] Yao、J。およびW. Mao、「SMTP Extension for Internationalized Email」、RFC 6531、DOI 10.17487 / RFC6531、2012年2月、<http://www.rfc-editor.org/info/rfc6531>。
[RFC7203] Takahashi, T., Landfield, K., and Y. Kadobayashi, "An Incident Object Description Exchange Format (IODEF) Extension for Structured Cybersecurity Information", RFC 7203, DOI 10.17487/RFC7203, April 2014, <http://www.rfc-editor.org/info/rfc7203>.
[RFC7203]高橋敏夫、ランドフィールドK.、および門林裕二、「構造化サイバーセキュリティ情報のインシデントオブジェクト記述交換フォーマット(IODEF)拡張」、RFC 7203、DOI 10.17487 / RFC7203、2014年4月、<http:/ /www.rfc-editor.org/info/rfc7203>。
[RFC7495] Montville, A. and D. Black, "Enumeration Reference Format for the Incident Object Description Exchange Format (IODEF)", RFC 7495, DOI 10.17487/RFC7495, March 2015, <http://www.rfc-editor.org/info/rfc7495>.
[RFC7495] Montville、A。およびD. Black、「Incident Object Description Exchange Format(IODEF)の列挙参照フォーマット」、RFC 7495、DOI 10.17487 / RFC7495、2015年3月、<http://www.rfc-editor。 org / info / rfc7495>。
[W3C.SCHEMA] Thompson, H., Beech, D., Maloney, M., and N. Mendelsohn, "XML Schema Part 1: Structures Second Edition", W3C Recommendation REC-xmlschema-1-20041028, October 2004, <http://www.w3.org/TR/xmlschema-1/>.
[W3C.SCHEMA] Thompson、H.、Beech、D.、Maloney、M。、およびN. Mendelsohn、「XML Schema Part 1:Structures Second Edition」、W3C勧告REC-xmlschema-1-20041028、2004年10月、< http://www.w3.org/TR/xmlschema-1/>。
[W3C.SCHEMA.DTYPES] Biron, P. and A. Malhotra, "XML Schema Part 2: Datatypes Second Edition", W3C Recommendation REC-xmlschema-2-20041028, October 2004, <http://www.w3.org/TR/xmlschema-2/>.
[W3C.SCHEMA.DTYPES] Biron、P。およびA. Malhotra、「XML Schema Part 2:Datatypes Second Edition」、W3C勧告REC-xmlschema-2-20041028、2004年10月、<http://www.w3.org / TR / xmlschema-2 />。
[W3C.XML] Bray, T., Paoli, J., Sperberg-McQueen, M., Maler, E., and F. Yergeau, "Extensible Markup Language (XML) 1.0 (Fifth Edition)", W3C Recommendation REC-xml-20081126, November 2008, <http://www.w3.org/TR/2008/REC-xml-20081126/>.
[W3C.XML] Bray、T.、Paoli、J.、Sperberg-McQueen、M.、Maler、E。、およびF. Yergeau、「Extensible Markup Language(XML)1.0(Fifth Edition)」、W3C勧告REC- xml-20081126、2008年11月、<http://www.w3.org/TR/2008/REC-xml-20081126/>。
[W3C.XMLNS] Bray, T., Hollander, D., Layman, A., Tobin, R., and H. Thompson, "Namespaces in XML 1.0 (Third Edition)", W3C Recommendation REC-xml-names-20091208, December 2009, <http://www.w3.org/TR/2009/REC-xml-names-20091208/>.
[W3C.XMLNS] Bray、T.、Hollander、D.、Layman、A.、Tobin、R。、およびH. Thompson、「Namespaces in XML 1.0(Third Edition)」、W3C勧告REC-xml-names-20091208 、2009年12月、<http://www.w3.org/TR/2009/REC-xml-names-20091208/>。
[W3C.XMLSIG] Eastlake, D., Reagle, J., Solo, D., Hirsch, F., and T. Roessler, "XML Signature Syntax and Processing (Second Edition)", W3C Recommendation REC-xmldsig-core-20080610, June 2008, <http://www.w3.org/TR/xmldsig-core/>.
[W3C.XMLSIG] Eastlake、D.、Reagle、J.、Solo、D.、Hirsch、F。、およびT. Roessler、「XML署名の構文と処理(第2版)」、W3C勧告REC-xmldsig-core- 20080610、2008年6月、<http://www.w3.org/TR/xmldsig-core/>。
[W3C.XPATH] Robie, J., Dyck, M., and J. Spiegel, "XML Path Language (XPath) 3.1", W3C Candidate Recommendation CR-xpath-31-20151217, December 2015, <https://www.w3.org/TR/xpath-3/>.
[W3C.XPATH] Robie、J.、Dyck、M。、およびJ. Spiegel、「XMLパス言語(XPath)3.1」、W3C候補の推奨事項CR-xpath-31-20151217、2015年12月、<https:// www .w3.org / TR / xpath-3 />。
[KB310516] Microsoft Corporation, "How to add, modify, or delete registry subkeys and values by using a .reg file", September 2013, <https://support.microsoft.com/en-us/kb/310516>.
[KB310516] Microsoft Corporation、「。regファイルを使用してレジストリサブキーと値を追加、変更、または削除する方法」、2013年9月、<https://support.microsoft.com/en-us/kb/310516>。
[NIST800.61rev2] National Institute of Standards and Technology, "Computer Security Incident Handling Guide", NIST Special Publication 800-61, Revision 2, August 2012, <http://dx.doi.org/10.6028/NIST.SP.800-61r2>.
[NIST800.61rev2]米国国立標準技術研究所、「コンピュータセキュリティインシデント処理ガイド」、NIST Special Publication 800-61、Revision 2、2012年8月、<http://dx.doi.org/10.6028/NIST.SP。 800-61r2>。
[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, DOI 10.17487/RFC2818, May 2000, <http://www.rfc-editor.org/info/rfc2818>.
[RFC2818] Rescorla、E。、「HTTP Over TLS」、RFC 2818、DOI 10.17487 / RFC2818、2000年5月、<http://www.rfc-editor.org/info/rfc2818>。
[RFC3982] Newton, A. and M. Sanz, "IRIS: A Domain Registry (dreg) Type for the Internet Registry Information Service (IRIS)", RFC 3982, DOI 10.17487/RFC3982, January 2005, <http://www.rfc-editor.org/info/rfc3982>.
[RFC3982]ニュートン、A。およびM.サンズ、「IRIS:A Domain Registry(dreg)Type for the Internet Registry Information Service(IRIS)」、RFC 3982、DOI 10.17487 / RFC3982、2005年1月、<http:// www .rfc-editor.org / info / rfc3982>。
[RFC4180] Shafranovich, Y., "Common Format and MIME Type for Comma-Separated Values (CSV) Files", RFC 4180, DOI 10.17487/RFC4180, October 2005, <http://www.rfc-editor.org/info/rfc4180>.
[RFC4180] Shafranovich、Y。、「Comma-Separated Values(CSV)Filesの一般的な形式とMIMEタイプ」、RFC 4180、DOI 10.17487 / RFC4180、2005年10月、<http://www.rfc-editor.org/info / rfc4180>。
[RFC5070] Danyliw, R., Meijer, J., and Y. Demchenko, "The Incident Object Description Exchange Format", RFC 5070, DOI 10.17487/RFC5070, December 2007, <http://www.rfc-editor.org/info/rfc5070>.
[RFC5070] Danyliw、R.、Meijer、J。、およびY. Demchenko、「The Incident Object Description Exchange Format」、RFC 5070、DOI 10.17487 / RFC5070、2007年12月、<http://www.rfc-editor.org / info / rfc5070>。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, DOI 10.17487/RFC5226, May 2008, <http://www.rfc-editor.org/info/rfc5226>.
[RFC5226] Narten、T。およびH. Alvestrand、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 5226、DOI 10.17487 / RFC5226、2008年5月、<http://www.rfc-editor.org / info / rfc5226>。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, DOI 10.17487/RFC5246, August 2008, <http://www.rfc-editor.org/info/rfc5246>.
[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、DOI 10.17487 / RFC5246、2008年8月、<http://www.rfc-editor.org/info / rfc5246>。
[RFC5901] Cain, P. and D. Jevans, "Extensions to the IODEF-Document Class for Reporting Phishing", RFC 5901, DOI 10.17487/RFC5901, July 2010, <http://www.rfc-editor.org/info/rfc5901>.
[RFC5901] Cain、P。およびD. Jevans、「フィッシングを報告するためのIODEF-Documentクラスの拡張」、RFC 5901、DOI 10.17487 / RFC5901、2010年7月、<http://www.rfc-editor.org/info / rfc5901>。
[RFC6545] Moriarty, K., "Real-time Inter-network Defense (RID)", RFC 6545, DOI 10.17487/RFC6545, April 2012, <http://www.rfc-editor.org/info/rfc6545>.
[RFC6545] Moriarty、K。、「Real-time Inter-network Defense(RID)」、RFC 6545、DOI 10.17487 / RFC6545、2012年4月、<http://www.rfc-editor.org/info/rfc6545>。
[RFC6546] Trammell, B., "Transport of Real-time Inter-network Defense (RID) Messages over HTTP/TLS", RFC 6546, DOI 10.17487/RFC6546, April 2012, <http://www.rfc-editor.org/info/rfc6546>.
[RFC6546] Trammell、B。、「HTTP / TLS経由のリアルタイムネットワーク間防御(RID)メッセージのトランスポート」、RFC 6546、DOI 10.17487 / RFC6546、2012年4月、<http://www.rfc-editor。 org / info / rfc6546>。
[RFC6685] Trammell, B., "Expert Review for Incident Object Description Exchange Format (IODEF) Extensions in IANA XML Registry", RFC 6685, DOI 10.17487/RFC6685, July 2012, <http://www.rfc-editor.org/info/rfc6685>.
[RFC6685] Trammell、B。、「IANA XMLレジストリのインシデントオブジェクト記述交換フォーマット(IODEF)拡張のエキスパートレビュー」、RFC 6685、DOI 10.17487 / RFC6685、2012年7月、<http://www.rfc-editor.org / info / rfc6685>。
[W3C.XMLENC] Eastlake, D., Reagle, J., Solo, D., Hirsch, F., Nystrom, M., Roessler, T., and K. Yiu, "XML Encryption Syntax and Processing Version 1.1", W3C Recommendation REC-xmldsig-core1-20130411, April 2013, <https://www.w3.org/TR/xmlenc-core1/>.
[W3C.XMLENC] Eastlake、D.、Reagle、J.、Solo、D.、Hirsch、F.、Nystrom、M.、Roessler、T。、およびK. Yiu、「XML暗号化構文および処理バージョン1.1」、 W3C勧告REC-xmldsig-core1-20130411、2013年4月、<https://www.w3.org/TR/xmlenc-core1/>。
Acknowledgments
謝辞
Thanks to Paul Stoecker for his editorial leadership in the transition of an early draft to the current document.
初期ドラフトから現在のドキュメントへの移行における編集上のリーダーシップについて、Paul Stoeckerに感謝します。
Thanks to Kathleen Moriarty, Brian Trammel, Alexey Melnikov, Takeshi Takahashi, David Waltermire, and Sean Turner (as the MILE working group chairs, secretary, and area directors) for providing feedback and coordination of this document.
このドキュメントのフィードバックと調整を提供してくれたKathleen Moriarty、Brian Trammel、Alexey Melnikov、Takeshi Takahashi、David Waltermire、およびSean Turner(MILEワーキンググループチェア、秘書、およびエリアディレクター)に感謝します。
Thanks to the following individuals (listed alphabetically) who provided feedback during the meetings, on the mailing list, or through implementation experience: Jerome Athias, David Black, Eric Burger, Toma Cejka, Patrick Curry, John Field, Christopher Harrington, Chris Inacio, Panos Kampanakis, David Misell, Daisuke Miyamoto, Adam Montville, Robert Moskowitz, Lagadec Philippe, Tony Rutkowski, Mio Suzuki, and Nik Teague.
会議中、メーリングリスト、または実装経験を通じてフィードバックを提供してくれた次の個人(アルファベット順)に感謝します。ジェロームアシアス、デビッドブラック、エリックバーガー、トマセイカ、パトリックカリー、ジョンフィールド、クリストファーハリントン、クリスイナシオ、パノスカンパナキス、デビッドマイゼル、宮本大輔、アダムモントビル、ロバートモスコウィッツ、ラガデックフィリップ、トニールトコウスキー、鈴木美緒、ニックティーグ。
Author's Address
著者のアドレス
Roman Danyliw CERT Software Engineering Institute Carnegie Mellon University 4500 Fifth Avenue Pittsburgh, PA United States of America
Roman Danyliw CERTソフトウェアエンジニアリングインスティテュートカーネギーメロン大学4500フィフスアベニューピッツバーグ、ペンシルバニア州アメリカ合衆国
Email: rdd@cert.org