Prelude IDS 1.1.0

25
30
déc.
2013
Sécurité

Prelude est un logiciel SIEM qui permet de superviser la sécurité des systèmes d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements ou système surveillés.

Prelude IDS

Au-delà de sa capacité de traitement de tout type de journaux d’événements (journaux système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Nouveautés

Les nouveautés de la version 1.1.0 :

  • Fenêtre de filtre par modèle d'analyseur
  • Ajout d'un filtre dans la vue listant les sondes
  • Fonctionnalité host_url : association d'une url sur une adresse d'hôte
  • Implémentation de la fonction set_host_command : association d'une commande sur une adresse d'hôte
  • Bouton pour masquer tout/afficher tout dans la vue de liste
  • Plusieurs nouvelles règles LML : cisco, freeradius, symantec
  • Corrections de bugs divers (en cas d'erreur de schéma dans la base données, pour la conformité XHTML, division par zéro, etc.)

Historique

Prelude est à l'origine une sonde IDS (Intrusion Detection System) développée par Yoann Vandoorselaere dès 1998, puis le projet a évolué pour devenir un « meta IDS », l'ancêtre du SIEM. En janvier 2012 la solution Prelude a été rachetée par la société C-S qui publie déjà une solution open-source de supervision de performance (Vigilo). La version 1.1.0 est la deuxième publication depuis le rachat.

Déclinaisons

Aujourd'hui la solution est déclinée en trois versions :

  • Prelude OSS : Version sous licence GPLv2 disponible sur le site communautaire,
  • Prelude Pro : une version Professionnelle conçue pour traiter des gros volumes de données et possédant des fonctionnalités supplémentaires
  • Prelude Entreprise : une version proposant de nombreux modules complémentaires et concue pour batîr un SOC (Security Operation Center).

Philosophie UNIX

Contrairement à d'autres solutions SIEM, Prelude est conçu en suivant la philosophie UNIX : un module = une fonction et un « pipe » pour relier les modules entre eux. Prelude se présente ainsi sous la forme de plusieurs modules dont chacun répond à une fonction bien déterminée. Il est ensuite possible de combiner ces modules autour du bus d'échange IDMEF. Il existe un module pour analyser les logs, un module de gestion des alertes, un module de gestion de la base de données, un module de corrélation, etc. et un bus d'échange (LibPrelude).

Le cœur historique de la solution est écrit en C ce qui lui confère d'excellentes performances pour le traitement de gros volumes d'événements, les interfaces graphiques et le corrélateur, plus récents sont développés en Python. L'utilisation du langage Python pour les règles de corrélation offre des possibilités quasi illimitées dans l'écriture des règles par rapport aux interfaces plus orientées « clickodrome ».

Pour l'analyse des fichiers journaux Prelude s'appuie sur le standard syslog et reconnaît par défaut de nombreux formats de logs (ex : linux, apache, ssh, sudo, etc). Si le format de fichier n'est pas reconnu il est aussi possible de rajouter ses propres règles et pour ce faire il faudra savoir manier la regex.

IDMEF : Le standard de la détection d'intrusion

Le format IDMEF est le seul format standard dans le domaine de la détection d'intrusion. Pendant que les éditeurs propriétaires, comme au début de SMTP, essayent d'imposer leur propre format, IDMEF est implémenté dans quelques logiciels open-source dont Prelude. La LibPrelude permet même grâce à ses APIs en C, Perl, Python de connecter des nouvelles sondes, les rendant ainsi « standard ». Un tutoriel est disponible sur le site communautaire.

Une force de IDMEF est d'offrir un format complet et partagé permettant une meilleure corrélation d'événements provenant de sources différentes (ex : Pare-feu, IDS, logs, etc.). IDMEF propose environ une vingtaine d'attributs possibles pour chaque alertes. IDMEF se présente dans la RFC 4765 sous forme d'une DTD XML

Nota : On a souvent prétendu que le format CEE plus global et poussé par le MITRE allait supplanter IDMEF dont l'adoption n'est pourtant pas encore unanime. Mais après de longues années de promesses, le gouvernement américain a finalement décidé de cesser de financer les travaux autour de CEE qui n'avait en fait donné lieu à aucune implémentation.

Communauté

En parallèle de cette nouvelle version , CS lance un nouveau site web, relance le groupe Prelude SIEM sur LinkedIn et crée un projet communautaire visant à récolter différents formats de journaux et à partager les règles d'analyse de ces journaux avec la communauté.

La communauté participe à sa façon puisque le dernier MISC (Nov/Dec 2013) contient un article fort intéressant et détaillé sur un retour d'expérience d'utilisation de Prelude en entreprise sur un parc de taille moyenne incluant une centaine de serveurs Linux, des pare-feux iptables, des routeurs Linux ainsi que deux serveurs Windows.

  • # retour d'expérience ?

    Posté par (page perso) . Évalué à 1.

    J'aimerais à moyen terme déployer ce genre de solution sur l'infrastructure de mon entreprise. J'ai beaucoup entendu parler de splunk ou OSSEC sans les avoir jamais testés pour l'instant. Notre infra utilise des briques libres de A à Z donc le SIEM devrait l'être lui aussi.

    je suis intéressé à tout retour d'expérience !

    Merci

  • # Et la diff est ...

    Posté par . Évalué à 1.

    Bonjour

    Une question quels sont les interets à monter en version par raport aux paquets proposés dans les dépots debian?

    Merci

    • [^] # Re: Et la diff est ...

      Posté par . Évalué à 1.

      Sauf erreur de ma part la version dans sid est la 1.0.0-1 ( http://packages.debian.org/sid/prelude-correlator ) ici nous parlons de la 1.0.2 pour collector par exemple

      • [^] # Re: Et la diff est ...

        Posté par . Évalué à 1.

        Oui justement les changelogs sont assez vaste sur la différence des deux versions, mais de la à recompiler … d'ou ma question quel intérêt majeur?

        De plus ici on parle de prelude 1.1.0 qui correspond à un ensemble d'api de version différente, puis je sans problème monter en version une API sans avoir à migrer la solution complète?
        par exemple puis je adapter sans problème prewikka en version 1.1.0 sur mon ancienne architecture?

        Merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.