IDMEF Partner Program

Suite à l’adoption par l’administration française des formats IDMEF et IODEF au sein du Référentiel Général d’Interopérabilité, CS annonce le lancement de son nouveau « IDMEF Partner Program » permettant de favoriser l’interopérabilité en matière de cybersécurité et répondre ainsi aux nouveaux enjeux des opérateurs d’importance vitale (OIV).

 

Depuis 2014, CS pilote le projet SECEF (Security Exchange Format), en partenariat avec Télécom Sud Paris et Centrale Supélec, sous la direction de la DGA Maitrise de l’Information et en collaboration avec le COSSI (Centre Opérationnel de la Sécurité des Systèmes d’Information) de l’ANSSI. Ce projet vise à promouvoir et à améliorer les 2 standards existants (IDMEF– Intrusion Detection Message Exchange Format et IODEF– Incident Object Description Exchange Format) pour favoriser les échanges en matière de cyber détection.

 

Lors du SECEF DAY ’16, 4 partenaires, couvrant déjà plusieurs aspects complémentaires de la cybersécurité, étaient présents pour présenter leur solution et démontrer leur interopérabilité avec Prelude SIEM grâce au format IDMEF :

  • NIDS haute performance : Stamus Networks
    Stamus Networks est un éditeur de sondes de détection d’intrusion réseau haute performance offrant des capacités d’extraction de données protocolaires ainsi qu’une administration centralisée.
  • Global SSO : ILEX – Sign & Go
    La solution Sign&go est modulaire et offre des fonctionnalités d’authentification renforcée, de Web Access Management, de Mobile Access Management, de fédération d’identités et de eSSO (ou « Enterprise Single Sign-On »).  C’est le premier produit de Global SSO.
  • Anti-DDoS : 6cure Threat Protection
    La solution 6cure TP permet d’éliminer en temps réel les trafics malveillants à destination des services critiques avec une philosophie simple : préserver l’intégrité et la performance des flux légitimes.
  • Anti-virus : Teclib’ – Armadito
    Armadito est un tout nouveau projet d’antivirus open source modulaire et multiplateformes (Linux et Windows), qui fournit détection par signatures et modules d’analyse heuristiques. Une solution d’administration centralisée basée sur GLPI est en développement.

Trois nouveaux partenaires ont d’ores et déjà annoncé leur volonté de rejoindre le programme :

  • Darktrace, leader mondial de la technologie “Enterprise Immune System”, basée sur l’auto-apprentissage et des mathématiques Bayésiennes
  • Quarkslabs et leur solution de détection et d’analyse de malwares IRMA (Incident Response & Malware Analysis).
  • Sentryo, éditeur d’une plateforme de monitoring de l’Internet Industriel.

 

Pour tout renseignement et si vous désirez participer à ce programme contactez l’équipe Prelude.

Renseignement sur le projet SECEF : www.secef.net

Prelude SIEM en conformité avec le RGI V2

Le Référentiel Général d’Interopérabilité est officiellement en vigueur depuis le 20 avril 2016. Ce document liste les protocoles et formats recommandés pour les administrations françaises afin d’assurer l’interopérabilité entre ces dernières.
S’appuyant sur les travaux du projet SECEF mené par CS en partenariat avec Telecom Sud Paris et Centrale Supelec, les services de la modernisation de l’état y ont inclus les formats IDMEF (RFC 4765)  et IODEF (RFC 5070) au chapitre « Messages de sécurité ». Ces formats sont référencés au niveau « recommandé » qui est le niveau le plus élevé de ce document.

 

Le projet SECEF (SECurity Exchange Format) soutenu par le Ministère de la Défense et l’ANSSI vise en effet à améliorer et promouvoir l’utilisation de standards dans la lutte contre la cybercriminalité, domaine où la coopération est indispensable face à des réseaux de cybercriminels de mieux en mieux organisés.

 

Prelude SIEM implémente le format IDMEF depuis ses origines et le format IODEF depuis la version 2.1 (2014)

 

 

L’équipe Prelude

Puissance du format IDMEF

La puissance d’un SIEM repose en grande partie sur la richesse et la pertinence du format sur lequel il se base. Dans ce domaine, Prelude utilise le format le plus puissant et standard disponible aujourd’hui.

 

Prelude implémente le format IDMEF pour le traitement des alertes. IDMEF (Intrusion Detection Message Exchange Format) est un format défini par l’IETF dans les RFC 4765 et 4766. Il a fait l’objet d’un groupe de travail IETF sur plusieurs années. Le groupe de travail IDWG (Intrusion Detection WorkGroup) était composé de membres tels que IBM, le MIT, Cisco, Nokia, le Mitre ainsi que l’équipe Prelude. L’objectif premier de la définition du format IDMEF était d’améliorer les capacités d’automatisation des traitements dans des sondes et des SIEMs pour augmenter les capacités de détection de ces outils, en particulier grâce à la corrélation et pour simplifier le travail des exploitants. En 2015, dans le cadre du Projet SECEF, soutenu par la DGA visant à promouvoir et améliorer les formats IDMEF et IODEF, l’équipe SSIR de CentraleSupelec a effectué une étude comparative des principaux formats d’alertes disponibles sur le marché.

 

Le résumé de cette étude est présenté dans le tableau ci-dessous :

Format IDMEF CEF LEEF CIM CEE CADF
Nombre de champs 166 117 50 58 56 48
Nombre de champs normalisés 259 84 49 48 49 76
Nombre de champs traduisibles 259 65 20 29 39 72
Nombre de champs non traduisibles mais pertinents 0 15 11 11 5 3
Nombre de champs non traduisibles et peu pertinents 0 4 18 8 5 1
Nombre de champs pertinents 248 80 31 40 44 75
Couverture du format IDMEF 100 % 25 % 8% 11 % 15 % 28 %
Richesse relative par rapport à IDMEF 100 % 32 % 13 % 16 % 18 % 30 %

Format IDMEF CEF LEEF CIM CEE CADF
Origine IETF-RFC 4765 HP-ArcSight IBM-QRadar DMTF Mitre Open Group
Expressivité +++ ++ + +? ++
Structuration +++ + ++

Cette étude met en évidence deux particularités de IDMEF par rapport à ses concurrents propriétaires :

 

  • Une expressivité largement supérieure à ses concurrents. Associé à la puissance du corrélateur et des modules de filtrage de Prelude, cette richesse permet de traiter plus efficacement les alertes ce qui améliorent ainsi les capacités de détection. Ce transfert de traitement de l’analyste à l’outil permet son utilisation 24/7 par des équipes de premier niveau non expertes.
  • Une structuration également supérieure à ses concurrents. Grâce à cette structuration, les informations d’alertes et menaces affichées dans les interfaces Prelude représentent beaucoup plus fidèlement et contextuellement la réalité du réseau. Le cheminement entre différentes sondes et le manager par exemple est très simplement représenté et permet un traitement plus simple et mieux cloisonné de système information de moyenne et grande taille.

 

Dans le cadre des travaux du projet SECEF, le format IDMEF fait l’objet de propositions d’évolutions et d’enrichissements qui va renforcer sa supériorité expressive par rapport à ses concurrents.

PRELUDE NG au FIC 2016

CS présentera au Forum International de la Cybersécurité 2016 la prochaine version de Prelude : Prelude NG.

CS présentera la prochaine version de Prelude - PRELUDE NG -

Les 25 & 26 JANVIER

au GRAND PALAIS de Lille

 

La société participera à l'atelier B 04

« Big Data : l’outil sécuritaire ultime ? »

Le 26 JANVIER de 14:45 à 15:45

Quoi de neuf dans Prelude NG ?

Prelude NG représente la première version de Prelude issue du Projet d'Investissement Avenir (PIA) soutenu par l'ANSSI, le Ministère de la Défense et la Banque Publique d'Investissements (BPI). Les travaux du projet PIA portent sur l’amélioration des Interfaces Homme-Machine, sur de nouvelles fonctionnalités d'exploitation ainsi que sur les performances de Prelude.

IHM et Ergonomie

Refonte complète des IHM : Les Interfaces Homme-Machine de Prelude NG utilisent désormais les dernières technologies pour le développement d’applications en « client riche » (Bootstrap, Ajax, HTML5, etc.) rendant ainsi les interfaces modernes, dynamiques et responsives.

 

Widgets : Prelude NG s’appuie sur les technologies de « widgets» pour l’affichage des fenêtres, évitant ainsi la navigation d'onglets en onglets. La concentration des exploitants est donc améliorée.

 

Info-bulles : L’exploitant dispose aujourd’hui d’informations contextuelles sous forme d’info-bulles dans les interfaces d'exploitation. Il n’est donc plus nécessaire de changer de fenêtre pour accéder à ces informations, ce qui facilite le traitement des alertes.

 

Nouvelle librairie de visualisation graphique : Abandon des anciens graphes FusionCharts en Flash pour une nouvelle librairie récente et dynamique en HTML5 (meilleure compatibilité avec les navigateurs récents et meilleure sécurité). L’affichage est plus ergonomique et plus fluide. En complément, plusieurs nouvelles fonctionnalités sont disponibles sur les graphes (modification dynamique de la représentation, agrégation dynamique de portions de graphes, possibilités de sauvegardes en lignes au format image d’un graphe, etc.

 

Dashboard personnalisable : En quelques clics, il est possible de construire un dashboard à partir des nombreuses vues disponibles. Ainsi, on peut combiner statistiques, forensic mais aussi chronologie et bac à alertes.

 

Exploitation et Déploiement

Bac à Alertes simplifié : Un bac à alertes épuré est disponible pour les exploitants de Niveau 1. Le bac « avancé » reste disponible pour les analystes et les exploitants confirmés.

 

Menu de contrôle : Le menu de contrôle a été complètement repensé et ré-écrit pour faciliter le travail des exploitants. Le menu est facilement disponible et dispose de nouveaux raccourcis pour l’exploitation. L’utilisation de composants récents (calendrier, curseur temporel, etc.) réduit le travail de saisie des exploitants.

 

Nouvelles interfaces de configuration des règles de sélection et de corrélation : Des mécanismes ergonomiques ont été ajoutés pour créer des règles de corrélation par drag & drop. La conception des critères de corrélation et de sélection se fait en mode wysiwyg. Grâce au réagencement complet de ces interfaces, il n'est plus nécessaire d'éditer des fichiers de programmation pour gérer les différentes règles.

 

Déploiement des règles : Toutes ces opérations se font au travers des interfaces de déploiement. Il n’est plus nécessaire d’éditer les fichiers de configuration et d’accéder aux commandes en ligne pour activer les règles de corrélation et de sélection.

 

Développement d'un nouveau module Archive : Le module Archive (stockage et indexation BigData des journaux) a été totalement repensé pour en améliorer l’ergonomie et l'efficacité. L'interface de recherche présente une vue graphique des résultats et les recherches peuvent se construire en quelques clics. Une zone de saisie « expert » reste disponible pour les utilisateurs avancés. En complément, l'IHM du module Archive est compatible avec des gestionnaires de journaux externes.

 

Plugins multi-archives : Pour répondre aux besoins des clients qui disposent déjà d’un gestionnaire de journaux, Prelude NG peut s'intégrer avec les principales solutions du marché. Des plugins spécifiques sont disponibles pour Splunk, ELK, Graylog et ELSA.

 

Gestion de la conformité PCI DSS et ISO 27002 : De nouveaux graphes de conformité répondant aux normes PCI DSS et ISO 27002 sont désormais disponibles. Ils sont éditables en format bureautique ou affichables directement dans l'interface Web.

 

Forensic : Prelude NG propose plusieurs représentations graphiques avancées pour aider les exploitants à identifier les comportements anormaux jusqu’aux APT. Ces graphiques proposent des perspectives de représentations nouvelles et originales propices à l'analyse forensic.

 

Administration des boîtiers : L’administration et la configuration des boîtiers se fait aujourd’hui au travers d’interfaces embarquées. Des interfaces sont disponibles pour la configuration réseaux et systèmes, pour la maintenance et l'analyse de panne.

 

Base de connaissances : Prelude NG embarque une base de connaissances et des fiches reflex enrichissables en ligne qui assistent les exploitants dans la résolution d'incidents.

 

Supervision des boîtiers : Un nouveau module de supervision permet la surveillance de l’état du boîtier Prelude NG (espace disque, cpu, interfaces réseau...). Le dépassement de certains seuils fera l'objet d'une alerte.

 

Nouvelles sondes : Un connecteur natif IDMEF a été implémenté dans de nouvelles sondes de détection : Pare-feu applicatif (WAF) : mod-security, Anti-virus : ClamAV, Anti-spam : SpamAssassin, Proxy  : Squid, CrawlProtect : (WAF PHP)

 

Interfaces métiers : L'ensemble du code des interfaces d'exploitation est organisé sous forme d'Apps. Cette architecture offre des facilités de configuration fine des interfaces, et donne aussi la possibilité à des tiers, de développer de nouveaux plugins « métiers » à intégre

 

Interface IODEF : Prelude NG propose une première interface IODEF. Cette interface permet de créer un incident au format IODEF à partir d’un incident Prelude et l’envoyer par courrier électronique. IODEF (Incident Object Definition Exchange Format) est le format standard de définition d’incident de sécurité qui permet de répondre aux obligations de déclaration d’incidents des entreprises.

 

Enrichissement des configurations par défaut :

 

Sélection : +100 équipements

Corrélation : +80 règles

Vues : 20 nouvelles vues

Performances

Vitesse de recherche et d’affichage des alertes dans les IHM  x 10
Amélioration des performances de recherche et de sélection dans la base d’alertes par optimisation des requêtes de sélection, multiplication de la rapidité de recherche jusqu'à un facteur x10.

 

Vitesse d’insertion en base  x2
Amélioration des performances de traitement des alertes brutes et corrélations, multiplication des vitesses d’insertion par un facteur x2, ce qui relève le nombre théorique d’alertes possibles par boîtiers à 16 millions sur une journée.

Sortie officielle de Prelude V2

Après plus d’un an de développement CS a le plaisir d’annoncer une nouvelle version majeure de son SIEM.Au programme de cette nouvelle version :

 

  • Un nouveau module d’analyse visuelle basé sur des graphes mathématiques permettant la recherche de comportements anormaux et autres signaux faibles
  • Des interfaces Web de configuration des règles du corrélateur et du parseur
  • Une nouvelle technologie d’affichage totalement basée sur Ajax et rendant la transition des pages beaucoup plus rapide
  • Un nouveau module de corrélation avec des performances considérablement augmentées
  • Un module de scan de vulnérabilité
  • Un mode basique pour les superviseurs/veilleurs et un mode expert pour les analystes et le forensique pour le bac à alertes
  • Des nouvelles fonctionnalités de personnalisation dont le thème de l’interface
  • Un module de gestion de rapports simples intégrés à l’interface de la version Pro
  • etc.

 

Retrouver les détails de cette version sur le site : http://preludesiemm.wpengine.com/prelude-soc/

Prelude OSS 1.2.5 est disponible

Au programme de cette version de multiples corrections de bugs, de nombreuses améliorations et quelques nouvelles fonctionnalités (ex : TCP/SSL pour LML). Retrouvez les détails de cette version dans la release note de la 1.2.5.

 

Les sources sont disponibles au format tar.gz et sous forme de paquets RH/CentOS 6.5.

 

Une version 2.0 de Prelude Entreprise avec de nombreuses nouvelles fonctionnalités est prévue pour le mois de septembre 2014.