Vos questions sur Prelude SIEM ? | FAQ

Vous retrouverez ci-dessous quelques questions qui nous sont régulièrement posées à propos de  Prelude SIEM.

Pourquoi ne pas utiliser la version open-source PRELUDE OSS ?

Prelude OSS reprend les principes de base de Prelude SIEM autour du format IDMEF. Une partie du code est commune aux deux logiciels. Mais Prelude OSS est limité en performance et en fonctionnalité par rapport à Prelude SIEM.

Si vous êtes dans un environnement peu critique ou encore si vous souhaitez uniquement tester Prelude SIEM vous pouvez déployer Prelude OSS, mais gardez à l'esprit qu'il est beaucoup moins puissant que Prelude SIEM.

Prelude OSS peut aussi être une première étape que vous pourrez enrichir par la suite via notre nouvelle offre de "Plugins OSS" ou directement par une migration de Prelude OSS vers Prelude SIEM grâce à nos outils de migration.

Pourquoi Prelude SIEM est-il "100% SIEM" ?

Un SIEM est composé de deux fonctionnalités distinctes : un module de gestion de logs et un module de détection temps réel. Au-delà de la définition, cette distinction est indispensable pour une supervision de la sécurité simple et performante.

On peut être tenté de se contenter d'un gestionnaire de logs "amélioré", d'autant qu'à l'installation il semble toujours plus simple à utiliser, mais cela demandera à vos équipes plus d'expertise et souvent plus de temps pour réaliser le travail par rapport à notre module de détection temps réel.

Le temps et l'expertise sont les deux éléments qui coûtent le plus cher dans l'exploitation d'un SIEM, beaucoup plus cher que le logiciel ou encore que le coût de l'installation et de la configuration.

Nous insistons donc sur notre complétude parce que cela est essentiel pour rationaliser vos coûts d'exploitation.

Pourquoi Prelude SIEM n'apparaît pas dans le "Magic Quadrant" du Gartner ?

Chaque année le Gartner publie un classement des principaux SIEM du marché US au sein du « Magic Quadrant ». S’appuyant sur des témoignages clients, mais sans tester les produits, les équipes du Gartner définissent des critères de comparaison et affecte des notes à chaque société qui les ont sollicité pour participer à cette étude.

Compte-tenu de notre positionnement produit résolument alternatif aux « big four » du marché US , de nos différentiant (modularité, adaptabilité,  sécurité, standard, etc.) qui n’apparaissent pas dans la grille Gartner, et bien qu’ayant été contacté par ce dernier, nous n’avons pas souhaité pour l’instant participer à ce classement.

Quels sont les formats d'alertes utilisés par les autres SIEM  ?

Les SIEMs dit « traditionnels » ont tous pour la plupart défini leur propre format d’alerte propriétaire souvent basé sur une extension du format syslog avec un ensemble de clé-valeur. C’est le cas de ArcSight avec le format CEF ou de QRadar avec le format LEEF.

D’autres outils, orientés gestion de logs, n’utilisent pas de format particulier même si d’une certaine façon ils enrichissent également le format syslog.

IDMEF étant un format très riche et très structuré, il faut noter qu’il est globalement compatible avec tous ces formats concurrents. Nous proposons plusieurs règles de transformation de formats propriétaires vers l’IDMEF qui permettent à Prelude SIEM de « hyperviser » d’autres SIEMs.

En quoi l'utilisation du standard IDMEF va-t-il améliorer mon déploiement SIEM ?

Prelude SIEM implémente nativement depuis ses origines le standard IDMEF. Si en informatique il est toujours préférable à moyen et long terme de choisir les standards ouverts, ce n'est pas la seule raison pour vous convaincre de l'intérêt du format IDMEF.

IDMEF n'est pas seulement un standard, mais c'est de loin le format le mieux adapté pour gérer la détection d'intrusion XXX. Les alternatives propriétaires (CEF de ArcSight, LEEF de QRadar, etc) sont des extensions simples du format syslog qui par définition est un format de log. Le format IDMEF de son côté a été défini dès l'origine pour gérer des événements de détection d'intrusion. Ce format a été défini par un groupe de travail à l'IETF qui s'est investi plusieurs années sur le sujet. Au sein de ce groupe de travail on retrouve des acteurs tels que IBM, Boeing, Nokia, Cisco, ISS mais aussi le MIT et le Mitre et déjà à l'époque l'équipe Prelude.

A l'occasion de la première phase du projet SECEF (SECurity Exchange Format), IDMEF a été comparé à ses principaux concurrents dont les formats CEF et LEEF. Le résultat est sans appel. Le format IDMEF est beaucoup plus riche que ses concurrents et mieux structuré.

Pour les utilisateurs de Prelude SIEM, cela signifie qu'ils peuvent pousser plus loin l'automatisation des traitements (corrélation, filtrage, etc.). Cela permet aussi aux exploitants de disposer de plus d'information et de plus de contexte pour prendre rapidement des décisions. Autant d'avantages qui améliorent l'exploitation du produit tout en réduisant les coûts.

Prelude SIEM est-il compatible avec le format standard STIX (Taxii et Cybox) ?

La principale fonction de ce standard est la description de CTI afin de pouvoir les partager, les stocker et les analyser. STIX n’est pas un concurrent de IDMEF. STIX est un format complémentaire pour gérer la CTI. Prelude SIEM est compatible avec ce format au niveau de son module CTI.

 

Si vous n'avez pas trouvé réponse à vos interrogations, n'hésitez pas à nous contacter !