PREWIKA PRO

Configuration des sondes à distance

Système de configuration des attributs généraux et/ou spécifiques des sondes en temps réel. Par exemple, configuration des intervalles entre les heartbeats émis par la sonde, du Manager-Prelude sur lequel la sonde envoie les événements, du nom et de la localisation des sondes, etc.

Système de tickets

Système d'attribution des responsabilités quant au traitement des événements. Il permet à une équipe d'analystes d'organiser le suivi d'un événement ou d’un jeu d'événements grâce à la création de tickets d'attribution. Le système de tickets de Prewikka Pro est totalement intégré à l'interface : le statut des tickets est visible sur le listing des événements.

Statistiques graphiques navigables

Génération de statistiques de synthèse graphique des événements dans leur répartition temporelle : sur un intervalle d'une minute à plusieurs années. Ce système de visualisation rapide permet de classer les événements de sécurité (filtrés ou non) par catégorie, origine, destination, sondes émettrices, etc. Le caractère interactif du système permet à l'utilisateur de naviguer à l'intérieur des événements de façon transversale. Le caractère synthétique des statistiques graphiques allège la charge de travail administratif.

Création de "vues" virtuelles

L'utilisateur peut créer des vues personnalisées de ses alertes et/ou heartbeats où il le souhaite dans Prewikka Pro. En mémorisant des vues virtuelles sur lesquelles des filtres spécifiques ont été appliqués, l'utilisateur dispose en permanence des données qui lui sont importantes. Les vues virtuelles sont bien entendu configurables au travers de l'interface.

Sauvegarde du listing d'alertes au format PDF

Les vues d'alertes peuvent être sauvegardées au format PDF pour un accès hors ligne. Très pratique, cette fonctionnalité peut être utilisée pour porter un événement particulier à l'attention d'une personne qui n'aura pas nécessairement accès à l'interface Prewikka Pro.

Authentification sécurisée à partir d'un serveur LDAP

Un serveur LDAP peut être utilisé comme point central pour l'authentication Prewikka Pro. Les utilisateurs s'authentifiant à Prewikka Pro peuvent ainsi utiliser leurs accès définis sur le serveur LDAP.

PRELUDE LML

L'analyseur de logs Prelude-LML permet la collecte et l'analyse des informations issues de tous types d’applications émettant des événements sous forme de logs (journaux système, messages syslog, etc.) afin de détecter des activités suspectes et de les transformer en alerte Prelude-IDMEF. Prelude-LML collecte les événements émis par un grand nombre d'applications, consultez la page compatibilité pour en savoir plus.

PRELUDE CORELATOR

Prelude-Correlator rend possible la corrélation multi-flux grâce à un langage de programmation puissant permettant l'écriture de règles de corrélation. Tout type d'alertes pouvant être corrélé, l'analyse des événements devient plus simple, plus rapide et plus pointue.

La mise en évidence des scénarii d'attaque par Prelude-Correlator vous permet de pointer de façon performante les événements de sécurité importants ayant lieu sur vos infrastructures.

Fonctionnalités :

• Identification rapide des événements de sécurité importants permettant de donner une priorité d'intervention et de hiérarchiser les actions qui en découlent

• Corrélation d'alertes en provenance de sondes hétérogènes déployées sur l'ensemble de l'infrastructure

• Analyse en temps réel des événements reçus par le Manager Prelude

Prelude-Correlator permet de corréler, en temps réel, les multiples événements reçus par Prelude. Plusieurs alertes isolées, issues de sondes multiples, peuvent ainsi déclencher une seule alerte de corrélation si les événements sont liés. L'alerte de corrélation apparait alors dans l'interface Prewikka Pro et met en évidence les informations que vous aurez choisi de pointer grâce aux règles de corrélation.

La création de signature Prelude-Correlator est basée sur le puissant langage de programmation Python. Le moteur de corrélation intégré de Prelude est distribué avec des règles de corrélation pré-enregistrées mais il vous est possible de configurer n'importe quelle règle de corrélation répondant à vos besoins.

PRELUDE XLR2

Prelude-XLR permet, pour les infrastructures les plus vastes, d’accélérer le traitement des données dans Prelude. Il leur permet de facilement faire face à un nombre d’événements important.

PRELUDE MANAGER

Le Manager Prelude est un concentrateur capable de prendre en charge un grand nombre de connexions et de traiter de grandes quantités d'événements. Il peut aussi recevoir les messages issus du traitement d’autres Managers de niveau d’autorité inférieur.

Il enregistre les événements reçus sur des médias spécifiés par l’utilisateur (base de données, journaux système, email, etc.) et établit les priorités de traitement en fonction du niveau d'importance et de la source des alertes.

PRELUDE IMPORT

Prelude-Import permet d'importer les informations d'applications fournissant des données sur les évènements dans un format spécifique. Il peut également être utilisé pour l'émission d'alertes depuis des scripts shell.

3 formats d'alertes sont supporté

• IDMEF XML: Import IDMEF-XML et conversion au format natif Prelude-IDMEF format.

• Nessus XML: Import de rapport de scan de vulnérabilité Nessus au format XML

• Objet IDMEF : format IDMEF spécifique à Prelude, très pratique pour la représentation textuelle