Prelude SIEM (Système de Détection d'Intrusion)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Prelude SIEM
Logo

Développeur La société C-S.
Dernière version 3.0 ()
Environnement Linux, *NIX
Type SIEM
Licence Double licence
Site web www.prelude-siem.org, www.prelude-siem.com

Prelude SIEM est un SIEM universel, hybride et agentless. Sorti d'abord sous une licence propriétaire puis en une version d'évaluation sortie sous licence GPLv2.

Alors que des utilisateurs ou logiciels malveillants sont capable d'échapper à une sonde IDS classique, il devient exponentiellement plus difficile de s'introduire dans un système lorsqu'il y a de très nombreux mécanismes de protection. Prelude dispose de plusieurs sondes, chacune d'elles gèrent des événements différents.

Prelude est un SIEM capable de s'adapter pour l'inter-opérabilité: il est nativement compatible avec : AuditD, Nepenthes, NuFW, OSSEC, Pam, Samhain, Sancp, Snort, and Suricata.

Prelude SIEM est composé de deux types de détecteurs hétérogènes[1] :

  • un LML (Log Monitoring Lackey) capable de traiter tout type de log sous forme fichier ou flux syslogs
  • une compatibilité native avec les principales sondes NIDS et HIDS open-source du marché (ex : Snort, Suricata, Samhain, etc.) et d’autres types de sondes.

Historique[modifier | modifier le code]

  • 1998 : Création par Yoann Vandoorselaere d'un projet de sonde IDS
  • 2002 : Prelude se transforme en sonde hybride (l'ancêtre du SIEM)
  • 2005 : Création de la société Prelude-Technologies pour commercialiser Prelude
  • 2009 : Rachat de Prelude-Technologies par la société INL
  • 2009 : INL devient Edenwall Technologies
  • 18/08/2011 : Edenwall Technologies est déclaré en cessation de payement, le logiciel Prelude-IDS, les sites et les marques sont mis en vente
  • 13/10/2011 : CS (Communication & Systèmes) rachète Prelude-IDS
  • 23/01/2012 : Réouverture des sites prelude-ids.org et prelude-ids.com (Maintenant www.prelude-siem.com)
  • 06/2012 : Sortie d'une nouvelle version Prelude OSS 1.1
  • 10/2012 : Sortie d'une nouvelle version Prelude Entreprise 1.1

Fonction[modifier | modifier le code]

Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion.

Les principales caractéristiques de Prelude sont les suivantes :

  • construit sur un cœur open-source
  • fonctionnement «agent-less»
  • conformité aux standards (HTTP, XML, IDMEF, etc.)
  • modularité, souplesse et résilience
  • architecture hiérarchique et décentralisée
  • interfaces d'exploitations Web 2.0

Les modules Prelude[modifier | modifier le code]

Prelude a été conçu de façon modulaire de façon à s'adapter simplement à tout type d'environnement.

Les principaux modules de la version open-source sont les suivants :

  • Manager, reçoit et stocke en base les alertes
  • LibPrelude, connecte les différentes sondes à Prelude
  • LibPreludeDB, module de mise en base
  • Correlator, module de corrélation
  • LML, module de traitement des logs
  • Prewikka, interface d'exploitation

Versions[modifier | modifier le code]

Prelude est disponible en trois versions :

  • Prelude OSS : version publique GPLV2 limitée aux petits parcs, disponible sur Internet
  • Prelude SIEM : offre professionnelle disponible sous souscription et accompagnée d'un contrat de support et maintenance
  • Prelude SOC : offre complète pour équiper un centre opérationnel de sécurité (SOC)

Références[modifier | modifier le code]


Liens externes[modifier | modifier le code]