Téléchargement
Pour installer Prelude, vous devez télécharger et compiler les logiciels ci-dessous (les sondes ne sont pas obligatoires). Veillez à compiler libprelude en premier. Utilisez le Manuel de l'utilisateur si vous n'avez jamais compilé Prelude auparavant.
La bibliothèque Libprelude permet la communication sécurisée entre les différentes sondes et un Manager Prelude. Elle fournit une interface de programmation (API) pour la communication avec les sous-systèmes Prelude et la génération d’alertes au format standard IDMEF. Elle automatise l’enregistrement et la retransmission des données en cas d’interruption d’un des composants du système.
La bibliothèque PreludeDB fournit une couche d'abstraction par rapport au type et au format de la base de données utilisée pour stocker les alertes IDMEF. Elle permet aux développeurs d'utiliser la base de données Prelude IDMEF facilement et efficacement sans se soucier de SQL et d'accéder à la base de données indépendamment du type/format de cette dernière.
L'analyseur de logs Prelude-LML permet la collecte et l'analyse des informations issues de tous types d’applications émettant des événements sous forme de logs (journaux système, messages syslog, etc.) afin de détecter des activités suspectes et de les transformer en alerte Prelude-IDMEF. Prelude-LML collecte les événements émis par un grand nombre d'applications, consultez la page Compatibilité pour en savoir plus.
Le Manager Prelude est un concentrateur capable de prendre en charge un grand nombre de connexions et de traiter de grandes quantités d'événements. Il utilise des files d'ordonnancement par sonde afin de traiter les événements reçus de façon équitable entre les différentes sondes. Il peut aussi recevoir les messages issus du traitement d’autres Managers de niveau d’autorité inférieur.
Il enregistre les événements reçus sur des médias spécifiés par l’utilisateur (base de données, journaux système, Email, etc.) et établit les priorités de traitement en fonction de la criticité et de la source des alertes.
Accéder à la documentation technique de Prelude-Manager (en)
Prewikka est la console d'analyse graphique du SIM Universel Prelude. En fournissant de nombreuses fonctionalités, Prewikka facilite le travail des utilisateurs et analystes. Pour en savoir plus sur les fonctionnalités de Prewikka, consultez la page Interface Prewikka(Pro). Prewikka fournit aussi des outils externes tels que "whois" ou "traceroute".
Prelude-Correlator rend possible la corrélation multiflux grâce à un langage de programmation puissant permettant l'écriture de règles de corrélation. Tout type d'alertes pouvant être corrélée, l'analyse des événements devient plus simple, plus rapide et plus pointue. Consultez la page Moteur de Corrélation
Sondes Externes
De nombreux logiciels de sécurité renommés supportent nativement le SIM Universel Prelude.
| Site du Projet | Description | |
|---|---|---|
| AuditD | Auditd fournit des utilitaires pour créer des règles d'audit ainsi que pour stocker et rechercher des enregistrements générés par le système d'audit de Linux 2.6. Il propose un plugin de détection d'intrusion qui analyse le flux d'audit en temps réel et émet des alertes IDMEF grâce à Prelude. |  |
| Nepenthes | Nepenthes est un outil polyvalent qui collecte les malwares. Il agit passivement en émulant des vulnérabilités connues et en téléchargent les malwares tentant d'exploiter ces vulnérabilités. | |
| NuFW | NuFW ajoute la notion d’utilisateurs aux règles de filtrage. Le projet s’appuie sur Netfilter, la couche pare-feu du noyau Linux et constitue un système de gestion d’identité au niveau des couches réseaux. | |
| OSSEC | OSSEC est un Système de Détection d'Intrusion machine. Il permet l'analyse de journaux, tests d'intégrité, surveillance de la base de registre Windows, détection de rootkit et notifie en temps réel avec réponse active. | |
| PAM | Linux-PAM est un système de bibliothèques gérant les tâches d'authentification des applications sur un système. La bibliothèque offre une interface fournissant des outils pour les programmes de gestion des droits privilégiés (comme login et su). | |
| Samhain | Samhain® est un Système de Détection d'Intrusion multiplateforme open source pour les systèmes POSIX (Unix, Linux, Cygwin/Windows). Il permet la vérification de l'intégrité des fichiers, la détection de rootkits, la surveillance des ports, la détection d'exécutables SUID malveillants et de processus cachés. | |
| SanCP | SanCP est un outil de sécurité réseau conçu pour collecter des informations statistiques sur le traffic réseau et pour enregistrer ce traffic dans un fichier au format PCAP dans une optique : d'audit, d'historique et de découverte réseau. | |
| Snort | Snort® est un système de détection et de prévention d'intrusion réseau basé sur un système de signatures. Il combine les bénéfices des méthodes d'analyse par signature, protocole et anomalie. | |