Il est à noter que la possibilité d’empiler les filtres permet d’affiner les recherches et les actions à effectuer sur des scénarios ou des alertes complexes. L’idée était de sélectionner uniquement les équipements qui nous semblaient être les plus critiques de l’entreprise manipulation d’informations sensibles, contraintes de disponibilités, etc. L’utilisation de cette solution donne la possibilité, grâce à l’étude des alertes remontées, de mettre en avant les points du réseau où un durcissement de la sécurité est nécessaire. En cas de réutilisation des textes de cette page, voyez comment citer les auteurs et mentionner la licence. Il est donc possible de configurer rapidement, comme nous l’avons vu précédemment, les différentes sondes et de déployer l’infrastructure en production. La volumétrie a ensuite diminuée aux alentours de 35 GB tous les trois mois. Pare-feu, IDS, logs, etc.
| Nom: | prelude ids |
| Format: | Fichier D’archive |
| Système d’exploitation: | Windows, Mac, Android, iOS |
| Licence: | Usage Personnel Seulement |
| Taille: | 9.27 MBytes |
De plus, la solution est en mesure d’ajouter des informations spécifiques, sous la forme de méta-données, en fonction de la criticité de l’équipement émetteur. Bonjour Une question quels sont les interets à monter en version par raport aux paquets proposés dans les dépots debian? Oui justement les changelogs sont assez vaste sur la différence des deux versions, mais de la à recompiler … d’ou ma question quel intérêt majeur? Prenons par exemple le cas où un éventuel attaquant exécute une attaque par brute force sur un service SSH. Prelude-manager a pour but de recevoir les alertes générées par les sondes dont il a la charge et est en mesure de les stocker sous différents formats:. Dans l’éventualité d’un poste Debian, c’est iptable qui sera exploité.
Avant l’apparition du terme SIEM Security Information and Event Management enil faut bien comprendre qu’il y avait deux méthodes distinctes de gérer les événements de sécurité d’un système d’information.
D’une part, nous avions, notamment, l’analyse prrlude temps réel de fichiers de journalisation logs d’équipements réseau. Par exemple, l’analyse des logs d’un pare-feu en temps réel afin de détecter une attaque et mettre en place une règle de filtrage adéquate.
D’autre part, l’externalisation des logs sur un serveur central afin de conserver les événements de sécurité et les analyser en cas de problème. Un SIEM permet de faire converger ces deux fonctionnalités et de fournir une solution complète permettant de collecter, de normaliser, d’agréger, d’archiver, d’analyser, d’alerter, de corréler et de fournir des tableaux de bords des événements de sécurité du système d’information.
Depuis, le projet a évolué jusqu’à rejoindre le mode de fonctionnement d’un SIEM.
preludw En janvierla solution Prelude a été rachetée par la société C-S possédant déjà plusieurs solutions de surveillance de zones. Il existe à ce jour trois versions de Prelude:. Cette version intègre de nouvelles fonctionnalités gestion de tickets, génération de rapports, gestion d’une authentification LDAP, etc.
Cette version est assez similaire à la version professionnelle et se différencie, notamment, par l’intégration de quelques fonctionnalités avancées cartographie et inventaire du réseau prleude autres.
L’éditeur considère que cette solution permet de mettre en place un SOC Security Operation Center au sein d’une organisation. Les sondes sont chargées d’envoyer les informations relatives aux événements de sécurité au manager, qui se charge de l’analyse. Il est à noter que toutes les communications effectuées entre les ixs éléments de l’architecture sont chiffrées à l’aide d’une clé RSA de bits par défaut.
Lors de l’enregistrement d’une sonde auprès d’un manager, cette dernière récupère un certificat unique de type x afin de protéger les futures communications. L’échange de clé est détaillé dans cet article [CLES]. Prelude reçoit, analyse, corrèle et normalise les informations des différents équipements prelud système d’information sous un format universel. De plus, la solution est en mesure d’ajouter des informations spécifiques, sous la forme de méta-données, en fonction de la criticité de l’équipement émetteur.
On peut ainsi modifier le type admin, dos, fichier, utilisateur, etc. Par exemple, les alertes émises par preelude pare-feu en frontal peuvent être considérées moins pertinentes. Ce format permet aux solutions commerciales et celles sous différents types de licences de communiquer dans un langage commun au sujet des événements de sécurité.
Le standard IDMEF offre un vocabulaire précis dans le domaine de la lds d’intrusion et permet, notamment, de savoir si une alerte a déjà été traitée, pelude état, l’émetteur de l’alerte, etc. L’implémentation des messages est simplifiée afin de limiter l’ajout d’informations inutiles lors des différents transferts entre les services de la solution.
Dans notre contexte, la version communautaire était suffisante pour répondre à nos besoins décrits dans la section suivante.
Nous parlerons uniquement de cette version dans la suite de cet article. L’objectif de notre projet se concentrait sur la possibilité de détecter des attaques informatiques sur notre système d’information. La solution utilisée ne devait pas avoir d’impacts importants sur les performances réseau et systèmes perte de performance engendrée par l’installation d’un agent, ouverture de flux supplémentaires, etc.
En outre, la solution devait être en mesure de détecter les événements de sécurité au travers de journaux d’événements et des messages spécifiques de certaines solutions notamment Snort. L’idée était de sélectionner uniquement les équipements qui nous semblaient être les plus critiques de l’entreprise manipulation d’informations sensibles, contraintes de disponibilités, etc.
Aucun poste utilisateur n’a été sélectionné car peu d’informations sensibles sont stockées en local et il s’agit principalement de postes nomades l’inconsistance des logs dans le temps pouvant représenté une difficulté supplémentaire. Il est tout de même à noter que les postes nomades sont particulièrement sensibles et que leur supervision ne doit pas être négligé, bien que nous ayons fait le choix de ne pas les intégrer à notre périmètre.
Enfin, la solution devait aussi proposer une interface de management regroupant toutes les alertes, être libre de droits et être déployable sur des équipements utilisant un noyau Linux. On notera également que la version libre de Prelude n’intègre pas toutes les fonctionnalités disponibles en version Enterprise par exemple: Afin de répondre à cette problématique, nous nous sommes tournés vers la solution Prelude et sa console de management Prewikka.
Il est à noter que dans le cadre de la solution Prelude, il est très important d’avoir des machines performantes RAM, CPU et espace disque afin de traiter rapidement les données reçues par les différentes sondes. La volumétrie a ensuite diminuée aux alentours de 35 GB tous les trois mois. La période de rétention des données fut décidé de manière arbitraire à trois mois. Cette période nous a permis ainsi de garder des traces des actions passées mais aussi de limiter l’utilisation de l’espace disque des équipements.
Comme expliqué précédemment, la solution utilise un modèle distribué et est composée des éléments suivants:. Libprelude est le composant principal de la solution.
Par exemple, il est possible d’intégrer cette bibliothèque, moyennant un développement spécifique, à divers produits de détection d’intrusion, par exemple la solution Bro afin que les messages soient directement émis sous le format de détection utilisé par la Libprelude. La bibliothèque fournit aussi une interface unique et standard de communication entre les différents éléments du système de détection.
Afin de respecter les standards et de permettre une interopérabilité de la solution, le format des messages utilisé par Libprelude est IDMEF. Il est nécessaire d’installer cette bibliothèque sur chaque sonde de l’infrastructure Prelude. La configuration de la bibliothèque est simple et rapide.
Prelude-manager a pour but de recevoir les alertes générées par les sondes dont il a la charge et est en mesure de les stocker sous différents formats:.
Avant chaque insertion d’une alerte, il est possible de configurer un ensemble de filtres pour rejeter certaines alertes. Cela permet d’alléger la base de données et d’effectuer différents types d’actions à la réception d’un événement de sécurité. La configuration de ces filtres est présentée dans la section 2. Il est à noter qu’il est possible de configurer prelude-manager pour qu’il soit esclave d’un autre manager sur un site distant.
Dans ce cas, le manager esclave concentre les informations de la zone dont il a la charge avant d’envoyer les alertes pertinentes au manager maître. Afin de stocker les événements de sécurité et les différentes alertes, nous avons décidé d’utiliser le système de gestion de bases de données MySQL afin que la console Prewikka puisse avoir accès aux alertes. Nous n’avons pas décidé d’utiliser les autres formes de stockages afin de ne pas surcharger l’espace disque du manager Prelude.
Prelude-lml est la sonde chargée de collecter et formater les logs pour les envoyer au manager pour interprétation.
Dans notre situation, nous avons mis en place un serveur de centralisation de log sur lequel était installé la ;relude. Afin d’effectuer cette tâche, la sonde va analyser l’ensemble des fichiers de logs mis à sa disposition à l’aide des expressions régulières Perl PCRE. Les événements de sécurité contenus dans les logs sont ensuite transformés dans le format IDMEF et envoyés au manager. Par défaut, Prelude-lml est compatible nativement avec un certain nombre de logiciels de sécurité qui sont à même d’utiliser le Framework Prelude afin d’optimiser la collecte de données.
Dans ce cas, les sondes sont en mesure d’envoyer des alertes directement au manager. Prelude supporte également le format de journalisation d’un grand nombre d’équipements et de solutions informatiques du marché.
Prelude SIEM — Wikipédia
L’utilisation du format PCRE pour la reconnaissance des preluve de log permet de modifier et d’ajouter rapidement des règles supplémentaires.
Le format par défaut preluxe par la sonde est celui du gestionnaire syslog. Il est néanmoins possible de créer ses propres règles dans le cas où les fichiers d’événements produits par les équipements du réseau ne seraient pas compatibles nativement avec la solution Prelude. Le temps nécessaire à la mise en place de nouvelles règles de lecture pour des logs spécifiques est très rapide via l’utilisation d’expressions régulières.
Dans le cas de certains types de preludee, Windows NT par exemple, un logiciel supplémentaire est requis pour convertir les journaux d’événements au format syslog. Prelude-correlator est le composant de l’architecture qui va regrouper les différentes alertes afin de preluee des groupements d’alertes et des schémas d’attaques. De plus, Prelude-correlator est en mesure de détecter les faux positifs selon des règles prédéfinies. Pour effectuer cette tâche, le service Prelude-correlator va régulièrement consulter les alertes stockées dans la base de données, en plus de celles reçues en temps réel, et rechercher des liens entre ces dernières afin de faire des groupements d’alertes.
Remontée de l’alerte de corrélation au manager en adaptant le niveau de sévérité en fonction des alertes corrélées.
Prelude IDs
Si la nouvelle alerte rentre dans les paramètres des règles de filtrages, l’action correspondant au filtre utilisé est déclenchée par exemple l’envoi d’un mail d’alerte. Afin de faciliter ce raisonnement, toutes les alertes remontées sont preulde et regroupées en fonction de critères prédéfinis criticité, processus, etc. Le service Prelude-correlator va aussi tenter, à intervalles réguliers, d’effectuer de nouveaux liens entre plusieurs alertes corrélées précédemment et des alertes isolées afin de compléter les corrélations passées.
Par exemple, une attaque de Déni de service créera un grand nombre d’alertes qui seront regroupées sous la dénomination EventStorm.
[TUTO] Sécuriser son serveur avec Prelude-IDS et Ossec – XigmaNAS
Le mécanisme de corrélation repose sur l’utilisation du langage Python permettant une grande flexibilité dans l’écriture de nouvelles règles. Afin de de créer un nouveau plugin, il est nécessaire de déclarer une nouvelle classe Python où le scénario sera défini à l’aide du langage IDMEF.
Pour faciliter l’écriture des scénarios, les classes suivantes fournissent un ensemble de fonction destinées à manipuler les informations:. Prewikka est la solution officielle du projet Prelude fournissant une console de visualisation et idw gestion des alertes stockées en base de données remontées par Prelude-manager. On notera l’existence de précédentes solutions, non maintenues, permettant la visuation d’alertes Prelude:.
Il est à noter que la version professionnelle de Prelude permet la gestion de tickets et la génération de rapports et de statistiques au travers de l’interface Prewikka. Les filtres sont ensuite traités séquentiellement.
En d’autres termes, les règles sont exécutées dans l’ordre de définition comme pour les règles d’un pare-feu. Il est possible d’affiner l’action d’un filtre avec l’ajout de l’instruction thresholding. Ainsi en empilant ces deux systèmes de filtres, on est en mesure d’effectuer plusieurs actions précises sur un même type d’alerte. Prenons par exemple le cas où un éventuel attaquant exécute une attaque par brute force sur un service SSH.
Sous le coup d’une attaque de force brute, un nombre important de mails peut être envoyé à l’administrateur, noyant ainsi les autres informations pertinentes du réseau. Ce filtre peut être traduit ainsi: La solution Prelude intègre un système de remontée des alertes. Ce mécanisme repose sur l’utilisation de plugins intégrés à prelude-manager permettant d’enregistrer les alertes sous trois formats.
Voici un exemple de configuration:. Voici un exemple d’un template mail défini dans le fichier: Le plugin Textmod permet de stocker les preluee remontées dans un fichier texte. Ce formatage permet d’exporter facilement les données vers une autre infrastructure et d’assurer ainsi l’interopérabilité de la solution. Le grand avantage de cette infrastructure est de permettre l’analyse à distance d’informations sur un serveur de centralisation.
Cette concentration d’information est alors accessible à l’ensemble des services Prelude sans avoir à installer d’agent exception faite de certaines solution nécessitant une conversion des journaux d’événements au format syslog sur les machines supervisées. Il est à noter que la possibilité d’empiler les filtres permet d’affiner prekude recherches et les actions à effectuer sur des scénarios ou des alertes complexes.
De plus, la solution Prelude possède une compatibilité native avec de nombreux équipements du marché et ifs systèmes d’exploitation.
Prelude SIEM
Il est donc possible de configurer rapidement, comme nous l’avons vu précédemment, les différentes sondes et de déployer l’infrastructure en production. Ceci permet de mutualiser des ressources humaines expertes, rares et coûteuses, nécessaires à la mise en place des solutions de sécurité. Grâce à cette architecture, nous avons été en mesure d’identifier rapidement les comportements suspects contraires à la politique de sécurité de l’entreprise.
Cet outil permet de dresser des preluse sur le nombre d’attaques subies par l’entreprise qui permettront, par exemple, de justifier des demandes ;relude de budgets pour améliorer la sécurité du Système d’Information, ou de suivre leurs évolutions dans le temps.