CERT.at Data feeds

CERT.at verschickt täglich eine größere Menge an "breach-notifications" oder sonstige Berichte über verwundbare Systeme am Internet an die zuständigen Abuse-/Security-Kontakte. Im folgenden werden die Daten und das Format dieser Daten beschrieben.

Aktuellste Version: 1.2

Überblick

In unseren Datenfeeds, versuchen wir die Fragen

  • Wann ist etwas passiert (time.source)?
  • Was ist passiert (classification.*, feed)?
  • Wo ist es passiert (source.ip, source.asn, source.url, protocol.*, destination.* , etc.)?
  • Wie ist es passiert bzw. wo kann ich mehr darüber nachlesen (event_description.*)

zu beantworten.

Zusätzlich verwendet CERT.at die Reference Security Incident Taxonomy ("RSIT"), die viele IT Security Teams und CERTs europaweit verwenden, um eine Klassifizierung zu erzielen:

  • classification.taxonomy - oberste Ebene der Klassifizierung
  • classification.type - unter-Klassifizierung
  • classification.identifier - der interne Klassifikator bei CERT.at, um zB. ganze Familien von Malware zu gruppieren

Unter source.* verstehen wir die Quelle des Problems (z.B. source.ip des infizierten PCs). Falls die destination.* Felder befüllt sind, dann beziehen sie sich üblicherweise auf einen C&C Server oder einen Sinkhole Server.

Eine vollständige Liste aller potentiell definierten Felder und deren Erklärungen findet sich in der Data Harmonisation Dokumentation von IntelMQ.

Unsere Zeitzone ist immer UTC.

CSV Format, Version 1.2

Im folgenden sind alle Felder (in deren richtigen Reihenfolge) beschrieben, die Version 1.2 beinhaltet:

Feld NameBedeutung
time.sourceWann ist der Vorfall eingetreten (inkl. Zeitzone)?
source.ipDie betroffene IP Adresse.
protocol.transportDas Transport Protokol (TCP/UDP).
source.portSource Port.
protocol.applicationDas involvierte service (z.B. ssh, vnc, ftp, etc.)
source.fqdnDer Hostname des betroffenen Rechners
source.local_hostnameEin interner Hostname (zB Max_Mustermans_PC) in einem LAN
source.local_ipEine interne IP Adresse in einem LAN (zB 192.168.0.27)
source.urlEine URL des betroffenen Rechners (zB eine URL einer phishing Seite, die auf dem Server liegt)
source.asnDie Autonomous System Nummer (ASN) der betroffenen IP Adresse
source.geolocation.ccLandes code (ISO3166-1) der betroffenen IP Adresse.
source.geolocation.cityStadt der betroffenen IP Adresse
classification.taxonomyTaxonomy. Vergleiche dazu die Taxonomie.
classification.typeType Bezeichnung. Vergleiche dazu die Taxonomie.
classification.identifierCERT.at interner "identifier", der festlegt, um welche Art von Vorfall es sich hier handelt.
destination.ipDie Ziel IP Adresse (zB C&C Server)
destination.portZiel-Port
destination.fqdnHostname des Ziel-Servers
destination.urlURL des Ziels
feedBezeichnung oder URL der Datenquelle. Beschreibt, von wo CERT.at diese Information erhalten hat. Manchmal bewusst pseudonymisiert.
event_description.textBeschreibung des Vorfalls , frei-form Format
event_description.urlURL für weitere Beschreibungen oder Erklärungen.
malware.nameIm Fall von Malware, die Bezeichnung der Malware.
extraExtra Felder (im JSON Format), die die Quelle noch mitgeschickt hat.
commentFrei-form Text Kommentar
additional_field_freetext  Beliebige weitere Felder, die die Quelle (feed) angegeben hat.
feed.documentationEine URL, die zu weiterführender Dokumentation zu dem Datenfeed (Quelle) verweist.
version: 1.2Ein Versions-String