Quoi de neuf dans Prelude NG ?
Prelude NG représente la première version de Prelude issue du Projet d’Investissement Avenir (PIA) soutenu par l’ANSSI, le Ministère de la Défense et la Banque Publique d’Investissements (BPI). Les travaux du projet PIA portent sur l’amélioration des Interfaces Homme-Machine, sur de nouvelles fonctionnalités d’exploitation ainsi que sur les performances de Prelude.
IHM et Ergonomie
Refonte complète des IHM : Les Interfaces Homme-Machine de Prelude NG utilisent désormais les dernières technologies pour le développement d’applications en « client riche » (Bootstrap, Ajax, HTML5, etc.) rendant ainsi les interfaces modernes, dynamiques et responsives.Widgets :
Prelude NG s’appuie sur les technologies de « widgets» pour l’affichage des fenêtres, évitant ainsi la navigation d’onglets en onglets. La concentration des exploitants est donc améliorée.
Info-bulles : L’exploitant dispose aujourd’hui d’informations contextuelles sous forme d’info-bulles dans les interfaces d’exploitation. Il n’est donc plus nécessaire de changer de fenêtre pour accéder à ces informations, ce qui facilite le traitement des alertes.
Nouvelle librairie de visualisation graphique : Abandon des anciens graphes FusionCharts en Flash pour une nouvelle librairie récente et dynamique en HTML5 (meilleure compatibilité avec les navigateurs récents et meilleure sécurité). L’affichage est plus ergonomique et plus fluide. En complément, plusieurs nouvelles fonctionnalités sont disponibles sur les graphes (modification dynamique de la représentation, agrégation dynamique de portions de graphes, possibilités de sauvegardes en lignes au format image d’un graphe, etc.
Dashboard personnalisable : En quelques clics, il est possible de construire un dashboard à partir des nombreuses vues disponibles. Ainsi, on peut combiner statistiques, forensic mais aussi chronologie et bac à alertes.
Exploitation et Déploiement
Bac à Alertes simplifié : Un bac à alertes épuré est disponible pour les exploitants de Niveau 1. Le bac « avancé » reste disponible pour les analystes et les exploitants confirmés.
Menu de contrôle : Le menu de contrôle a été complètement repensé et ré-écrit pour faciliter le travail des exploitants. Le menu est facilement disponible et dispose de nouveaux raccourcis pour l’exploitation. L’utilisation de composants récents (calendrier, curseur temporel, etc.) réduit le travail de saisie des exploitants.
Nouvelles interfaces de configuration des règles de sélection et de corrélation : Des mécanismes ergonomiques ont été ajoutés pour créer des règles de corrélation par drag & drop. La conception des critères de corrélation et de sélection se fait en mode wysiwyg. Grâce au réagencement complet de ces interfaces, il n’est plus nécessaire d’éditer des fichiers de programmation pour gérer les différentes règles.
Déploiement des règles : Toutes ces opérations se font au travers des interfaces de déploiement. Il n’est plus nécessaire d’éditer les fichiers de configuration et d’accéder aux commandes en ligne pour activer les règles de corrélation et de sélection.
Développement d’un nouveau module Archive : Le module Archive (stockage et indexation BigData des journaux) a été totalement repensé pour en améliorer l’ergonomie et l’efficacité. L’interface de recherche présente une vue graphique des résultats et les recherches peuvent se construire en quelques clics. Une zone de saisie « expert » reste disponible pour les utilisateurs avancés. En complément, l’IHM du module Archive est compatible avec des gestionnaires de journaux externes.
Plugins multi-archives : Pour répondre aux besoins des clients qui disposent déjà d’un gestionnaire de journaux, Prelude NG peut s’intégrer avec les principales solutions du marché. Des plugins spécifiques sont disponibles pour Splunk, ELK, Graylog et ELSA.
Gestion de la conformité PCI DSS et ISO 27002 : De nouveaux graphes de conformité répondant aux normes PCI DSS et ISO 27002 sont désormais disponibles. Ils sont éditables en format bureautique ou affichables directement dans l’interface Web.
Forensic : Prelude NG propose plusieurs représentations graphiques avancées pour aider les exploitants à identifier les comportements anormaux jusqu’aux APT. Ces graphiques proposent des perspectives de représentations nouvelles et originales propices à l’analyse forensic.
Administration des boîtiers : L’administration et la configuration des boîtiers se fait aujourd’hui au travers d’interfaces embarquées. Des interfaces sont disponibles pour la configuration réseaux et systèmes, pour la maintenance et l’analyse de panne.
Base de connaissances : Prelude NG embarque une base de connaissances et des fiches reflex enrichissables en ligne qui assistent les exploitants dans la résolution d’incidents.
Supervision des boîtiers : Un nouveau module de supervision permet la surveillance de l’état du boîtier Prelude NG (espace disque, cpu, interfaces réseau…). Le dépassement de certains seuils fera l’objet d’une alerte.
Nouvelles sondes : Un connecteur natif IDMEF a été implémenté dans de nouvelles sondes de détection : Pare-feu applicatif (WAF) : mod-security, Anti-virus : ClamAV, Anti-spam : SpamAssassin, Proxy : Squid, CrawlProtect : (WAF PHP)
Interfaces métiers : L’ensemble du code des interfaces d’exploitation est organisé sous forme d’Apps. Cette architecture offre des facilités de configuration fine des interfaces, et donne aussi la possibilité à des tiers, de développer de nouveaux plugins « métiers » à intégre
Interface IODEF : Prelude NG propose une première interface IODEF. Cette interface permet de créer un incident au format IODEF à partir d’un incident Prelude et l’envoyer par courrier électronique. IODEF (Incident Object Definition Exchange Format) est le format standard de définition d’incident de sécurité qui permet de répondre aux obligations de déclaration d’incidents des entreprises.
Enrichissement des configurations par défaut :
Sélection : +100 équipements
Corrélation : +80 règles
Vues : 20 nouvelles vues
Performances
Vitesse de recherche et d’affichage des alertes dans les IHM x 10
Amélioration des performances de recherche et de sélection dans la base d’alertes par optimisation des requêtes de sélection, multiplication de la rapidité de recherche jusqu’à un facteur x10.
Vitesse d’insertion en base x2
Amélioration des performances de traitement des alertes brutes et corrélations, multiplication des vitesses d’insertion par un facteur x2, ce qui relève le nombre théorique d’alertes possibles par boîtiers à 16 millions sur une journée.
