Puissance du format IDMEF
La puissance d’un SIEM repose en grande partie sur la richesse et la pertinence du format sur lequel il se base. Dans ce domaine, Prelude utilise le format le plus puissant et standard disponible aujourd’hui.
Prelude implémente le format IDMEF pour le traitement des alertes. IDMEF (Intrusion Detection Message Exchange Format) est un format défini par l’IETF dans les RFC 4765 et 4766. Il a fait l’objet d’un groupe de travail IETF sur plusieurs années. Le groupe de travail IDWG (Intrusion Detection WorkGroup) était composé de membres tels que IBM, le MIT, Cisco, Nokia, le Mitre ainsi que l’équipe Prelude. L’objectif premier de la définition du format IDMEF était d’améliorer les capacités d’automatisation des traitements dans des sondes et des SIEMs pour augmenter les capacités de détection de ces outils, en particulier grâce à la corrélation et pour simplifier le travail des exploitants. En 2015, dans le cadre du Projet SECEF, soutenu par la DGA visant à promouvoir et améliorer les formats IDMEF et IODEF, l’équipe SSIR de CentraleSupelec a effectué une étude comparative des principaux formats d’alertes disponibles sur le marché.
Le résumé de cette étude est présenté dans le tableau ci-dessous :
| Format | IDMEF | CEF | LEEF | CIM | CEE | CADF |
|---|---|---|---|---|---|---|
| Nombre de champs | 166 | 117 | 50 | 58 | 56 | 48 |
| Nombre de champs normalisés | 259 | 84 | 49 | 48 | 49 | 76 |
| Nombre de champs traduisibles | 259 | 65 | 20 | 29 | 39 | 72 |
| Nombre de champs non traduisibles mais pertinents | 0 | 15 | 11 | 11 | 5 | 3 |
| Nombre de champs non traduisibles et peu pertinents | 0 | 4 | 18 | 8 | 5 | 1 |
| Nombre de champs pertinents | 248 | 80 | 31 | 40 | 44 | 75 |
| Couverture du format IDMEF | 100 % | 25 % | 8% | 11 % | 15 % | 28 % |
| Richesse relative par rapport à IDMEF | 100 % | 32 % | 13 % | 16 % | 18 % | 30 % |
| Format | IDMEF | CEF | LEEF | CIM | CEE | CADF |
|---|---|---|---|---|---|---|
| Origine | IETF-RFC 4765 | HP-ArcSight | IBM-QRadar | DMTF | Mitre | Open Group |
| Expressivité | +++ | ++ | - | + | +? | ++ |
| Structuration | +++ | -- | -- | + | - | ++ |
Cette étude met en évidence deux particularités de IDMEF par rapport à ses concurrents propriétaires :
- Une expressivité largement supérieure à ses concurrents. Associé à la puissance du corrélateur et des modules de filtrage de Prelude, cette richesse permet de traiter plus efficacement les alertes ce qui améliorent ainsi les capacités de détection. Ce transfert de traitement de l’analyste à l’outil permet son utilisation 24/7 par des équipes de premier niveau non expertes.
- Une structuration également supérieure à ses concurrents. Grâce à cette structuration, les informations d’alertes et menaces affichées dans les interfaces Prelude représentent beaucoup plus fidèlement et contextuellement la réalité du réseau. Le cheminement entre différentes sondes et le manager par exemple est très simplement représenté et permet un traitement plus simple et mieux cloisonné de système information de moyenne et grande taille.
Dans le cadre des travaux du projet SECEF, le format IDMEF fait l’objet de propositions d’évolutions et d’enrichissements qui va renforcer sa supériorité expressive par rapport à ses concurrents.