Copies d'écran

Alertes

 

La fenêtre d'événements est la principale fenêtre de supervision Prelude. C'est l'écran qui permet de suivre en temps réel l'arrivée des alertes de sécurité.

Un code couleur étendu permet d'un coup d'oeil d'évaluer la criticité d'une alerte.

Le corrélateur effectue en amont de l'affichage toutes les agrégations nécessaires à limiter au maximum le nombre de lignes affichées.

Chaque colonne du tableau offre des possibilités de tri avancées qui permettent de classer les événements suivant l'ordre le plus approprié à l'analyse ou la surveillance.

Il est possible de définir une vue "réduite" de ce tableau d'événements à destination d'un exploitant. Ainsi tel exploitant ne surveille par exemple que les équipements réseau ou les hôtes de l'agence de Toulouse.

 

Filtre Prelude

Tous les écrans Prelude dispose d'un menu permettant de fixer une fenêtre de temps d'analyse des événements.

Ainsi il est facilement possible de surveiller les événements en temps réels mais aussi de réaliser des opérations de Forensic sur les alertes archivées.

En complément de la fenêtre de temps il est possible d'associer automatiquement un filtre sur les événements afin de réduire l'analyse à une portion de parcs, un ensemble de services ou encore un type d'alertes particulières.

Tout est prévu pour faciliter le travail d'analyse au sein d'un volume important d'information.

Format IDMEF

 

Prelude Entreprise est le seul SIEM a implémenté le standard IDMEF documenté dans la RFC 4765.

La richesse des événements permet aux analystes de structurer au mieux leurs enquêtes au sein des alertes.

L'adoption de ce standard permet d'autre part la compatibilité direct de Prelude Entreprise avec les principales sondes anti-intrusions du monde libre :

  • Suricata
  • Snort
  • Ossec
  • Samhain
  • etc.

Statistiques

 

Prelude Entreprise propose un ensemble de graphiques et de rapports très riche permettant une analyse rapide du niveau de sécurité du parc ainsi que l'accès à différentes statistiques temporelle.

Ce nouveau module de Prelude Entreprise apporte la vision "tendance" aux opérateurs et permet de mieux adapter la protection des biens en fonction d'une vision à moyen et long termes.

On retrouve dans les statistiques le premier décile des types d'attaques, celui des adresse IP des attaquants, celui encore des hôtes les plus attaquées.

 

 

 

Gestion de tickets

 

Prelude Entreprise propose un module de gestion de tickets permettant l'assignation et le suivi d'un ticket jusqu'à sa cloture.

Ainsi Prelude Entreprise permet de s'intégrer dans une vision opérationnel du traitement des événements de sécurité.

A noter que CS propose dans le cadre des personnalisations Prelude des connecteurs vers des systèmes de tickets externes afin de s'adapter au mieux aux environnements existants.