Prelude SIEM

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Prelude SIEM
Fondateur Yoann Vandoorselaere
Développeur CS.
Première version 1998
Dernière version 4.0 ()
État du projet Développement actif
Écrit en Python, C
Environnement Linux, *NIX
Langues Français, Anglais, Allemand, Espagnol, Italien, Polonais, Portugais, Russe
Type SIEM
Licence Logiciel propriétaire et GPLv2
Site web www.prelude-siem.org, www.prelude-siem.com

Prelude SIEM est un security information management system (SIEM).

C'est un outil de pilotage de la sécurité. Prelude collecte et centralise les informations de sécurité de l'entreprise pour offrir un point central de pilotage. Grâce à l'analyse et la corrélation des journaux et des flux, Prelude SIEM alerte en temps réel des tentatives d'intrusions et des menaces sur le réseau. Prelude SIEM offre plusieurs outils d'investigation et de reporting sur les Big Data permettant d'identifier les signaux faibles qui peuvent préfigurer des menaces persistantes avancées. Enfin, Prelude SIEM dispose de tous les outils d'aide à l'exploitation pour simplifier le travail des opérateurs et la gestion des risques.

Prelude SIEM implémente nativement le format standard IDMEF (RFC 4765[1]) recommandé par le Référentiel Général d'Interopérabilité v2. Prelude SIEM est capable de gérer tout type de format de journaux et grâce à ce format Prelude SIEM est nativement "compatible IDMEF" avec de nombreuses sondes de sécurité OpenSource : AuditD, Nepenthes, NuFW, OSSEC (en), Pam, Samhain (en), Sancp, Snort, Suricata, Kismet, etc.

Depuis 2016, au travers du "Prelude IDMEF Partner Program", Prelude SIEM est maintenant "compatible IDMEF" avec de très nombreuses sondes commerciales.

Prelude SIEM implémente toutes les fonctions d'un SIEM au travers de ses trois modules (ALERTE (SEM), ARCHIVE (SIM) et ANALYSE) et est ainsi considéré comme la seule alternative 100% SIEM Française et Européenne complète sur le marché.

Il a obtenu le label France CyberSecurity en 2015 et promeut l'utilisation des standards IETF en sécurité au travers du projet SECEF et du "Prelude IDMEF Partner Program".

Origine du nom Prelude[modifier | modifier le code]

Le nom "Prelude" a été choisi par le créateur du logiciel parce que le premier objectif de Prelude, grâce à son module ALERTE, est de détecter en temps réel le "prélude" d'une attaque. Cette spécificité s'explique par sa capacité à fédérer de nombreux outils de détection complétée par l'analyse des traces et des journaux qui rend très complexe la possibilité pour les "attaquants" de passer au travers de ces protections sans déclencher une alerte.

Historique[modifier | modifier le code]

  • 1998 : Création par Yoann Vandoorselaere d'un projet open-source de sonde IDS : Prelude IDS
  • 2002 : Les projets Prelude IDS et Trithème fusionnent pour créer le premier Meta IDS (l'ancêtre du SIEM) qui s'appuie sur le standard IDMEF
  • 2005 : Création de la société Prelude-Technologies pour commercialiser Prelude
  • 2009 : Rachat de Prelude-Technologies par la société INL
  • 2009 : INL devient Edenwall Technologies
  • 18/08/2011 : Edenwall Technologies est déclaré en cessation de payement, le logiciel Prelude-IDS, les sites et les marques sont mis en vente
  • 13/10/2011 : CS (Communication & Systèmes), partenaire de Edenwall, rachète Prelude-IDS
  • 2012 : Publication de Prelude OSS 1.1 et Prelude Entreprise 1.1
  • 01/2014 : Publication de Prelude Entreprise V2
  • 2014 : Prelude est retenu dans le cadre du Plan D'Investissement Avenir pour devenir le SIEM Français pour les OIVs
  • 2014 : Prelude IDS devient Prelude SIEM, Prelude Entreprise devient Prelude SOC
  • Octobre 2015 : Prelude SIEM reçoit le label "France Cybersecurity"
  • 16 avril 2016 : Les formats IDMEF et IODEF sont adoptés au sein du RGI V2 (Référentiel Général d’Interopérabilité)
  • Septembre 2016 : Prelude SIEM lance le IDMEF Partner Program
  • 22 Septembre 2016 : Prelude OSS reçoit le prix OW2 2016 "Community Award"
  • Mars 2017 : Publication de Prelude SIEM V4 , résultat de deux années de développement dans le cadre du PIA.
  • Septembre 2017 : Nouveau format de packaging mis à disposition : Machine virtuelle

Caractéristiques[modifier | modifier le code]

Prelude collecte, normalise, trie, agrège, corrèle et notifie tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion.

Les principales caractéristiques de Prelude SIEM sont les suivantes :

  • construit sur un cœur open-source ( C et Python) , client léger Web 2.0
  • conformité aux standards : IDMEF (RFC 4765[1]), IODEF (RFC 4650[2]), HTTP, XML, SSL, etc
  • Smart Data : corrélation intelligente des événements de sécurité
  • Big Data : Collecte, Stockage, Indexation des traces
  • performances, modularité, souplesse et résilience
  • architecture hiérarchique et décentralisée

Prelude OSS[modifier | modifier le code]

Prelude OSS a été conçu de façon modulaire de façon à s'adapter simplement à tout type d'environnement.

Les principaux modules de la version open-source sont les suivants :

  • Manager, reçoit et stocke en base les alertes
  • LibPrelude, connecte les différentes sondes à Prelude
  • LibPreludeDB, module de mise en base
  • Correlator : module de corrélation
  • LML (Log Management Lackey) : module de traitement des logs
  • Prewikka : interface web d'exploitation

On retrouve ces modules dans le module ALERTE de la version commerciale avec de nombreuses fonctionnalités complémentaires et des performances adaptées aux systèmes opérationnels des entreprises.

Prelude SIEM et Prelude SOC[modifier | modifier le code]

L'offre commerciale Prelude est la suivante :

  • Prelude SIEM : Version pour les entreprises composée des modules ALERTE, ANALYSE et ARCHIVE
    • ALERTE : Collecte, Détecte, Normalise, Corrèle, Agrège et Notifie en temps réel.
    • ANALYSE : Recherche, Analyse comportementale, Statistiques, Reporting, Conformité
    • ARCHIVE : Collecte, Archive et Index les journaux et les flux pour le Forensic
  • Prelude SOC : offre modulaire complète au dessus de Prelude SIEM pour équiper un centre opérationnel de sécurité (SOC)
    • MAP : Cartographie temps réel du parc surveillé, navigation dans les cartes, représentation physique et/ou logique
    • VULN : Scanneur de vulnérabilité basé du OpenVAS, corrélation croisée alertes/vulnérabilités
    • ASSET : Gestion de parc basé sur le logiciel GLPI (inventaire, tickets, workflow, etc.)
    • REPORT : Reporting avancé.

Références[modifier | modifier le code]


Liens externes[modifier | modifier le code]