Vous êtes ici: index » cert » schema_xml

Schéma d'échange d'information XML

Principe

Ce schéma d'échange d'information est destiné à faciliter l’utilisation d’outils de traitement automatique de signalement d'incident.

Il est envoyé en pièce jointe des emails de notification.

Description du schéma

Fichier Document Type Definition

cert-renater.dtd

Fichier Schéma W3C XML

cert-renater.xsd

Description des champs

Incident purpose

Cette valeur permet de signaler le type de traitement attendu du message. Elle peut prendre les valeurs suivantes :

  • handling : La valeur par défaut, on attend le traitement de l’incident
  • report : signalement sans attente de traitement spécifique, à préciser ultérieurement
  • Communication : signalement sans attente de traitement spécifique, à préciser ultérieurement
  • Statistics : transmission à fin de statistiques uniquement
  • Experimental : message de test

IncidentID

Cette valeur permet d’identifier les messages liés à l’incident. Elle se compose de la date de l'envoi et d'une valeur générée à partir de l'heure de génération du message

SendTime

Cette valeur correspond à l’instant de la génération du message. Elle suit le format ISO 8601.

Contact

Ce bloc de valeur rappelle les informations de contact du CERT

role=“irt”

type=“organization

Rappel du statut du CERT

Name

Valeur par défaut : CERT-RENATER

Email:

Valeur par défaut : certsvp@renater.fr

Telephone:

Valeur par défaut: +33153942044

Dest

L’adresse email du destinataire

Attack

La description de l’attaque proprement dite

Description

Le type de l’attaque, la valeur permet connaitre le type de l’attaque et de définir les données envoyées.

Complement

Des informations supplémentaires comme le nom du ver ou la vulnérabilité ciblée.

StartTime

La date de début de l’observation de l’incident. Elle correspond suivant les cas à l'heure du premier enregistrement dans les logs ou à l'heure de la constatation. Elle suit le format ISO 8601.

Source

Les données permettant d’identifier la machine à l’origine de l’attaque.

SourceIP

L’adresse IP source

SourceName

Le nom résolu de la source

SourcePort

Le port source si cette information est utilisable

SourceProt

Le protocole utilisé si utile

Target

Les données sur la cible de l’attaque. Ces champs sont optionnels

TargetIP

L’adresse IP visée par l’incident

TargetName

Le nom résolu de la cible

TargetPort

Le port de la cible

Record

Les informations qui ont permis de constater l’incident en cause. Les champs utilisés dépendent du type de l’incident

RecordLog

Un champ de texte pouvant servir à contenir tous les types de logs non spécifiés dans les autres champs

RecordMail

Ce champ permet de fournir l’adresse email utilisée pour émettre le spam.

RecordURL

Ce champ permet de transmettre l’URL d’un site Web présentant du contenu inapproprié, du phishing ou une défiguration

RecordKeyword

Ce champ permet d’indiquer les mots clés recherchés pour trouver du contenu inapproprié.