12.3.9. Компьютерные атаки, связанные с выявлением взаимодействия объектов информационной инфраструктуры участников информационного обмена с командными центрами Ботнет [controlCenters] (для вектора [INT])

Номер блока (поля) данных

Идентификатор блока (поля) данных

Содержание блока (поля) данных

Формат поля данных

Формат электронного сообщения

9.2

"hostUrl"

(поле данных)

URL, на котором размещен командный центр Ботнет

URL в соответствии со спецификацией RFC 3986 [15]

"controlCenters": [{

"hostUrl": "http://example.com",

"intruderIp": "1.1.1.1",

"intruderActions": "что предшествовало инциденту",

"description": "дополнительное описание командного центра Ботнет",

"nodes": [{

"ip": "127.0.0.1",

"lastRequestRateTime": "2018-03-22T08:14:38Z"

}]

}],

9.3

"intruderIp"

(поле данных)

IP-адрес злоумышленника, разместившего командный центр Ботнет

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

9.4

"intruderActions"

(поле данных)

описание несанкционированной активности в информационной инфраструктуре участника информационного обмена

текстовое поле (textarea)

9.5

"description"

(поле данных)

дополнительное описание командного центра Ботнет

текстовое поле (textarea)

9.6

"nodes"

(блок данных)

идентификаторы обращения к командному центру Ботнет

В случае необходимости указания нескольких значений полей данных (ip, lastRequestRateTimeAt) указывается один или несколько объектов в блоке данных

9.6.1

"ip"

(поле данных)

внешний IP-адрес (участника информационного обмена)

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

9.6.2

"lastRequest RatetimeAt"

(поле данных)

дата и время последнего взаимодействия с командным центром Ботнет

формат представления данных в соответствии со спецификацией RFC 3339 [11]