CERT.at Data feeds
CERT.at verschickt täglich eine größere Menge an "breach-notifications" oder sonstige Berichte über verwundbare Systeme am Internet an die zuständigen Abuse-/Security-Kontakte. Im folgenden werden die Daten und das Format dieser Daten beschrieben.
Aktuellste Version: 1.2
Überblick
In unseren Datenfeeds, versuchen wir die Fragen
- Wann ist etwas passiert (time.source)?
- Was ist passiert (classification.*, feed)?
- Wo ist es passiert (source.ip, source.asn, source.url, protocol.*, destination.* , etc.)?
- Wie ist es passiert bzw. wo kann ich mehr darüber nachlesen (event_description.*)
zu beantworten.
Zusätzlich verwendet CERT.at die Reference Security Incident Taxonomy ("RSIT"), die viele IT Security Teams und CERTs europaweit verwenden, um eine Klassifizierung zu erzielen:
- classification.taxonomy - oberste Ebene der Klassifizierung
- classification.type - unter-Klassifizierung
- classification.identifier - der interne Klassifikator bei CERT.at, um zB. ganze Familien von Malware zu gruppieren
Unter source.* verstehen wir die Quelle des Problems (z.B. source.ip des infizierten PCs). Falls die destination.* Felder befüllt sind, dann beziehen sie sich üblicherweise auf einen C&C Server oder einen Sinkhole Server.
Eine vollständige Liste aller potentiell definierten Felder und deren Erklärungen findet sich in der Data Harmonisation Dokumentation von IntelMQ.
Unsere Zeitzone ist immer UTC.
CSV Format, Version 1.2
Im folgenden sind alle Felder (in deren richtigen Reihenfolge) beschrieben, die Version 1.2 beinhaltet:
| Feld Name | Bedeutung |
|---|---|
| time.source | Wann ist der Vorfall eingetreten (inkl. Zeitzone)? |
| source.ip | Die betroffene IP Adresse. |
| protocol.transport | Das Transport Protokol (TCP/UDP). |
| source.port | Source Port. |
| protocol.application | Das involvierte service (z.B. ssh, vnc, ftp, etc.) |
| source.fqdn | Der Hostname des betroffenen Rechners |
| source.local_hostname | Ein interner Hostname (zB Max_Mustermans_PC) in einem LAN |
| source.local_ip | Eine interne IP Adresse in einem LAN (zB 192.168.0.27) |
| source.url | Eine URL des betroffenen Rechners (zB eine URL einer phishing Seite, die auf dem Server liegt) |
| source.asn | Die Autonomous System Nummer (ASN) der betroffenen IP Adresse |
| source.geolocation.cc | Landes code (ISO3166-1) der betroffenen IP Adresse. |
| source.geolocation.city | Stadt der betroffenen IP Adresse |
| classification.taxonomy | Taxonomy. Vergleiche dazu die Taxonomie. |
| classification.type | Type Bezeichnung. Vergleiche dazu die Taxonomie. |
| classification.identifier | CERT.at interner "identifier", der festlegt, um welche Art von Vorfall es sich hier handelt. |
| destination.ip | Die Ziel IP Adresse (zB C&C Server) |
| destination.port | Ziel-Port |
| destination.fqdn | Hostname des Ziel-Servers |
| destination.url | URL des Ziels |
| feed | Bezeichnung oder URL der Datenquelle. Beschreibt, von wo CERT.at diese Information erhalten hat. Manchmal bewusst pseudonymisiert. |
| event_description.text | Beschreibung des Vorfalls , frei-form Format |
| event_description.url | URL für weitere Beschreibungen oder Erklärungen. |
| malware.name | Im Fall von Malware, die Bezeichnung der Malware. |
| extra | Extra Felder (im JSON Format), die die Quelle noch mitgeschickt hat. |
| comment | Frei-form Text Kommentar |
| additional_field_freetext | Beliebige weitere Felder, die die Quelle (feed) angegeben hat. |
| feed.documentation | Eine URL, die zu weiterführender Dokumentation zu dem Datenfeed (Quelle) verweist. |
| version: 1.2 | Ein Versions-String |