Deutsch | English

Data feeds

CERT.at Data feeds

CERT.at verschickt täglich eine größere Menge an "breach-notifications" oder sonstige Berichte über verwundbare Systeme am Internet an die zuständigen Abuse-/Security-Kontakte. Im folgenden werden die Daten und das Format dieser Daten beschrieben.

Aktuellste Version: 1.2

Überblick

In unseren Datenfeeds, versuchen wir die Fragen
  • Wann ist etwas passiert (time.source)?
  • Was ist passiert (taxonomy.*, feed)?
  • Wo ist es passiert (source.ip, source.asn, source.url, protocol.*, destination.* , etc.)?
  • Wie ist es passiert bzw. wo kann ich mehr darüber nachlesen (event_description.*)
zu beantworten.

Zusätzlich verwendet CERT.at die eCSIRT II Taxonomie, die viele IT Security Teams und CERTs europaweit verwenden, um eine Klassifizierung zu erzielen:
  • classification.taxonomy - oberste Ebene der Klassifizierung
  • classification.type - unter-Klassifizierung
  • classification.identifier - der interne Klassifikator bei CERT.at, um ganze Familien von malware oder ähnlices zu gruppieren
Unter "source.*" verstehen wir die Quelle des Problems (z.B. source.ip des infizierten PCs). Falls die destination.* Felder befüllt sind, dann beziehen sie sich üblicherweise auf einen C&C Server oder einen Sinkhole Server.

Eine vollständige Liste aller potentiell definierten Felder und deren Erklärungen findet sich in der Data Harmonisation Ontology

Unsere Zeitzone ist immer UTC.

CSV Format, Version 1.2

Im folgenden sind alle Felder (in deren richtigen Reihenfolge) beschrieben, die Version 1.2 beinhaltet:

Feld Name Bedeutung
time.source Wann ist der Vorfall eingetreten (inkl. Zeitzone)?
source.ip Die betroffene IP Adresse.
protocol.transport Das Transport Protokol (TCP/UDP).
source.port Source Port.
protocol.application Das involvierte service (z.B. ssh, vnc, ftp, etc.)
source.fqdn Der Hostname des betroffenen Rechners
source.local_hostname Ein interner Hostname (zB Max_Mustermans_PC) in einem LAN
source.local_ip Eine interne IP Adresse in einem LAN (zB 192.168.0.27)
source.url Eine URL des betroffenen Rechners (zB eine URL einer phishing Seite, die auf dem Server liegt)
source.asn Die Autonomous System Nummer (ASN) der betroffenen IP Adresse
source.geolocation.cc Landes code ( ISO3166-1) der betroffenen IP Adresse.
source.geolocation.city Stadt der betroffenen IP Adresse
classification.taxonomy Taxonomy. Vergleiche dazu die ENISA eCSIRT II Taxonomie.
classification.type Type Bezeichnung. Vergleiche dazu die eCSIRT II Taxonomie.
classification.identifier CERt.at interner "identifier", der festlegt, um welche Art von Vorfall es sich hier handelt.
destination.ip Die Ziel IP Adresse (zB C&C Server)
destination.port Ziel-Port
destination.fqdn Hostname des Ziel-Servers
destination.url URL des Ziels
feed Bezeichnung oder URL der Datenquelle. Beschreibt, von wo CERT.at diese Information erhalten hat. Manchmal bewusst pseudonymisiert.
event_description.text Beschreibung des Vorfalls , frei-form Format
event_description.url URL für weitere Beschreibungen oder Erklärungen.
malware.name Im Fall von Malware, die Bezeichnung der Malware.
extra Extra Felder (im JSON Format), die die Quelle noch mitgeschickt hat.
comment Frei-form Text Kommentar
additional_field_freetext Beliebige weitere Felder, die die Quelle (feed) angegeben hat.
feed.documentation Eine URL, die zu weiterführender Dokumentation zu dem Datenfeed (Quelle) verweist.
version: 1.2 Ein Versions-String
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
mehr ...
Tanze (aktualisierten) Samba mit mir
26. Mai 2017 | Die Erinnerung ...
Ein paar Gedanken zu WannaCry
14. Mai 2017 | Wir haben ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/4/21 - 14:47:02
Haftungsausschluss