Liste des termes utilisés par Prelude SIEM. Certains termes proviennent de la norme IDMEF.
- Agent
- Un logiciel ou équipement utilisant la Libprelude capable de générer directement des alertes et pulsations IDMEF. Il peut s’agir d’un analyseur ou d’un manager.
- Alerte
Une structure de données décrivant techniquement un incident de sécurité. Elle contient des informations sur :
- Sa classification ;
- La sonde dont elle provient ;
- L’heure de détection/création ;
- Sa source et sa cible ;
- Son évaluation (l’impact de l’événement).
Il peut s’agir d’une alerte simple ou du regroupement d’alertes liées dans une “alerte de corrélation”.
- Analyseur / Sonde
La source d’émission d’un message d’alerte.
Cette définition peut être étendue pour couvrir non seulement les agents Prelude (Prelude LML, Prelude Correlator, Snort, Samhain…) mais aussi les services (serveur web, PAM, ssh, antivirus…) qui écrivent dans des journaux au lieu d’émettre des alertes.
- Chemin
Dans Prelude SIEM, les chemins correspondent à une syntaxe simple permettant de faire référence à la valeur d’un champ dans une structure de données (alerte IDMEF, entrée de journal, ticket d’incident, etc.). À l’aide de ce mécanisme, vous pouvez mettre à jour ou récupérer la valeur indiquée par le chemin.
En particulier, toutes les classes et tous les attributs définis dans la IDMEF peuvent être convertis en chemins utilisables par Prelude SIEM. Par exemple, le chemin
alert.classification.text
permet de faire référence à l’attributtext
de la classe IDMEFClassification
, elle-même étant une classe agrégée de la classe IDMEFAlert
.- Jeu de règles
- Un jeu de règles est un fichier contenant un ensemble de règles de rapportant à un même champ fonctionnel (logiciel, équipement, etc.).
- Libprelude
- La Libprelude est une bibliothèque de programmation qui garantit des connexions sécurisées entre les analyseurs Prelude (Prelude LML, Prelude Correlator, Snort, etc.) et le Prelude Manager. La Libprelude fournit une interface de programmation d’application (API) pour la communication avec les sous-systèmes Prelude. Elle fournit les fonctionnalités nécessaires pour générer et émettre des alertes IDMEF et automatise la sauvegarde et la re-transmission des données en cas d’interruption temporaire d’un des composants du système.
- LibpreludeDB
- La bibliothèque de programmation libpreludedb fournit une couche d’abstraction sur le type et le format de la base de données utilisée pour stocker les alertes IDMEF. Elle permet aux développeurs d’utiliser la base de données Prelude SIEM facilement et efficacement sans se soucier de son type ou de son format de stockage.
- Localisation
Le site physique d’un ou plusieurs nœuds.
Exemple : Paris
- Nœud
Un équipement qui héberge un ou plusieurs analyseurs/managers, identifié par une adresse réseau ou un nom d’hôte.
Exemple : 192.168.2.1
- Prelude Correlator
- Prelude Correlator permet la corrélation multiflux grâce à un puissant langage de programmation pour l’écriture de règles. Il a la capacité de se connecter et récupérer des alertes à partir d’un Prelude Manager distant, et de corréler des alertes entrantes en fonction de l’ensemble de règles fournies. Une fois la corrélation réussie, les alertes de corrélation IDMEF sont envoyées.
- Prelude GUI
- Prelude GUI est l’interface graphique officielle pour exploiter Prelude SIEM. Fournissant de nombreuses fonctionnalités, elle facilite le travail des exploitants et des analystes, et donne également accès à des outils externes.
- Prelude LML
- Prelude LML est un analyseur de journaux qui permet à Prelude SIEM de recueillir et analyser des informations issues de toutes sortes de sources (applications ou appliances) émettant des journaux ou des messages syslog, afin de détecter les activités suspectes et de les normaliser au format IDMEF.
- Prelude Manager
Prelude Manager est le cœur de Prelude SIEM et est généralement appelé manager. Il concentre tous les messages IDMEF des agents, que ce soit des alertes ou des pulsations.
Le manager traite les données reçues en temps réel en les insérant par exemple dans une base de données. Il peut aussi agir comme relais, à savoir transmettre les messages à un autre manager. Il est également responsable de la transmission des alertes vers le corrélateur.
- Pulsation
Un message envoyé à intervalles réguliers par des agents à leurs managers dédiés, afin d’indiquer leur statut (démarrage, en cours d’exécution, arrêt, etc.).
Le manque d’un certain nombre de pulsations consécutives indique une panne de l’agent ou de sa connexion réseau.
- Syslog
- Syslog est un standard pour la journalisation de messages en informatique. Il permet la séparation du logiciel qui génère les messages, du système qui les stocke, et du logiciel qui les rapporte et les analyse.