Prelude SIEM
Prelude SIEM — система управления событиями и информацией информационной безопасности (SIEM).
Prelude SIEM предназначена для централизованного сбора и анализа информации о безопасности ИТ-инфраструктуры предприятия, предоставляя единую точку управления. Программа формирует оповещения о вторжениях и угрозах безопасности в реальном времени с использованием анализа журналов событий и сетевых потоков. Prelude SIEM позволяет проводить форензическую отчётность по «большим данным» (Big Data) и Smart Data для выявления слабых сигналов и устойчивых угроз (APT). Интегрированные инструменты позволяют операторам упростить обработку инцидентов и способствуют управлению рисками.
В то время как злоумышленник либо вредоносное ПО могут обойти обнаружение одиночной системы обнаружения вторжений, применение нескольких механизмов значительно увеличивает уровень защиты. Prelude SIEM включает широкий набор датчиков, каждый из которых контролирует различные типы событий. Поддерживается сбор оповещений в масштабах WAN — от города до страны, континента или мира.
Prelude SIEM совместима со всеми основными системами на рынке[1] и реализует стандарт IDMEF (RFC 4765) «из коробки». Таким образом, она нативно совместима с Open Source IDS: AuditD, Nepenthes, NuFW, OSSEC, Pam, Samhain, Sancp, Snort, Suricata, Kismet и др. Также доступны открытые API и библиотеки, позволяющие интегрировать сторонние датчики или собственные IDS.
С 2016 года в рамках программы «Prelude IDMEF Partner Program» система поддерживает совместимость IDMEF со многими коммерческими IDS.
Prelude SIEM реализует все функции SIEM через три модуля: ALERT (SEM), ANALYZE и ARCHIVE (SIM), что делает её полноценной альтернативой другим решениям на рынке. Кроме того, Prelude SIEM способствует внедрению стандартов IETF по безопасности через проект SECEF[2] и инициативу «Prelude IDMEF Partner Program».
Общие сведения
| Prelude SIEM | |
|---|---|
| Тип | SIEM |
| Автор | Йоанн Вандурселер |
| Разработчики | https://www.prelude-siem.org/ |
| Написана на | Python, C |
| Операционные системы | Linux, UNIX-подобные системы |
| Языки интерфейса | французский, английский, немецкий, испанский, итальянский, польский, португальский, русский |
| Первый выпуск | 1998 |
| Последняя версия | 5.2.0 (11 сентября 2020) |
| Репозиторий | prelude-siem.org/git/ |
| Лицензия | проприетарная, GPLv2 |
| Сайт | prelude-siem.com |
История
- 1998: Создание проекта IDS Йоанном Вандурселером: Prelude IDS
- 2002: Prelude становится гибридной IDS
- 2005: Основание компании Prelude-Technologies
- 2009: Компания INL приобретает Prelude-Technologies
- 2009: INL становится Edenwall Technologies
- 18 августа 2011: Edenwall Technologies объявляет приостановку платежей; ПО Prelude-IDS, компания и бренд выставлены на продажу
- 13 октября 2011: CS (Communication & Systems), партнёр Edenwall, приобретает Prelude-IDS
- 2012: Открытие сайтов www.prelude-ids.org и www.prelude-ids.com (ныне www.prelude-siem.com)
- 2012: Выход новых версий Prelude OSS 1.1 и Prelude Enterprise 1.1
- 2014: Релиз Prelude Enterprise V2
- 2014: Prelude IDS становится Prelude SIEM, а Prelude Enterprise — Prelude SOC
- 2015: Prelude SIEM получает премию «France Cybersecurity»
- 2016: Запуск инициативы «Prelude IDMEF Partner Program»
- 2016: Prelude SIEM OSS (сообщественная версия) отмечена премией OW2 за вклад в сообщество
- 2017: Релиз Prelude SIEM 4.0 — результат двух лет исследований и разработок
- 2017: Новая форма поставки Prelude SIEM: виртуальная машина
Возможности
Prelude SIEM собирает, нормализует, сортирует, агрегирует, коррелирует и визуализирует все события безопасности независимо от типа оборудования контроля. Помимо обработки различных видов журналов (системные, syslog, обычные файлы и др.), система нативно поддерживает множество IDS.
Основные характеристики Prelude SIEM:
- Основана на открытом ядре (Python, C); лёгкий веб-клиент 2.0
- Работа без агента («agent-less»)
- Соответствие стандартам IDMEF (RFC 4765), IODEF (RFC 5070), HTTP, XML, SSL
- Smart Data: умная корреляция событий безопасности
- Big Data: сбор, хранение и индексация журналов
- Модульная, гибкая и устойчивая архитектура
- Иерархичность и децентрализация
Prelude SIEM Community
Prelude SIEM OSS построена с расчётом на масштабируемость и простую адаптацию к любым условиям. Это свободная, публичная и открытая версия (GPLv2), предназначенная для небольших ИТ-инфраструктур, тестирования и образовательного применения.
Открытая версия включает следующие основные модули:
- Manager: приём и запись оповещений в базу данных
- LibPrelude: подключение IDMEF-агентов к Prelude SIEM
- LibPreludeDB: быстрый модуль вставки в базу данных
- Correlator: модуль корреляции событий
- LML (Log Management Lackey): обнаружение и нормализация важных журналов
- Prewikka: графический веб-интерфейс пользователя (GUI)
Эти компоненты составляют основу модуля ALERT в коммерческой версии, однако коммерческая редакция расширяет их функциональность и повышает производительность при возможности масштабирования.
Prelude SIEM и Prelude SOC
Prelude SIEM (коммерческая версия) — масштабируемое, профессиональное и высокопроизводительное решение для применения в реальных условиях эксплуатации. Prelude SOC — полнофункциональная версия, предназначенная преимущественно для СОК (Security Operations Center).
Коммерческие версии организованы следующим образом:
- Prelude SIEM: корпоративная SIEM с модулями ALERT, ANALYSE и ARCHIVE
- ALERT: хранение, обнаружение, нормализация, корреляция, агрегация и оповещение в реальном времени
- ANALYSE: анализ, отчётность и соответствие требованиям
- ARCHIVE: хранение, индексация журналов и потоков для форензики
- Prelude SOC: к возможностям Prelude SIEM добавляются дополнительные модули для построения центра мониторинга (SOC)
- MAP: картография ИТ-инфраструктуры в реальном времени с индикаторами защищённости, с возможностями детализации и построения физических, логических либо риск-ориентированных карт
- VULN: сканер уязвимостей на базе OpenVAS, поддержка кросс-корреляции событий в модуле корреляции
- ASSET: управление активами на базе GLPi (активы, заявки, рабочие процессы и др.)
- REPORT: отчётность и бизнес-аналитика