alert’ namespace for IDMEF pattern matching in SEC (table layout)

 

 

messageid

 

 

 

 

assessment

impact

severity

 

 

 

 

completion

 

 

 

 

type

 

 

 

 

description

 

 

 

action

category

 

 

 

 

description

 

 

 

confidence

rating

 

 

 

 

confidence

 

 

analyzer

analyzerid

 

 

 

 

manufacturer

 

 

 

 

model

 

 

 

 

name

 

 

 

 

version

 

 

 

 

class

 

 

 

 

ostype

 

 

 

 

osversion

 

 

 

 

node

ident

 

 

 

 

category

 

 

 

 

location

 

 

 

 

name

 

 

 

 

address

ident

 

 

 

 

category

 

 

 

 

vlan_name

 

 

 

 

vlan_num

 

 

 

 

address

 

 

 

 

netmask

 

 

process

ident

 

 

 

 

name

 

 

 

 

pid

 

 

 

 

path

 

 

 

 

arg

 

 

 

 

env

 

 

create_time

sec

 

 

 

 

usec

 

 

 

detect_time

sec

 

 

 

 

usec

 

 

 

analyzer_time

sec

 

 

 

 

usec

 

 

 

source

ident

 

 

 

 

spoofed

 

 

 

 

interface

 

 

 

 

node

ident

 

 

 

 

category

 

 

 

 

location

 

 

 

 

name

 

 

 

 

address

ident

 

 

 

 

category

 

 

 

 

vlan_name

 

 

 

 

vlan_num

 

 

 

 

address

 

 

 

 

netmask

 

 

user

ident

 

 

 

 

category

 

 

 

 

userid

ident

 

 

 

 

type

 

 

 

 

name

 

 

 

 

number

 

 

process

ident

 

 

 

 

name

 

 

 

 

pid

 

 

 

 

path

 

 

 

 

arg

 

 

 

 

env

 

 

 

service

ident

 

 

 

 

name

 

 

 

 

port

 

 

 

 

portlist

 

 

 

 

iana_protocol_name

 

 

 

 

iana_protocol_number

 

 

 

 

protocol

 

 

 

 

type

 

 

 

 

web_service

url

 

 

 

 

cgi

 

 

 

 

http_method

 

 

 

 

arg

arg

 

 

snmp_service

oid

 

 

 

 

community

 

 

 

 

command

 

target

ident

 

 

 

 

decoy

 

 

 

 

interface

 

 

 

 

node

ident

 

 

 

 

category

 

 

 

 

location

 

 

 

 

name

 

 

 

 

address

ident

 

 

 

 

category

 

 

 

 

vlan_name

 

 

 

 

vlan_num

 

 

 

 

address

 

 

 

 

netmask

 

 

user

ident

 

 

 

 

category

 

 

 

 

userid

ident

 

 

 

 

type

 

 

 

 

name

 

 

 

 

number

 

 

process

ident

 

 

 

 

name

 

 

 

 

pid

 

 

 

 

path

 

 

 

 

arg

 

 

 

 

env

 

 

 

service

ident

 

 

 

 

name

 

 

 

 

port

 

 

 

 

portlist

 

 

 

 

iana_protocol_name

 

 

 

 

iana_protocol_number

 

 

 

 

protocol

 

 

 

 

type

 

 

 

 

web_service

url

 

 

 

 

cgi

 

 

 

 

http_method

 

 

 

 

arg

arg

 

 

snmp_service

oid

 

 

 

 

community

 

 

 

 

command

 

 

file

ident

 

 

 

 

category

 

 

 

 

fstype

 

 

 

 

name

 

 

 

 

path

 

 

 

 

create_time

sec

 

 

 

 

usec

 

 

 

modify_time

sec

 

 

 

 

usec

 

 

 

access_time

sec

 

 

 

 

usec

 

 

 

data_size

 

 

 

 

disk_size

 

 

 

 

file_access

userid

ident

 

 

 

 

type

 

 

 

 

name

 

 

 

 

number

 

 

 

permission

 

 

 

file_linkage

 

 

 

 

inode

change_time

sec

 

 

 

 

usec

 

 

 

number

 

 

 

 

major_device

 

 

 

 

minor_device

 

 

 

 

c_major_device

 

 

 

 

c_minor_device

 

classification

ident

 

 

 

 

text

 

 

 

 

reference

origin

 

 

 

 

name

 

 

 

 

url

 

 

 

 

meaning

 

 

additional_data

type

 

 

 

 

meaning

 

 

 

 

dlen

 

 

 

 

data

 

 

 

type

 

 

 

 

tool_name

 

 

 

 

tool_command

 

 

 

 

tool_alertident

alertident

 

 

 

 

analyzerid

 

 

 

correlation_name

 

 

 

 

correlation_alertident

alertident

 

 

 

 

analyzerid

 

 

 

overflow_program

 

 

 

 

overflow_size

 

 

 

 

overflow_buffer