来源:https://idea.cesnet.cz/en/index
IDEA是入侵检测可扩展警报的缩写。尽管蜜罐、代理、探测探针之间存在各种通信模型,但由于一般使用的各种限制,没有一个真正被使用。考虑到现有的格式、它们的优点和缺点,这个想法试图定义当今的需求并为安全事件模型的可行解决方案提供基础。
许多管理员运行各种类型的入侵检测系统,如蜜罐、系统或系统日志的分析程序、流量分析程序、netflow探测器或其他。每天都会生成大量数据,但大多数数据都是本地的。管理员筛选出与他们相关的内容,剩下的数据大部分没有使用。
这些数据不应该白白浪费——在这里不可用的数据在那里可能有用,而且当来自不同来源的数据合并和关联时。此外,在过去的几年里,出现了一些自动事件报告交换的项目,即Warden, AbuseHelper, IntelMQ, n6, Megatron, CIF和Prelude)。
安全事件交换的格式不是什么新东西——确实存在定义允许这种交换的语言或格式的尝试,但是没有一个非常成功。我们意识到我们不能创造出完美的方案,从来就没有“一刀切”的解决方案。我们希望在IDMEF的复杂性和!AbuseHelper的自由精神和结构(或缺乏)之间找到一个中间地带,从现有项目的缺陷中学习,并根据作为CSIRT团队成员的经验,考虑到该领域的最新发展和需求,对其中一些项目提出解决方案。
长话短说——为了说明问题,这是一个JSON序列化的综合安全事件的例子。
网友评论