Prelude SIEM (система обнаружения вторжений)

• Портал бесплатного и открытого программного обеспечения

Prelude SIEM — это система управления информацией и событиями безопасности (SIEM).

Prelude SIEM — это инструмент для управления ИТ-безопасностью, который собирает и централизует информацию об ИТ-безопасности компании, чтобы предложить единую точку зрения для управления ею. Он может создавать оповещения о вторжениях и угрозах безопасности в сети в режиме реального времени с использованием журналов и анализаторов потоков. Prelude SIEM предоставляет несколько инструментов для составления криминалистической отчетности по большим данным и интеллектуальным данным для выявления слабых сигналов и расширенных постоянных угроз (APT). Prelude SIEM также встраивает все инструменты для фазы эксплуатации, чтобы облегчить работу операторов и помочь им в управлении рисками .

В то время как злонамеренный пользователь (или программное обеспечение) может обойти обнаружение одной системы обнаружения вторжений , становится экспоненциально сложнее обойти защиту, когда есть несколько механизмов защиты. Prelude SIEM поставляется с большим набором датчиков, каждый из которых отслеживает различные типы событий. Prelude SIEM позволяет собирать оповещения в масштабе WAN , независимо от того, охватывает ли его область действия город, страну, континент или мир.

Prelude SIEM — это система SIEM, способная взаимодействовать со всеми системами, доступными на рынке. ^[2] Она изначально реализована с форматом обмена сообщениями об обнаружении вторжений (IDMEF, RFC 4765). Таким образом, она изначально совместима с IDMEF с системами обнаружения вторжений с открытым исходным кодом: AuditD, Nepenthes, NuFW , OSSEC , Pam, Samhain , Sancp, Snort , Suricata , Kismet и т. д., но любой может написать свою собственную систему обнаружения вторжений или использовать любые доступные сторонние датчики, учитывая открытые API и библиотеки Prelude SIEM.

С 2016 года благодаря «Партнерской программе Prelude IDMEF» система Prelude SIEM теперь также совместима с IDMEF многими коммерческими системами обнаружения вторжений.

Prelude SIEM предоставляет все функции SIEM через три модуля: ALERT (SEM), ANALYZE и ARCHIVE (SIM) и, таким образом, является единственной настоящей альтернативой SIEM на рынке. Кроме того, Prelude SIEM продвигает использование стандартов безопасности IETF через проект SECEF ^[3] и "Prelude IDMEF Partner Program".

История

• 1998: Создание проекта IDS Йоанном Вандорселере: Prelude IDS
• 2002: Prelude становится гибридной системой обнаружения вторжений
• 2005: Создание компании Prelude-Technologies
• 2009: Общество INL приобретает Prelude-Technologies
• 2009: INL становится Edenwall Technologies
• 2011-08-18: Edenwall Technologies объявлена ​​в розыск из-за приостановленных платежей, программное обеспечение Prelude-IDS, компания и бренд выставлены на продажу
• 2011-10-13: CS ( Communication & Systems ), партнер Edenwall, покупают Prelude-IDS
• 2012: Открытие веб-сайтов: www.prelude-ids.org и www.prelude-ids.com (теперь www.prelude-siem.com)
• 2012: Выпуск новой версии Prelude OSS 1.1 и Prelude Enterprise 1.1
• 2014: Выпуск Prelude Enterprise V2
• 2014: Prelude IDS становится Prelude SIEM, а Prelude Enterprise становится Prelude SOC
• 2015: Prelude SIEM получила награду «France Cybersecurity» (Французская кибербезопасность)
• 2016: Prelude SIEM запускает «Партнерскую программу Prelude IDMEF»
• 2016: Prelude SIEM OSS (версия для сообщества) получила награду OW2 за свое сообщество
• 2017: Выпуск Prelude SIEM 4.0, результат двух лет исследований и разработок
• 2017: Доступна новая упаковка Prelude SIEM: Machine virtuelle

Функции

Prelude SIEM собирает, нормализует, сортирует, объединяет, сопоставляет и отображает все события безопасности независимо от типов оборудования наблюдения. Помимо возможности обработки всех типов журналов событий (системные журналы, syslog, плоские файлы и т. д.), он также изначально совместим со многими IDS.

Основные характеристики Prelude SIEM следующие:

• Созданный на основе ядра с открытым исходным кодом (Python, C), легкий веб-клиент 2.0
• Операция «без агента»
• Соответствует формату обмена сообщениями об обнаружении вторжений (IDMEF, RFC 4765), формату обмена описаниями объектов инцидентов (IODEF, RFC 5070), стандартам HTTP , XML , SSL
• Умные данные: интеллектуальная корреляция событий безопасности
• Большие данные: сбор, хранение и индексация журналов
• Модульный, гибкий и устойчивый
• Иерархическая и децентрализованная архитектура

Версия сообщества Prelude SIEM

Prelude SIEM OSS разработана с возможностью масштабирования для простой адаптации к любой среде. Это бесплатная, общедоступная версия с открытым исходным кодом (GPLV2) для небольших ИТ-инфраструктур, тестирования и образовательных целей.

Версия с открытым исходным кодом состоит из следующих основных модулей:

• Менеджер: который получает и сохраняет оповещения в базе данных.
• LibPrelude: подключите каждого агента IDMEF к Prelude SIEM
• LibPreludeDB: высокоскоростной модуль вставки в базу данных
• Коррелятор: модуль корреляции событий
• LML (Log Management Lackey): обнаружение и нормализация важных журналов
• Prewikka: веб-графический пользовательский интерфейс (GUI)

Эти модули являются основой модуля ALERT в коммерческой версии. Коммерческая версия также добавляет множество функций к этим модулям и масштабирует возможности производительности и архитектуры.

Prelude SIEM и Prelude SOC

Prelude SIEM (коммерческая версия) — масштабируемая, профессионально используемая и высокопроизводительная версия Prelude для реальных сред. Prelude SOC — полностью масштабируемая версия, в основном для использования в SOC ( Security Operations Center ).

Коммерческие версии организованы следующим образом:

• Prelude SIEM : SIEM для предприятий с модулями: ALERT, ANALYSE и ARCHIVE
  • ALERT: хранение, обнаружение, нормализация, корреляция, агрегация, оповещение в реальном времени
  • АНАЛИЗ: Анализ, отчетность и соответствие требованиям
  • АРХИВ: Хранение, индексация журналов и потоков для судебной экспертизы
• Prelude SOC : также к Prelude SIEM можно добавить больше модулей оперативной безопасности для создания Центра операций безопасности (SOC)
  • MAP: Картография IT-парка в реальном времени с индикаторами безопасности. Можно детализировать и делать физические, логические или риск-управленческие представления
  • VULN: Сканер уязвимостей на основе OpenVAS . Возможно использовать внутри коррелятора для проведения кросс-корреляции.
  • АКТИВЫ: Управление активами на основе GLPi (активы, тикеты, рабочий процесс и т. д.)
  • ОТЧЕТ: Отчетность по бизнес-аналитике

Ссылки

1. "Файлы - PRELUDE SIEM - UNITY 360". prelude-siem.org . Получено 24.04.2021 .
2. "PreludeLml - PRELUDE SIEM". www.prelude-siem.org . Получено 12.11.2017 .
3. "SECEF". SECEF (на французском) . Получено 2017-11-12 .

Внешние ссылки

• Официальный сайт
• Прелюдия SIEM OSS
• Пять вопросов о Prelude SIEM