Имя таблицы | Назначение |
Additional_data | Строковые и числовые поля, хранимые данные интерпретируются на усмотрение каждого модуля определенного типа |
Additional_data_names | Хранение названий соответствующих специфичных строковых и числовых полей, используемых модулями различных типов |
Зарезервированные поля для хранения специфичных для каждого модуля данных. Поля таблиц
Additional_data
Поле | Описание |
ID | Уникальный идентификатор сообщения о событии. См. табл. Message. |
String1…String8 | Строковые поля |
Num1…Num8 | Числовые поля |
Additional_data_names
Поле | Описание |
module_type | Уникальный идентификатор типа модуля СОВ, для которого поля имеют конкретные значения. См. табл. IDS_module_type. |
is_alert_data | Значения должны интерпретироваться как указано для предупреждений или heartbeat |
String1_name… String8_name | Названия строковых параметров предупреждения или сообщения heartbeat |
Num1_name… Num8_name | Названия числовых параметров предупреждения или сообщения heartbeat |
Классификация предупреждения. Таблицы
Имя таблицы | Назначение |
Alert_description | Данные, идентифицирующие класс сообщения или сигнатуру, и описывающие атрибуты сообщения данного класса (приоритет, важность) |
Alert_class | Данные, организующие классификацию сигнатур. Сигнатуры или классы сообщений могут быть организованы модулем СОВ в более крупные классы (группы). |
Alert_priority | Данные, описывающие приоритет сообщений согласно сигнатурам. Могут использоваться при выводе и при анализе для упорядочения и учета наиболее "срочных" сообщений. |
Alert_revision | Данные, описывающие важность (влияние на безопасность) выявленных событий – информационное сообщение, предупреждение, сообщение об атаке или уязвимости |
Alert_reference_system | Описание различных систем-баз данных уязвимостей и связанных с ними атак (cve, bugtraq…) |
Alert_reference | Данные, описывающие ссылки на базы данных уязвимостей |
Description_reference | Связь между различными сообщениями/сигнатурами, и ссылками на соответствующие описания в базах данных уязвимостей и связанных с ними атак |
Классификация предупреждения. Поля таблиц
Alert_description
Поле | Описание |
ID | Уникальный идентификатор описания класса сообщения (или сигнатуры) |
name | Имя класса или сигнатуры (сообщение). Используется в модели IDMEF. |
class | Идентификатор группы классов или сигнатур, к оторому относится сообщение. См. табл. Alert_class |
priority | Приоритет. См. табл. Alert_priority |
revision | Важность. См. табл. Alert_revision. |
internal_id | Внутренний для модуля СОВ класс предупреждения. Определяется конкретным модулем, чаще всего идентификатор сигнатуры в классификации производителя модуля (например, sid для snort) Используется в модели IDMEF. |
Alert_class
Поле | Описание |
ID | Уникальный идентификатор класса сигнатуры |
name | Имя класса |
Alert_priority
Поле | Описание |
ID | Уникальный идентификатор класса сигнатуры |
name | Имя класса |
Alert_revision
Поле | Описание |
ID | Уникальный идентификатор класса сигнатуры |
name | Имя класса |
Alert_reference_system
Поле | Описание |
ID | Уникальный идентификатор системы хранения данных об уязвимостях и/или атаках |
name | Имя системы хранения данных об уязвимостях и/или атаках |
Alert_reference
Поле | Описание |
ID | Идентификатор ссылки на описание атаки и/или уязвимости |
ref_system | Идентификатор системы хранения данных об уязвимостях и/или атаках. См. табл. reference_system |
tag | Ссылка или внутренний идентификатор системы хранения данных об уязвимостях и/или атаках. Используется в модели IDMEF. |
Description_reference
Поле | Описание |
signature | Идентификатор класса сообщения или сигнатуры. См. табл. Alert_description. |
ref_seq | Порядковый номер ссылки на описание атаки и/или уязвимости. Ссылок м. б. несколько. |
reference | Идентификатор ссылки на описание атаки и/или уязвимости. См. табл. Alert_reference. |
Данные о конфигурации межсетевых экранов. Таблицы
Имя таблицы | Назначение |
Firewall_policy | Содержит описание политики межсетевого экрана (разрешительная / запретительная) |
Fw_rule | Содержит описание правила межсетевого экрана |
Fw_rule_in | Таблица, связывающая правила с интерфейсом межсетевого экрана "на входе" |
Fw_rule_out | Таблица, связывающая правила с интерфейсом межсетевого экрана "на выходе" |
Fw_rule_forward | Таблица, связывающая правила со "сквозным" интерфейсом межсетевого экрана |
Данные о конфигурации межсетевых экранов. Поля таблиц
Firewall_policy
Поле | Описание |
ID | Уникальный идентификатор политики межсетевого экрана |
policy | Описание политики |
Fw_rule
Поле | Описание |
ID | Уникальный идентификатор правила межсетевого экрана |
rule | Команда |
Fw_rule_in / Fw_rule_out / Fw_rule_forward
Поле | Описание |
Firewall | Идентификатор межсетевого экрана. См. табл. Firewall. |
service | Идентификатор защищаемого сервиса. См. табл. Observed_service. |
rule | Идентификатор правила. См. табл. Rule. |
Приложение 3. Описание функций для сохранения событий в хранилище.Прикладной программный интерфейс хранилища данных универсальнй архитектуры СПВ
1. Регистрация и работа компонентов
Типы данных, константы
Имя | Описание |
MODULE_HANDLE | Идентификатор компонента |
Перечислимые типы данных
Имя типа | Описание |
HOST_NAME_CATEGORY | Категория имени хоста. Возможные значения ADS, AFS, CODA, DFS, DNS, HOSTS, KERBEROS, NDS, NIS, NISPLUS, NT, WFW. |
HOST_ADDRESS_CATEGORY | Категория сетевого адреса. Возможные значения UNKNOWN_ADDRESS_CATEGORY, ATM, E_MAIL, LOTUS_NOTES, MAC, SNA, VM, IPv4_ADDR, IPv4_ADDR_HEX, IPv4_NET, IPv4_NET_MASK, IPv6_ADDR, IPv6_ADDR_HEX, IPv6_NET, IPv6_NET_MASK. |
Структуры данных
Структура | Описание |
HOST_NAME | Имя хоста в сети. Имеет два поля name и category. |
Функции
Функция | Описание |
get_module_id | Получение идентификатора модуля (датчика, анализатора или межсетевого экрана) по его имени, типу и расположению в сети. |
get_module_name | Получение имени модуля по его идентификатору. |
get_module_node_id | Получение станции, на которой установлен модуль. |
get_module_type | Получение типа модуля по его идентификатору. |
register_sensor | Добавление нового модуля датчика. |
register _analyzer | Добавление нового модуля анализа. |
register _firewall | Добавление нового модуля межсетевого экрана. |
add_observed_service_to_host | Добавление нового защищаемого сервиса для станции |
delete_observed_service_from_host | Удаление защищаемого сервиса хоста. |
create_host | Добавление новой станции, на которую впоследствии будут добавлены модули (выделена из функций регистрации для удобства). |
create_observed_host | Добавление новой защищаемой станции и защищаемого нового сервиса. |
add_service_description | Добавление описания нового сервиса (в таблицу Service) |
get_default_service_id | Получение идентификатора сервиса по умолчанию по его описанию. |
add_protocol_description | Добавление описания нового протокола. |
delete_module | Удаление существующего модуля |
2. Описание сетевых устройств и их адресации
Типы данных, константы
Имя | Описание |
MAX_HOST_NAME_LEN | Максимальная длина имени хоста независимо от типа имени. |
MAX_HOST_ADDRESS_LEN | Максимальная длина адреса хоста независимо от типа адреса. |
Перечислимые типы данных
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 |
