Prelude SIEM (system wykrywania włamań)
| Oryginalni autorzy | Yoanna Vandoorselaera |
|---|---|
| Deweloper (y) | CS |
| Pierwsze wydanie | 1998 |
| Wersja stabilna | 5.2.0 / 11 września 2020 r
|
| Magazyn | |
| Napisane w | Pyton, C |
| System operacyjny | Linux , *NIX |
| Standard (y) | RFC4765 |
| Dostępne w | Francuski, angielski, niemiecki, hiszpański, włoski, polski, portugalski, rosyjski |
| Typ | SIEM |
| Licencja | Zastrzeżone oprogramowanie i GPLv2 |
| Strona internetowa |
|
Prelude SIEM to rozwiązanie do zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem (SIEM).
Jest to narzędzie zapewniające bezpieczeństwo IT. Prelude SIEM gromadzi i centralizuje informacje na temat bezpieczeństwa IT firmy, aby zapewnić pojedynczy punkt widzenia na zarządzanie nim. Dzięki analizatorowi logów i przepływów Prelude SIEM tworzy w czasie rzeczywistym alerty o włamaniach i zagrożeniach bezpieczeństwa w sieci. Prelude SIEM zapewnia wiele narzędzi do tworzenia raportów kryminalistycznych na temat Big Data i Smart Data w celu identyfikacji słabych sygnałów i zaawansowanego trwałego zagrożenia (APT). Wreszcie, Prelude SIEM zawiera wszystkie narzędzia potrzebne na etapie eksploatacji, aby ułatwić pracę operatorom i pomóc im w zarządzaniu ryzykiem .
Chociaż złośliwy użytkownik (lub oprogramowanie) może być w stanie uniknąć wykrycia pojedynczego IDS (NIDS, HIDS itp.), obejście zabezpieczeń staje się wykładniczo trudniejsze, gdy istnieje wiele mechanizmów ochronnych. Prelude SIEM jest wyposażony w duży zestaw czujników, z których każdy monitoruje inny rodzaj zdarzeń. Prelude SIEM umożliwia gromadzenie alertów w WAN , niezależnie od tego, czy jego zakres obejmuje miasto, kraj, kontynent czy świat.
Prelude SIEM jest systemem SIEM zdolnym do współpracy ze wszystkimi systemami dostępnymi na rynku. Implementuje natywnie format wymiany komunikatów o wykrywaniu włamań (IDDMEF, RFC 4765), który staje się pożądany na całym świecie. W ten sposób jest natywnie kompatybilny IDMEF z OpenSource IDS: AuditD, Nepenthes, NuFW , OSSEC , Pam, Samhain , Sancp, Snort , Suricata , Kismet itp., ale każdy może napisać własny IDS lub skorzystać z dostępnych czujników innych firm, biorąc pod uwagę otwarte interfejsy API i biblioteki Prelude SIEM.
Od 2016 roku, dzięki „Programowi partnerskiemu Prelude IDMEF”, Prelude SIEM jest teraz także kompatybilny z IDMEF z wieloma komercyjnymi systemami IDS.
Prelude SIEM zapewnia wszystkie funkcje SIEM poprzez trzy moduły: ALERT (SEM), ANALIZA i ARCHIWUM (SIM), dzięki czemu jest jedyną prawdziwą alternatywą SIEM na rynku. Ponadto Prelude SIEM promuje stosowanie standardów bezpieczeństwa IETF poprzez projekt SECEF i „Program partnerski Prelude IDMEF”.
Historia
- 1998: Utworzenie projektu IDS przez Yoanna Vandoorselaere: Prelude IDS
- 2002: Prelude staje się hybrydowym systemem IDS
- 2005: Utworzenie firmy Prelude-Technologies
- 2009: Stowarzyszenie INL przejmuje firmę Prelude-Technologies
- 2009: INL zmienia nazwę na Edenwall Technologies
- 2011-08-18: Edenwall Technologies ogłasza zawieszone płatności, oprogramowanie Prelude-IDS, firma i marka są w sprzedaży
- 2011-10-13: CS ( Komunikacja i systemy ), partner Edenwall, kup Prelude-IDS
- 2012: Otwarcie stron internetowych: www.prelude-ids.org i www.prelude-ids.com (obecnie www.prelude-siem.com)
- 2012: Wydanie nowej wersji Prelude OSS 1.1 i Prelude Enterprise 1.1
- 2014: Wydanie Prelude Enterprise V2
- 2014: Prelude IDS zmienia się w Prelude SIEM, a Prelude Enterprise w Prelude SOC
- 2015: Prelude SIEM otrzymało nagrodę „France Cybersecurity” (francuskie cyberbezpieczeństwo)
- 2016: Prelude SIEM uruchamia „Program partnerski Prelude IDMEF”
- 2016: Prelude SIEM OSS (wersja Community) otrzymało nagrodę OW2 dla swojej społeczności
- 2017: Wydanie Prelude SIEM 4.0, wyniki dwóch lat prac badawczo-rozwojowych
- 2017: Dostępne nowe opakowanie Prelude SIEM: Machine Cnotelle
Funkcje
Prelude SIEM zbiera, normalizuje, sortuje, agreguje, koreluje i wyświetla wszystkie zdarzenia związane z bezpieczeństwem, niezależnie od rodzaju sprzętu monitorującego. Oprócz możliwości przetwarzania wszystkich typów dzienników zdarzeń (dzienniki systemowe, syslog, pliki płaskie itp.), Prelude SIEM jest natywnie kompatybilny z wieloma IDS.
Główne cechy Prelude SIEM są następujące:
- Zbudowany na rdzeniu open source (Python, C), lekki klient sieciowy 2.0
- Operacja „bez agenta”.
- Zgodny z formatem wymiany komunikatów o wykryciu włamań (IDDMEF, RFC 4765), formatem wymiany opisu obiektu zdarzenia (IODEF, RFC 5070), standardami HTTP , XML , SSL
- Inteligentne dane: inteligentna korelacja zdarzeń związanych z bezpieczeństwem
- Big Data: zbieranie, przechowywanie i indeksowanie logów
- Modułowy, elastyczny i wytrzymały
- Architektura hierarchiczna i zdecentralizowana
Wersja społecznościowa Prelude SIEM
Prelude SIEM OSS został zaprojektowany w sposób skalowalny, aby łatwo dostosować się do każdego środowiska. jest to bezpłatna, publiczna i otwarta wersja (GPLV2) przeznaczona do małych infrastruktur IT, testów i celów edukacyjnych.
Wersja open source składa się z następujących głównych modułów:
- Menedżer: który odbiera i przechowuje alerty w bazie danych
- LibPrelude: podłącz każdego agenta IDMEF do Prelude SIEM
- LibPreludeDB: moduł szybkiego wstawiania baz danych
- Korelator: moduł korelacji zdarzeń
- LML (Log Management Lackey): wykrywa i normalizuje ważne dzienniki
- Prewikka: internetowy graficzny interfejs użytkownika (GUI)
Moduły te stanowią bazę modułu ALERT w wersji komercyjnej. Wersja komercyjna dodaje również wiele funkcjonalności do tych modułów i zwiększa wydajność i możliwości architektury.
Prelude SIEM i Prelude SOC
Prelude SIEM (wersja komercyjna) to skalowalna, profesjonalna i wydajna wersja Prelude, przeznaczona do środowisk rzeczywistych. Prelude SOC jest wersją w pełni skalowaną, głównie do SOC ( Security Operations Center ).
Wersje komercyjne są zorganizowane w następujący sposób:
-
Prelude SIEM : SIEM dla przedsiębiorstw z modułami: ALERTE, ANALIZA i ARCHIWUM
- ALERTE: przechowywanie, wykrywanie, normalizacja, korelacja, agregacja, powiadamianie w czasie rzeczywistym
- ANALIZA: analiza, raportowanie i zgodność
- ARCHIWUM: Przechowywanie, indeksacja logów i przepływów dla kryminalistyki
-
Prelude SOC : również do Prelude SIEM, możliwe jest dodanie większej liczby modułów bezpieczeństwa operacyjnego w celu zbudowania Centrum Operacyjnego Bezpieczeństwa (SOC)
- MAPA: Kartografia parku IT w czasie rzeczywistym ze wskaźnikami bezpieczeństwa. Możliwe jest drążenie i tworzenie reprezentacji fizycznych, logicznych lub dotyczących zarządzania ryzykiem
- VULN: Skaner podatności oparty na OpenVAS . Możliwe jest użycie go wewnątrz korelatora w celu wykonania korelacji krzyżowej
- ZASOBY: Zarządzanie aktywami w oparciu o GLPi (aktywa, zgłoszenia, przepływ pracy itp.)
- RAPORT: Raportowanie Business Intelligence