Vos questions sur Prelude SIEM ?

Vous retrouverez ci-dessous quelques questions qui nous sont régulièrement posées à propos de  Prelude SIEM.

Pourquoi ne pas utiliser la version open-source PRELUDE OSS ?

Prelude OSS reprend les principes de base de Prelude SIEM autour du format IDMEF. Une partie du code est commune aux deux logiciels. Mais Prelude OSS est limité en performance et en fonctionnalité par rapport à Prelude SIEM.

Si vous êtes dans un environnement peu critique ou encore si vous souhaitez uniquement tester Prelude SIEM vous pouvez déployer Prelude OSS, mais gardez à l'esprit qu'il est beaucoup moins puissant que Prelude SIEM.

Prelude OSS peut aussi être une première étape que vous pourrez enrichir par la suite via notre nouvelle offre de "Plugins OSS" ou directement par une migration de Prelude OSS vers Prelude SIEM grâce à nos outils de migration.

Enfin, si vous n'avez pas d'agent pour votre sécurité ... PRENEZ Prelude OSS ... sans être aussi puissant que Prelude SIEM il vous protégera et vous évitera d'en perdre.

Pourquoi Prelude SIEM est-il "Full SIEM" ?

Un SIEM est composé de deux fonctionnalités distinctes: un module de gestion de logs et un module de détection temps réel. Au-delà de la définition, cette distinction est indispensable pour une supervision de la sécurité simple et performante.

On peut être tenté de se contenter d'un gestionnaire de logs "amélioré", d'autant qu'à l'installation il semble toujours plus simple à utiliser, mais cela demandera à vos équipes plus d'expertise et souvent plus de temps pour réaliser le travail par rapport à notre module de détection temps réel.

Le temps et l'expertise sont les deux éléments qui coutent le plus cher dans l'exploitation d'un SIEM, beaucoup plus cher que le logiciel ou encore que le coût de l'installation et de la configuration.

Les équipes des grands SOC l'ont bien compris et vous ne trouverez quasiment aucune de ces équipes s'appuyer sur des gestionnaires de logs seuls.

Nous insistons donc sur notre complétude parce que cela est essentiel pour rationaliser vos coûts d'exploitation.

Pourquoi Prelude SIEM n'apparaît pas dans le "Magic Quadrant" du Gartner ?

Nous avons bien étudié le fonctionnement de ce classement et pour l'instant nous n'en sommes pas satisfaits.

Parmi les points qui nous dérangent  :

  • Peu d'utilisateurs le savent mais le Gartner ne teste pas les produits qu'il classe. C'est une forme de notation assez surprenante même s'il est vrai que cette tâche serait très complexe tant que personne n'est d'accord sur les critères de choix à comparer.
  •  Parmi les différents critères de "comparaison", nous sommes surpris de ne pas trouver des critères tels que: la performance, le format  des alertes, la modularité, la complétude, la capacité du SIEM à s'intégrer dans un existant, etc. Autant de critères qui sont des points forts de Prelude SIEM et auxquels peu de nos concurrents satisfont.
  •  La méthode d'analyse du Gartner est "secrète" et parfois controversée. Nous sommes partisans du secret professionnel lorsqu'il s'agit de sécurité mais nous ne pouvons pas nous accepter cela pour la comparaison de produits. C'est un sujet qui mérite au contraire de la transparence.
  • La définition même de SIEM (définition de Gartner en 2005 comme un SIM + un SEM indépendant) a été remise en question par le Gartner pour inclure des nouveaux arrivants que nous sommes nombreux à considérer comme des gestionnaires de Logs améliorés et non des SIEMs
  • Les critères et les modalités de participation sont beaucoup plus favorables à de grands acteurs américains qu'à des acteurs plus modestes du marché Européen
  • Enfin, la participation au Gartner n'est pas gratuite et nous préférons investir dans notre produit et ses fonctionnalités.

Pour conclure vis-à-vis du "Magic Quadrant", Prelude SIEM n'est pas "Magic", il est efficace !

Prelude SIEM n'est-il pas le seul SIEM à implémenter le format IDMEF  ?

Oui, de la même façon que QRadar est le seul SIEM à implémenter le format propriétaire LEEF, Arc Sight est le seul SIEM à implémenter son format propriétaire CEF, etc. pour ne citer que les concurrents qui disposent d'au moins un format et qui ne se contentent pas du format très limité de syslog comme le font les outils de gestion de logs.

Par contre, à la différence de ces formats propriétaires, il existe de nombreuses implémentations open-source de IDMEF ainsi que de nombreux logiciels sondes open-source compatibles avec IDMEF.

En quoi l'utilisation du standard IDMEF va-t-il améliorer mon déploiement SIEM ?

Nous insistons beaucoup sur le fait que Prelude SIEM implémente nativement le standard IDMEF. Si en informatique il est toujours préférable à moyen et long terme de choisir les standards ouverts, ce n'est pas la seule raison pour vous convaincre de l'intérêt du format IDMEF.

IDMEF n'est pas seulement un standard, mais c'est de loin le format le mieux adapté pour gérer la détection d'intrusion. Les alternatives propriétaires (CEF de ArcSight, LEEF de QRadar, etc) sont des extensions simples du format syslog qui par définition est un format de log. Le format IDMEF de son côté a été défini dès l'origine pour gérer des événements de détection d'intrusion. Ce format a été défini par un groupe de travail à l'IETF qui s'est investi plusieurs années sur le sujet. Au sein de ce groupe de travail on retrouve des acteurs tels que IBM, Boeing, Nokia, Cisco, ISS mais aussi le MIT et le Mitre et déjà à l'époque l'équipe Prelude.

A l'occasion de la première phase du projet SECEF (SECurity Exchange Format), IDMEF a été comparé à ses principaux concurrents dont les formats CEF et LEEF. Le résultat est sans appel. Le format IDMEF est beaucoup plus riche que ses concurrents et mieux structuré.

Pour les utilisateurs de Prelude SIEM, cela signifie qu'ils peuvent pousser plus loin l'automatisation des traitements (corrélation, filtrage, etc.). Cela permet aussi aux exploitants de disposer de plus d'information et de plus de contexte pour prendre rapidement des décisions. Autant d'avantages qui améliorent l'exploitation du produit tout en réduisant les coûts.

 

Si vous n'avez pas trouvé réponse à vos interrogations, n'hésitez pas à nous contacter !