Ce schéma d'échange d'information est destiné à faciliter l’utilisation d’outils de traitement automatique de signalement d'incident.

Il est envoyé en pièce jointe des emails de notification.

Fichier Document Type Definition

cert-renater.dtd

Fichier Schéma W3C XML

cert-renater.xsd

Cette valeur permet de signaler le type de traitement attendu du message. Elle peut prendre les valeurs suivantes :

• handling : La valeur par défaut, on attend le traitement de l’incident
• report : signalement sans attente de traitement spécifique, à préciser ultérieurement
• Communication : signalement sans attente de traitement spécifique, à préciser ultérieurement
• Statistics : transmission à fin de statistiques uniquement
• Experimental : message de test

Cette valeur permet d’identifier les messages liés à l’incident. Elle se compose de la date de l'envoi et d'une valeur générée à partir de l'heure de génération du message

Cette valeur correspond à l’instant de la génération du message. Elle suit le format ISO 8601.

Ce bloc de valeur rappelle les informations de contact du CERT

role=“irt”

type=“organization

Rappel du statut du CERT

Valeur par défaut : CERT-RENATER

Valeur par défaut : certsvp@renater.fr

Valeur par défaut: +33153942044

L’adresse email du destinataire

La description de l’attaque proprement dite

Le type de l’attaque, la valeur permet connaitre le type de l’attaque et de définir les données envoyées.

Des informations supplémentaires comme le nom du ver ou la vulnérabilité ciblée.

La date de début de l’observation de l’incident. Elle correspond suivant les cas à l'heure du premier enregistrement dans les logs ou à l'heure de la constatation. Elle suit le format ISO 8601.

Les données permettant d’identifier la machine à l’origine de l’attaque.

L’adresse IP source

Le nom résolu de la source

Le port source si cette information est utilisable

Le protocole utilisé si utile

Les données sur la cible de l’attaque. Ces champs sont optionnels

L’adresse IP visée par l’incident

Le nom résolu de la cible

Le port de la cible

Les informations qui ont permis de constater l’incident en cause. Les champs utilisés dépendent du type de l’incident

Un champ de texte pouvant servir à contenir tous les types de logs non spécifiés dans les autres champs

Ce champ permet de fournir l’adresse email utilisée pour émettre le spam.

Ce champ permet de transmettre l’URL d’un site Web présentant du contenu inapproprié, du phishing ou une défiguration

Ce champ permet d’indiquer les mots clés recherchés pour trouver du contenu inapproprié.