Поле | Описание |
ID | Уникальный идентификатор протокола |
protocol | Номер протокола. В соответствии со спецификацией IP (UDP - 17, TCP – 6…). |
name | Имя протокола |
description | Описание |
Основные данные о событии СОВ. Таблицы
Имя таблицы | Назначение |
Message | Содержит данные, идентифицирующие сообщение о событии, модуль-источник и время генерации сообщения |
Heartbeat | Содержит данные, идентифицирующие сообщение о состоянии модуля СОВ |
Alert | Содержит данные, идентифицирующие предупреждение модуля СОВ, а также данные о фиксации события, о времени выполнения его анализа, данные, идентифицирующие класс (например, идентификатор сигнатуры) сообщения |
Assessment | Данные об оценке предупреждения |
Reaction | Хранит связь между различными сообщениями СОВ (какие из сообщений использовались при генерации некоторого сообщения) |
Alert_source | Данные, идентифицирующие хост-источник действий, при анализе которых было сгенерировано предупреждение |
Alert_target | Данные, идентифицирующие хост-цель действий, при анализе которых было сгенерировано предупреждение |
Основные данные о событии СОВ. Поля таблиц
Message
Поле | Описание |
ID | Уникальный идентификатор сообщения о событии |
IDS_Module | Идентификатор модуля, сгенерировавшего сообщение. Используется в модели IDMEF. |
module_internal_id | Специфичный (уникальный) для модуля идентификатор сообщения |
create_time | Время генерации сообщения. Используется в модели IDMEF. |
Heartbeat
Поле | Описание |
ID | Уникальный идентификатор сообщения о событии |
Alert
Поле | Описание |
ID | Уникальный идентификатор сообщения о событии |
detect_time | Время фиксации события. Используется в модели IDMEF. |
analyzer_time | Время выполнения анализа. Используется в модели IDMEF. |
signature | Идентификатор класса/сигнатуры события. Используется в модели IDMEF. См. табл. signature. |
Assessment
Поле | Описание |
ID | Уникальный идентификатор предупреждения. Используется в модели IDMEF. См. табл. Alert. |
Confidence | Степень уверенности в том, что данное событие произошло. Используется в модели IDMEF. По умолчанию 1.0. |
Impact | Степень возможного влияния на целевой объект. Используется в модели IDMEF. По умолчанию 1.0. |
Reaction
Поле | Описание |
message | Идентификатор сообщения, сгенерированного в результате анализа. См. табл. Message. |
reaction | Идентификатор сообщения, использованного в ходе проведения анализа. Используется в модели IDMEF в качестве атрибута action объекта Assessment. См. табл. Message. |
Alert_source
Поле | Описание |
ID | Уникальный идентификатор сообщения о событии. См. табл. Message. |
spoofed | Источник использует подложный адрес. Используется в модели IDMEF. |
interface | Интерфейс источника, использованный для действий, приведших к генерации предупреждения. Для сетевых модулей это может быть сетевой интерфейс, для хостовых - по их усмотрению. Используется в модели IDMEF. |
node | Идентификатор узла-источника действий, приведших к генерации предупреждения. Используется в модели IDMEF. См. табл. Node. |
user | Идентификатор пользователя, действия которого привели к генерации предупреждения. Используется в модели IDMEF. См. табл. User. |
process | Идентификатор процесса, выполнение которого привело к генерации предупреждения. Используется в модели IDMEF. См. табл. Process. |
function | Идентификатор функции, выполнение которой привело к генерации предупреждения. Используется в модели IDMEF. См. табл. Function. |
Alert_target
Поле | Описание |
ID | Уникальный идентификатор сообщения о событии. Используется в модели IDMEF. См. табл. Message. |
decoy | Цель является приманкой. Используется в модели IDMEF. |
interface | Интерфейс приемника данных, анализ которых привел к генерации предупреждения. Для сетевых модулей это может быть сетевой интерфейс, для хостовых - по их усмотрению. Используется в модели IDMEF. |
node | Идентификатор узла-приемника данных, анализ которых привел к генерации предупреждения. Используется в модели IDMEF. См. табл. Node. |
user | Идентификатор пользователя приемника данных, анализ которых привел к генерации предупреждения. Используется в модели IDMEF. См. табл. User. |
process | Идентификатор процесса приемника данных, анализ которых привел к генерации предупреждения. Используется в модели IDMEF. См. табл. Process. |
function | Идентификатор функции приемника данных, анализ которых привел к генерации предупреждения. Используется в модели IDMEF. См. табл. Function. |
file | Идентификатор описания файла, который был затронут в результате действий, приведших к генерации предупреждения. Используется в модели IDMEF. См. табл. File. |
Детализация предупреждения на основании данных, доступных хостовому модулю. Таблицы
Информация о процессе
Имя таблицы | Назначение |
Process | Данные о процессе хоста-источника или хоста-цели действий, приведших к генерации предупреждения |
Process_env | Окружение процесса |
Process_arg | Аргументы |
Информация о процессе. Поля таблиц
Process
Поле | Описание |
ID | Уникальный идентификатор описания процесса. Используется в модели IDMEF. |
name | Имя процесса. Используется в модели IDMEF. |
pid | Идентификатор процесса. Используется в модели IDMEF. |
ppid | Идентификатор родительского процесса. Используется в модели IDMEF. |
path | Путь к исполнимому файлу. Используется в модели IDMEF. |
Process_env
Поле | Описание |
ID | Уникальный идентификатор описания процесса. См. табл. Process. |
var | Имя переменной окружения. Используется в модели IDMEF. |
value | Значение переменной окружения. Используется в модели IDMEF. |
Process_arg
Поле | Описание |
ID | Уникальный идентификатор описания процесса. См. табл. Process. |
arg | Имя аргумента. Используется в модели IDMEF. |
value | Значение аргумента. Используется в модели IDMEF. |
Информация о функции
Имя таблицы | Назначение |
Function | Данные о функции процесса хоста-источника или хоста-цели, при выполнении которой было сгенерировано предупреждение |
Library | Данные о библиотеке, экспортирующей функцию |
Function_number_type | Тип числового идентификатора функции (ординал, номер системного вызова…) |
Function_parameter | Данные о параметрах функции |
Function_parameter_type | Данные о типе параметра функции |
Информация о функции. Поля таблиц
Function
Поле | Описание |
ID | Уникальный идентификатор описания функции |
name | Имя функции |
library | Идентификатор описания библиотеки, экспортирующей функцию. См. табл. Library. |
number | Числовой идентификатор функции |
number_type | Тип числового идентификатора функции. См. табл. Function_number_type. |
Library
Поле | Описание |
ID | Уникальный идентификатор описания библиотеки |
Name | Имя библиотеки |
Version | Версия библиотеки |
Function_number_type
Поле | Описание |
ID | Уникальный идентификатор типа числового идентификатора функции |
type | Имя типа числового идентификатора функции |
Function_parameter
Поле | Описание |
ID | Уникальный идентификатор описания функции |
number | Порядковый номер параметра функции |
name | Имя параметра |
data_type | Идентификатор типа данных. См. табл. Function_parameter_type. |
value | Значение параметра |
Function_parameter_type
Поле | Описание |
ID | Уникальный идентификатор типа данных параметра |
name | Имя типа данных |
sizeof | Размер типа данных в байтах. |
pointer | Является ли тип данных указателем |
Информация о пользователе
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 |
