<no title>

Liste des termes utilisés par Prelude SIEM. Certains termes proviennent de la norme IDMEF.

Agent

Un logiciel ou équipement utilisant la Libprelude capable de générer directement des alertes et pulsations IDMEF. Il peut s’agir d’un analyseur ou d’un manager.

Alerte

Une structure de données décrivant techniquement un incident de sécurité. Elle contient des informations sur :

Sa classification ;
La sonde dont elle provient ;
L’heure de détection/création ;
Sa source et sa cible ;
Son évaluation (l’impact de l’événement).

Il peut s’agir d’une alerte simple ou du regroupement d’alertes liées dans une “alerte de corrélation”.

Analyseur / Sonde

La source d’émission d’un message d’alerte.

Cette définition peut être étendue pour couvrir non seulement les agents Prelude (Prelude LML, Prelude Correlator, Snort, Samhain…) mais aussi les services (serveur web, PAM, ssh, antivirus…) qui écrivent dans des journaux au lieu d’émettre des alertes.

Chemin

Dans Prelude SIEM, les chemins correspondent à une syntaxe simple permettant de faire référence à la valeur d’un champ dans une structure de données (alerte IDMEF, entrée de journal, ticket d’incident, etc.). À l’aide de ce mécanisme, vous pouvez mettre à jour ou récupérer la valeur indiquée par le chemin.

En particulier, toutes les classes et tous les attributs définis dans la IDMEF peuvent être convertis en chemins utilisables par Prelude SIEM. Par exemple, le chemin alert.classification.text permet de faire référence à l’attribut text de la classe IDMEF Classification, elle-même étant une classe agrégée de la classe IDMEF Alert.

Jeu de règles

Un jeu de règles est un fichier contenant un ensemble de règles de rapportant à un même champ fonctionnel (logiciel, équipement, etc.).

Libprelude

La Libprelude est une bibliothèque de programmation qui garantit des connexions sécurisées entre les analyseurs Prelude (Prelude LML, Prelude Correlator, Snort, etc.) et le Prelude Manager. La Libprelude fournit une interface de programmation d’application (API) pour la communication avec les sous-systèmes Prelude. Elle fournit les fonctionnalités nécessaires pour générer et émettre des alertes IDMEF et automatise la sauvegarde et la re-transmission des données en cas d’interruption temporaire d’un des composants du système.

LibpreludeDB

La bibliothèque de programmation libpreludedb fournit une couche d’abstraction sur le type et le format de la base de données utilisée pour stocker les alertes IDMEF. Elle permet aux développeurs d’utiliser la base de données Prelude SIEM facilement et efficacement sans se soucier de son type ou de son format de stockage.

Localisation

Le site physique d’un ou plusieurs nœuds.

Exemple : Paris

Nœud

Un équipement qui héberge un ou plusieurs analyseurs/managers, identifié par une adresse réseau ou un nom d’hôte.

Exemple : 192.168.2.1

Prelude Correlator

Prelude Correlator permet la corrélation multiflux grâce à un puissant langage de programmation pour l’écriture de règles. Il a la capacité de se connecter et récupérer des alertes à partir d’un Prelude Manager distant, et de corréler des alertes entrantes en fonction de l’ensemble de règles fournies. Une fois la corrélation réussie, les alertes de corrélation IDMEF sont envoyées.

Prelude GUI

Prelude GUI est l’interface graphique officielle pour exploiter Prelude SIEM. Fournissant de nombreuses fonctionnalités, elle facilite le travail des exploitants et des analystes, et donne également accès à des outils externes.

Prelude LML

Prelude LML est un analyseur de journaux qui permet à Prelude SIEM de recueillir et analyser des informations issues de toutes sortes de sources (applications ou appliances) émettant des journaux ou des messages syslog, afin de détecter les activités suspectes et de les normaliser au format IDMEF.

Prelude Manager

Prelude Manager est le cœur de Prelude SIEM et est généralement appelé manager. Il concentre tous les messages IDMEF des agents, que ce soit des alertes ou des pulsations.

Le manager traite les données reçues en temps réel en les insérant par exemple dans une base de données. Il peut aussi agir comme relais, à savoir transmettre les messages à un autre manager. Il est également responsable de la transmission des alertes vers le corrélateur.

Pulsation

Un message envoyé à intervalles réguliers par des agents à leurs managers dédiés, afin d’indiquer leur statut (démarrage, en cours d’exécution, arrêt, etc.).

Le manque d’un certain nombre de pulsations consécutives indique une panne de l’agent ou de sa connexion réseau.

Syslog

Syslog est un standard pour la journalisation de messages en informatique. Il permet la séparation du logiciel qui génère les messages, du système qui les stocke, et du logiciel qui les rapporte et les analyse.