Découvrir Prelude SIEM

logo prelude SIEM outil de sécurité

SUPERVISEZ LA SÉCURITÉ

DE VOTRE SYSTÈME D’INFORMATION

Introduction

Issu d'un projet logiciel libre, Prelude SIEM offre l'excellence open-source en matière de qualité et de performances. À partir de cette base robuste, l'équipe Prelude a dessiné des interfaces ergonomiques et a rajouté des fonctionnalités à destination des équipes de sécurités les plus exigeantes.

Parmi ses nombreuses fonctionnalités, Prelude SIEM vous permet de :

  • surveiller en permanence votre niveau de sécurité et les éventuelles tentatives d'intrusion dont vous êtes la cible.
  • analyser rapidement et efficacement la cause d'une alerte afin d'agir en conséquence.
  • rechercher, investiguer, comparer, corréler afin d'identifier des menaces plus discrètes.
  • conserver toutes les traces de vos systèmes à termes de preuve en assurant leur intégrité.
  • concevoir et publier de multiples formats de rapport techniques ou fonctionnels.

fonctionnalités Prelude SIEM , pyramide des étapes SIEM , centralisation, détection, normalisation, corrélation, agrégation, alerte, analyse et archive

Prelude SIEM : La détection en profondeur

Afin d'extraire l'essentiel de l'information nécessaire aux exploitants pour piloter la sécurité de l'entreprise, les événements envoyés à Prelude passent par différentes étapes résumées ci-dessous. C'est ce traitement systématique sur les données disponibles qui permet la détection en profondeur capable de repérer des événements "standards" mais aussi des déviations par rapport à des attitudes normales. Pour ce faire, Prelude SIEM combien technique de détection classiques avec les dernières techniques d'analyse comportementale ou encore de machine learning.

Les différentes étapes d'une détection d'intrusion sont les suivantes :

Centralisation

Prelude centralise toutes les traces de votre système d'information (syslog, netflow, fichiers, etc) et les archive dans une base sécurisée avant l'analyse.

Détection

Au sein des traces, Prelude recherche des indices de tentatives d'intrusion en combinant plusieurs techniques de détection: la détection classique basée sur la stratégie de surveillance de l'entreprise, la détection externe basée sur les renseignements de la communauté et enfin les nouvelles techniques d'analyse de données à base de machine learning pour identifier les comportements déviants. Prelude implémente ainsi les principes d'une Détection d'Intrusion En Profondeur.

Normalisation

Prelude normalise tous les événements notables ou suspicieux au format standard IDMEF (RFC 4765). Grâce à ce format, les événements sont enrichis afin de faciliter les processus d'automatisation et de corrélation mais aussi afin de fournir le maximum d'informations à l'opérateur (contextualisation des alertes) afin de lui permettre de réagir rapidement et efficacement.

Corrélation

Prelude propose plusieurs moteurs de corrélation, en fonction des besoins de chaque scénario de corrélation. L'utilisateur peut construire son scénario de corrélation à partir de l'IHM en "drag & drop". Il est aussi possible d'automatiser la création de règle à l'aide du méta-langage "EasyCorrel" et enfin pour les besoins les plus avancés, l'opérateur a la possibilité de développer ses règles et ses algorithmes de traitement directement à partir de scripts Python profitant ainsi de toute la richesse de ce langage.

Agrégation

Au niveau des interfaces, l'opérateur a la possibilité d'agréger, trier, filtrer les informations pour mieux en comprendre les causes et les relations. Les informations corrélées peuvent être représentées sous différentes formes graphiques en fonction des besoins. Le calcul de l'agrégation ainsi que les attributs agrégés sont calculés dynamiquement offrant ainsi toute liberté à l'opérateur.

Notification

Prelude propose un tableau de pilotage des menaces proposant un classement opérationnel ainsi que différents outils pour faciliter le traitement de ces menaces (outils d'investigation, accès aux informations d'inventaires et de vulnérabilités, détail des champs IDMEF, accès direct aux résultats d'analyse comportementale, etc.) En complément, pour des équipes plus modestes, Prelude offre de nombreuses fonctions de filtrages qui permettent d'alerter les opérateurs directement sur leur messagerie ou sur leur téléphone mobile en fonction de la gravité. Prelude propose aussi toutes les fonctions de programmation et de reporting technique à destination des directions de l'entreprise (DSI, Finances, RH, etc.).

Les interfaces Prelude SIEM

Interface Prelude SIEM, outil de sécurité, graph, beau design

Les interfaces de Prelude ont été conçues en collaboration avec des opérateurs et des ergonomes. Le look & feel a été étudié pour faciliter le travail des exploitants en rationalisant au maximum le traitement des menaces. Plusieurs concepts sont hérités des plates-formes d'exploitations plus anciennes, s'appuyant sur les processus ITIL par exemple. En complément, de nombreuses alternatives de configuration et de personnalisation sont offertes pour permettre de s'adapter aux plus grands nombres d'utilisateurs et de mode d'exploitation.

Prelude SIEM est totalement opérable à partir d'un navigateur sous environnement Windows comme Linux. Prelude SIEM utilise les dernières technologies Web pour offrir le maximum de confort d'utilisation mais aucune ne sont susceptibles de créer des problèmes de sécurité (flash, java, etc).

Les interfaces sont multilingues dont naturellement le français et l'anglais.

L'interface générale est présentée avec son "Risk Overview" en haut à droite qui affiche de façon synthétique le niveau de risque sur le système d'information. Sous ce Risk Overview se trouve le menu de contrôle pour configurer les données qui seront affichées dans la zone d'exploitation. En mode opérationnel, on va travailler sur la journée, quelques jours pouvant aller jusqu'à une semaine. En mode forensique, on peut travailler sur des périodes beaucoup plus longues (mois, trimestre, année). Des filtres (pré-enregistrés ou créés à la volée) peuvent aussi être appliqués sur les données affichées. Il est également possible de naviguer entre entités telles que des agences, des sites pour une grande entreprise ou des clients pour un opérateur MSSP. Enfin, on retrouve dans le menu les différents modules de l'application : ALERTE, ARCHIVE, ANALYSE et ADMIN.

Les modules Prelude SIEM

Alerter en temps réel SIEM
Archiver SIEM journaux logs
Analyser SIEM
Admin SIEM

Le module ALERTE

Le module Alerte est le cœur de la détection en profondeur de Prelude SIEM. Ce module est en charge de la réception des traces, de leur analyse, leur normalisation en IDMEF, leur corrélation, leur agrégation puis de leur notification aux opérateurs. Le suivi des alertes se fait au sein d'un "Bac à alertes" qui hérite des retours d'expériences des déploiements Prelude SIEM sur de nombreux SOCs.

Interface Module Alerte Prelude SIEM

La tâche de l'exploitant est facilitée par :

  • Une présentation claire des informations avec un découpage en colonnes, triables et configurables, des champs IDMEF;
  • Un calcul du niveau de menace et de risques de chaque alerte matérialisé par une couleur et un chiffre;
  • Une zone de recherche permettant des filtres rapides sur l'information;
  • De nombreux menus contextuels paramétrables, permettant à l'exploitant de récupérer des informations diverses sur l'alerte, les équipements concernés, le détail IDMEF, etc ... sans quitter l'écran de suivi global;
  • Le "one click" action permet de lancer des commandes à partir de l'interface pour investiguer les causes de l'alerte (ex : traceroute, finger, etc. ou vos propres scripts);
  • Les autres fonctionnalités de l'application sont aussi disponibles en un seul clic dans le même ou dans un autre onglet : accès au log à l'origine de l'alerte, la fiche inventaire de l'équipement, les vulnérabilités de l'équipement, l'analyse comportementale de l'équipement ou de l'utilisateur, accès aux fiches de procédures en fonction de la classification de l'alerte, accès la base de connaissances, etc.

Prelude SIEM est dessiné pour simplifier et accélérer le travail des exploitants. Sur la partie temps réel de la détection et lorsqu'un scénario de tentative d'intrusion est détecté, il est parfois important que l'opérateur puisse prendre des décisions rapidement. L'analyse en profondeur, la construction de longue requête de recherche, l'analyse graphique viendra dans un deuxième temps après avoir conduit les premières opérations de mise en sécurité du système.

Le module ARCHIVE

Le module Archive est le module de "Log Management" de Prelude SIEM. Il permet de centraliser, découper, stocker et indexer tout type de donnée.

Interface Module Archive Prelude SIEM

Les journaux sont disponibles ainsi que les netflows, les vulnérabilités et les informations CTI (Cyber Threat Intelligence). Grâce à ce module BigData, les analystes disposent de nombreuses sources d'indices. Les recherches sont réalisées avec une syntaxe standard dont la construction est facilitée par de nombreux menus contextuels. L'architecture de ce module repose sur la célèbre base de données ElasticSearh. Ainsi les capacités de répartition, de montée en charge et de performance sont quasi illimitées.

Le module ANALYSE

Le module Analyse propose de nombreuses fonctionnalités permettant de travailler graphiquement sur les données.

Interface module Analyse Prelude SIEM

Plusieurs dashboards personnalisables (et exportables) sont disponibles à la conception. Il est possible d'y mélanger des représentations classiques et plus complexes sur toutes les données stockées dans Prelude SIEM (alertes, journaux, netflow, etc.). Prelude SIEM propose aussi des dashboards de conformité autour de PCI DSS et ISO 27002. Plusieurs écrans de statistiques sont disponibles pour l'investigation avec des fonctionnalités de "drill down" qui permettent de remonter à la donnée "source" d'une anomalie. Prelude SIEM propose aussi des graphiques avancés qui permettent de détecter des signaux faibles au sein de masses importantes de données (ex : Chord, Sankey, Coordonnées parallèles, etc). Enfin, le module Analyse permet la conception et la programmation de rapport technique ou métier pour les différentes directions de l'entreprise.

Le module ADMIN

Le module Admin de Prelude combine deux modes d’administration. Un mode "IHM" pour les cas les plus courants, doublé d'un mode "fichiers" dans lequel il est possible de configurer l'ensemble de Prelude. Ce deuxième mode avancé permet de nombreuses automatisations ainsi que la maîtrise complète de vos configurations et éventuellement, l'envoi des informations que vous nous transférerez dans le cadre du support. Même si vos données ne quitteront pas la France, il est important que vous en restiez mettre ... pas de dump aveugle d'une base de données fermée !

Interface Admin Prelude SIEM

L'utilisateur final est totalement autonome pour créer, modifier et personnaliser de nouvelles règles de corrélation ainsi que de prendre en compte de nouveaux équipements ou applications. Les opérateurs MSSP peuvent créer des profils de configuration à dupliquer chez chaque client. Une gestion des droits très granulaires permet de différencier des droits, des profils , des fonctions et des périmètres de données accessibles par chaque utilisateur.

"Pourquoi choisir Prelude SIEM?"