Puissance du format IDMEF

La puissance d’un SIEM repose en grande partie sur la richesse et la pertinence du format sur lequel il se base. Dans ce domaine, Prelude utilise le format le plus puissant et standard disponible aujourd’hui.

 

Prelude implémente le format IDMEF pour le traitement des alertes. IDMEF (Intrusion Detection Message Exchange Format) est un format défini par l’IETF dans les RFC 4765 et 4766. Il a fait l’objet d’un groupe de travail IETF sur plusieurs années. Le groupe de travail IDWG (Intrusion Detection WorkGroup) était composé de membres tels que IBM, le MIT, Cisco, Nokia, le Mitre ainsi que l’équipe Prelude. L’objectif premier de la définition du format IDMEF était d’améliorer les capacités d’automatisation des traitements dans des sondes et des SIEMs pour augmenter les capacités de détection de ces outils, en particulier grâce à la corrélation et pour simplifier le travail des exploitants. En 2015, dans le cadre du Projet SECEF, soutenu par la DGA visant à promouvoir et améliorer les formats IDMEF et IODEF, l’équipe SSIR de CentraleSupelec a effectué une étude comparative des principaux formats d’alertes disponibles sur le marché.

 

Le résumé de cette étude est présenté dans le tableau ci-dessous :

Format IDMEF CEF LEEF CIM CEE CADF
Nombre de champs 166 117 50 58 56 48
Nombre de champs normalisés 259 84 49 48 49 76
Nombre de champs traduisibles 259 65 20 29 39 72
Nombre de champs non traduisibles mais pertinents 0 15 11 11 5 3
Nombre de champs non traduisibles et peu pertinents 0 4 18 8 5 1
Nombre de champs pertinents 248 80 31 40 44 75
Couverture du format IDMEF 100 % 25 % 8% 11 % 15 % 28 %
Richesse relative par rapport à IDMEF 100 % 32 % 13 % 16 % 18 % 30 %

Format IDMEF CEF LEEF CIM CEE CADF
Origine IETF-RFC 4765 HP-ArcSight IBM-QRadar DMTF Mitre Open Group
Expressivité +++ ++ + +? ++
Structuration +++ + ++

Cette étude met en évidence deux particularités de IDMEF par rapport à ses concurrents propriétaires :

 

  • Une expressivité largement supérieure à ses concurrents. Associé à la puissance du corrélateur et des modules de filtrage de Prelude, cette richesse permet de traiter plus efficacement les alertes ce qui améliorent ainsi les capacités de détection. Ce transfert de traitement de l’analyste à l’outil permet son utilisation 24/7 par des équipes de premier niveau non expertes.
  • Une structuration également supérieure à ses concurrents. Grâce à cette structuration, les informations d’alertes et menaces affichées dans les interfaces Prelude représentent beaucoup plus fidèlement et contextuellement la réalité du réseau. Le cheminement entre différentes sondes et le manager par exemple est très simplement représenté et permet un traitement plus simple et mieux cloisonné de système information de moyenne et grande taille.

 

Dans le cadre des travaux du projet SECEF, le format IDMEF fait l’objet de propositions d’évolutions et d’enrichissements qui va renforcer sa supériorité expressive par rapport à ses concurrents.