Deutsch | English

Data feeds

CERT.at Data feeds

CERT.at verschickt täglich eine größere Menge an "breach-notifications" oder sonstige Berichte über verwundbare Systeme am Internet an die zuständigen Abuse-/Security-Kontakte. Im folgenden werden die Daten und das Format dieser Daten beschrieben.

Aktuellste Version: 1.2

Überblick

In unseren Datenfeeds, versuchen wir die Fragen
  • Wann ist etwas passiert (time.source)?
  • Was ist passiert (taxonomy.*, feed)?
  • Wo ist es passiert (source.ip, source.asn, source.url, protocol.*, destination.* , etc.)?
  • Wie ist es passiert bzw. wo kann ich mehr darüber nachlesen (event_description.*)
zu beantworten.

Zusätzlich verwendet CERT.at die eCSIRT II Taxonomie, die viele IT Security Teams und CERTs europaweit verwenden, um eine Klassifizierung zu erzielen:
  • classification.taxonomy - oberste Ebene der Klassifizierung
  • classification.type - unter-Klassifizierung
  • classification.identifier - der interne Klassifikator bei CERT.at, um ganze Familien von malware oder ähnlices zu gruppieren
Unter "source.*" verstehen wir die Quelle des Problems (z.B. source.ip des infizierten PCs). Falls die destination.* Felder befüllt sind, dann beziehen sie sich üblicherweise auf einen C&C Server oder einen Sinkhole Server.

Eine vollständige Liste aller potentiell definierten Felder und deren Erklärungen findet sich in der Data Harmonisation Ontology

Unsere Zeitzone ist immer UTC.

CSV Format, Version 1.2

Im folgenden sind alle Felder (in deren richtigen Reihenfolge) beschrieben, die Version 1.2 beinhaltet:

Feld Name Bedeutung
time.source Wann ist der Vorfall eingetreten (inkl. Zeitzone)?
source.ip Die betroffene IP Adresse.
protocol.transport Das Transport Protokol (TCP/UDP).
source.port Source Port.
protocol.application Das involvierte service (z.B. ssh, vnc, ftp, etc.)
source.fqdn Der Hostname des betroffenen Rechners
source.local_hostname Ein interner Hostname (zB Max_Mustermans_PC) in einem LAN
source.local_ip Eine interne IP Adresse in einem LAN (zB 192.168.0.27)
source.url Eine URL des betroffenen Rechners (zB eine URL einer phishing Seite, die auf dem Server liegt)
source.asn Die Autonomous System Nummer (ASN) der betroffenen IP Adresse
source.geolocation.cc Landes code ( ISO3166-1) der betroffenen IP Adresse.
source.geolocation.city Stadt der betroffenen IP Adresse
classification.taxonomy Taxonomy. Vergleiche dazu die ENISA eCSIRT II Taxonomie.
classification.type Type Bezeichnung. Vergleiche dazu die eCSIRT II Taxonomie.
classification.identifier CERt.at interner "identifier", der festlegt, um welche Art von Vorfall es sich hier handelt.
destination.ip Die Ziel IP Adresse (zB C&C Server)
destination.port Ziel-Port
destination.fqdn Hostname des Ziel-Servers
destination.url URL des Ziels
feed Bezeichnung oder URL der Datenquelle. Beschreibt, von wo CERT.at diese Information erhalten hat. Manchmal bewusst pseudonymisiert.
event_description.text Beschreibung des Vorfalls , frei-form Format
event_description.url URL für weitere Beschreibungen oder Erklärungen.
malware.name Im Fall von Malware, die Bezeichnung der Malware.
extra Extra Felder (im JSON Format), die die Quelle noch mitgeschickt hat.
comment Frei-form Text Kommentar
additional_field_freetext Beliebige weitere Felder, die die Quelle (feed) angegeben hat.
feed.documentation Eine URL, die zu weiterführender Dokumentation zu dem Datenfeed (Quelle) verweist.
version: 1.2 Ein Versions-String
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitslücken in Microsoft Office Outlook - Updates verfügbar
28. Juli 2017 | Beschreibung Microsoft ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
mehr ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/4/21 - 14:47:02
Haftungsausschluss