ЛЕКЦІЯ 4.

Міжнародні стандарти моніторингу та аудиту. Формати та протоколи

передачі інформації моніторингу та аудиту

Зі зростанням складності інформаційно-комунікаційних систем зростала

складність накопичення та обробки інформації моніторингу та аудиту.
Історично першим форматом передачі та зберігання інформації
моніторингу та аудиту був syslog. Syslog - це текстовий формат, який
складається з полів, розділених пробілами. Основними полями є:
– мітка часу;
– джерело (програма чи апаратний засіб, який згенерував запис) —
текстовий рядок;
– серйозність;
– текст повідомлення.
Повний перелік полів наведено у RFC 5424.
Транспортом для syslog зазичає слугує UDP. Допускається також
використання TCP.
Syslog не має засобів контролю автентичності та цілісності повідомлень, а
також засобів гарантованої доставки.
Використання TCP у якості транспорту дозволяє прозоро використати
зовнішні криптографічні засоби захисту повідомлень аудиту.
Іншим протоколом, який використовується для моніторингу
інформаційно-комунікаційних систем, є SNMP (Simple Network Management
Protocol). SNMP є двонаправленим протоколом, і може використовуватись як
для збирання інформації від програм та апаратних засобів, так і для подання
команд керування. Тому, на відміну від syslog, ініціатором передачі даних є не
клієнт а сервер, який із заданою періодичністю опитує клієнтів. SNMP
описаний у RFC 1157 (v1), RFC 1441 (v2), RFC 2571, RFC 2574 (v3). У відповідь
клієнти посилають значення змінних (завантаженість CPU, кількість доступної
пам’яті тощо).
Таким чином, SNMP орієнтований на моніторинг, тоді як syslog - на аудит.
Транспортом для SNMP може бути як UDP, так і TCP.
SNMP v2 і вище містить криптографічні засоби захисту інформації
моніторингу.
Описані вище протоколи і формати неспецифічні для передачі даних
моніторингу і аудиту безпеки. Зокрема для передачі інформації від систем
виявлення/попередження вторгнень запропоновано формат IDMEF (Intrusion
Detection Message Exchange Format). IDMEF - це саме формат обміну даними
поверх XML. RFC 4765 не визначає транспорт для IDMEF. Основною
одиницею обміну IDMEF є повідомлення. Повідомлення бувають 2-х классів:
Alert і Heartbeat. Призначення повідомлення классу Alert — повідомлення про
атаку. Призначення повідомлення классу Heartbeat — повідомлення про
власний стан із заданою періодичністю.
Кожне повідомлення классу Alert має наступні основні атрибути:
 – аналізатор;
– час створення;
– класифікація;
– джерело;
– ціль
та інші.
Усі повідомлення IDMEF збираються на визначеному вузлі мережі
(сервері), де виконується їх подальша обробка.