Prelude SIEM (система обнаружения вторжений)

SIEM прелюдия
Оригинальный автор(ы)	Йоанн Вандурселер
Разработчик(и)	www .prelude-siem .org
Первоначальный выпуск	1998
Стабильная версия	5.2.0 / 11 сентября 2020 г .; 3 года назад
Репозиторий	www .prelude-siem .org / git /
Написано в	Питон, С
Операционная система	Линукс , *НИКС
Стандарт (ы)	RFC4765
Доступно в	Французский, английский, немецкий, испанский, итальянский, польский, португальский, русский
Тип	СИЕМ
Лицензия	Проприетарное программное обеспечение и лицензия GPLv2.
Веб-сайт	www .prelude-siem .с ; www .prelude-siem .org

Prelude SIEM — это система управления информацией о безопасности и событиями (SIEM).

Prelude SIEM — это инструмент для обеспечения ИТ-безопасности, который собирает и централизует информацию об ИТ-безопасности компании, чтобы предложить единую точку зрения для ее управления. Он может создавать оповещения о вторжениях и угрозах безопасности в сети в режиме реального времени с использованием журналов и анализаторов потоков. Prelude SIEM предоставляет множество инструментов для составления аналитических отчетов по большим данным и интеллектуальным данным для выявления слабых сигналов и сложных постоянных угроз (APT). Prelude SIEM также включает в себя все инструменты для этапа эксплуатации, которые облегчают работу операторов и помогают им управлять рисками .

Хотя злонамеренный пользователь (или программное обеспечение) может уклониться от обнаружения одной системы обнаружения вторжений , обойти защиту становится в геометрической прогрессии, когда существует несколько механизмов защиты. Prelude SIEM поставляется с большим набором датчиков, каждый из которых отслеживает различные типы событий. Prelude SIEM позволяет собирать оповещения в масштабе WAN , независимо от того, охватывает ли его область действия город, страну, континент или мир.

Prelude SIEM — это SIEM-система, способная взаимодействовать со всеми системами, доступными на рынке. ^{[ 2 ]} Он изначально реализуется в формате обмена сообщениями об обнаружении вторжений (IDMEF, RFC 4765). Таким образом, он изначально IDMEF совместим с OpenSource IDS: AuditD, Nepenthes, NuFW , OSSEC , Pam, Samhain , Sancp, Snort , Suricata , Kismet и т. д., но любой может написать свой собственный IDS или использовать любой из сторонних датчиков. доступно благодаря открытым API и библиотекам Prelude SIEM.

С 2016 года благодаря «Партнерской программе Prelude IDMEF» Prelude SIEM теперь также совместим с IDMEF со многими коммерческими IDS.

Prelude SIEM обеспечивает все функции SIEM через три модуля: ALERT (SEM), АНАЛИЗ и АРХИВ (SIM) и поэтому является единственной настоящей альтернативой SIEM на рынке. Кроме того, Prelude SIEM способствует использованию стандартов безопасности IETF через SECEF. ^{[ 3 ]} проект и «Партнерская программа Prelude IDMEF».

История

1998: Создание проекта IDS Йоанном Вандурселером: Prelude IDS.
2002: Prelude становится гибридной IDS
2005: Создание компании Прелюд-Технологии.
2009: Общество INL приобретает Prelude-Technologies.
2009: INL стала Edenwall Technologies
18 августа 2011 г.: Edenwall Technologies объявлена об отсрочке платежей, программное обеспечение Prelude-IDS, компания и бренд выставлены на продажу.
13 октября 2011 г.: CS ( Communication & Systems ), партнер Edenwall, купила Prelude-IDS.
2012: Открытие сайтов: www.prelude-ids.org и www.prelude-ids.com (сейчас www.prelude-siem.com)
2012: Выпуск новой версии Prelude OSS 1.1 и Prelude Enterprise 1.1.
2014: Выпуск Prelude Enterprise V2.
2014: Prelude IDS становится Prelude SIEM, а Prelude Enterprise становится Prelude SOC.
2015: Prelude SIEM получила награду France Cybersecurity (Французская кибербезопасность)
2016: Prelude SIEM запускает «Партнерскую программу Prelude IDMEF».
2016: Prelude SIEM OSS (версия для сообщества) получила награду OW2 за свое сообщество.
2017: Выпуск Prelude SIEM 4.0, результаты двух лет исследований и разработок
2017: Доступна новая упаковка Prelude SIEM: Machine Virtelle.

Функции

Prelude SIEM собирает, нормализует, сортирует, агрегирует, сопоставляет и отображает все события безопасности независимо от типов оборудования наблюдения. Помимо возможности обработки всех типов журналов событий (системные журналы, системные журналы, неструктурированные файлы и т. д.), он также изначально совместим со многими IDS.

Основные характеристики Prelude SIEM следующие:

Легкий веб-клиент 2.0, созданный на основе ядра с открытым исходным кодом (Python, C).
«Безагентная» операция
Соответствует формату обмена сообщениями об обнаружении вторжений (IDMEF, RFC 4765), формату обмена описаниями объектов инцидентов (IODEF, RFC 5070), HTTP , XML , SSL. стандартам
Smart Data: интеллектуальная корреляция событий безопасности
Большие данные: сбор, хранение и индексирование журналов
Модульный, гибкий и надежный
Иерархическая и децентрализованная архитектура

Версия Prelude SIEM Community

Prelude SIEM OSS разработан с возможностью масштабирования и позволяет легко адаптироваться к любой среде. это бесплатная общедоступная версия с открытым исходным кодом (GPLV2) для небольших ИТ-инфраструктур, тестов и образовательных целей.

Версия с открытым исходным кодом состоит из следующих основных модулей:

Менеджер: который получает и сохраняет оповещения в базе данных.
LibPrelude: подключите каждый агент IDMEF к Prelude SIEM.
LibPreludeDB: модуль высокоскоростной вставки базы данных.
Коррелятор: модуль корреляции событий
LML (лакей по управлению журналами): обнаружение и нормализация важных журналов.
Prewikka: веб-графический интерфейс пользователя (GUI)

Эти модули являются основой модуля ALERT в коммерческой версии. Коммерческая версия также добавляет к этим модулям множество функций и расширяет возможности производительности и архитектуры.

Prelude SIEM и Prelude SOC

Prelude SIEM (коммерческая версия) — это масштабируемая, профессионально используемая и высокопроизводительная версия Prelude для реальных сред. Prelude SOC — это полномасштабная версия, предназначенная в основном для использования SOC ( Центр управления безопасностью ).

Коммерческие версии организованы следующим образом:

Prelude SIEM : SIEM для предприятий с модулями: ПРЕДУПРЕЖДЕНИЕ, АНАЛИЗ и АРХИВ.
- ПРЕДУПРЕЖДЕНИЕ: хранение, обнаружение, нормализация, корреляция, агрегирование, уведомление в реальном времени.
- АНАЛИЗ: анализ, отчетность и соблюдение требований
- АРХИВ: Хранение, Индексация логов и потоков для криминалистики
Prelude SOC : также к Prelude SIEM можно добавить больше модулей оперативной безопасности для создания Центра управления безопасностью (SOC).
- КАРТА: Картография ИТ-парка в реальном времени с индикаторами безопасности. Можно детализировать и создавать физические, логические представления или представления управления рисками.
- VULN: Сканер уязвимостей на базе OpenVAS . Его можно использовать внутри коррелятора для проведения взаимной корреляции.
- АКТИВ: Управление активами на основе GLPi (активы, заявки, рабочий процесс и т. д.).
- ОТЧЕТ: отчеты бизнес-аналитики

Ссылки

^ «Файлы — ПРЕЛЮДИЯ SIEM — UNITY 360» . prelude-siem.org . Проверено 24 апреля 2021 г.
^ "PreludeLml - ПРЕЛЮДИЯ SIEM" . www.prelude-siem.org . Проверено 12 ноября 2017 г.
^ «СЕКЭФ» . SECEF (на французском языке) . Проверено 12 ноября 2017 г.

Внешние ссылки

[1] «Файлы — ПРЕЛЮДИЯ SIEM — UNITY 360» . prelude-siem.org . Проверено 24 апреля 2021 г.

[2] "PreludeLml - ПРЕЛЮДИЯ SIEM" . www.prelude-siem.org . Проверено 12 ноября 2017 г.

[3] «СЕКЭФ» . SECEF (на французском языке) . Проверено 12 ноября 2017 г.

[ 1 ]

[ 2 ]

[ 3 ]