Composants Prelude
Interface Prewikka
Prewikka est la console d'analyse graphique du SIM Universel Prelude. En fournissant de nombreuses fonctionalités, Prewikka facilite le travail des utilisateurs et analystes. Pour en savoir plus sur les fonctionnalités de Prewikka, consultez la page Interface Prewikka(Pro). Prewikka fournit aussi des outils externes tels que "whois" ou "traceroute".
Manager Prelude
Le Manager Prelude est un serveur haute disponibilité qui reçoit les messages provenant des différentes sondes et/ou issus du traitement d’autres Managers de niveau d’autorité inférieur. Il enregistre les événements reçus sur des médias spécifiés par l’utilisateur (base de données, journaux système, Email, etc.) et établit les priorités de traitement en fonction de la criticité et de la source des alertes.
Le Manager Prelude est un concentrateur capable de prendre en charge un grand nombre de connexions et de traiter de grandes quantités d'événements. Il utilise des files d'ordonnancement par sonde afin de traiter les événements de façon équitablement entre les différentes sondes.
Accéder à la documentation technique de Prelude-Manager sur le trac (en)
Libprelude
La bibliothèque Libprelude permet la communication sécurisée entre les différentes sondes et un Manager Prelude. Elle fournit une interface de programmation (API) pour la communication avec les sous-systèmes Prelude et la génération d’alertes au format standard IDMEF. Elle automatise l’enregistrement et la retransmission des données en cas d’interruption d’un des composants du système.
Libprelude facilite également la mise en compatibilité de systèmes externes qui deviennent ainsi capables de communiquer avec les composants Prelude. Cette bibliothèque fournit aussi des fonctionnalités communes et utiles à toutes les sondes.
LibpreludeDB
La bibliothèque PreludeDB fournit une couche d'abstraction par rapport au type et au format de la base de données utilisée pour stocker les alertes IDMEF. Elle permet aux développeurs d'utiliser la base de données Prelude IDMEF facilement et efficacement sans se soucier de SQL et d'accéder à la base de données indépendamment du type/format de cette dernière.
Prelude-LML
L'analyseur de logs Prelude-LML permet la collecte et l'analyse des informations issues de tous types d’applications émettant des événements sous forme de logs (journaux système, messages syslog, etc.) afin de détecter des activités suspectes et de les transformer en alerte Prelude-IDMEF. Prelude-LML collecte les événements émis par un grand nombre d'applications, consultez la page Compatibilité pour en savoir plus.
Accéder à la documentation technique de Prelude-LML sur le Trac (en)
Prelude-Correlator
Prelude-Correlator rend possible la corrélation multiflux grâce à un langage de programmation puissant permettant l'écriture de règles de corrélation. Tout type d'alertes pouvant être corrélée, l'analyse des événements devient plus simple, plus rapide et plus pointue. Consultez la page Moteur de Corrélation
Le Mail Reporting Plugin
Le Mail Reporting Plugin envoie automatiquement des rapports d’événements par email à une liste de destinataires enregistrés. Le corps et le sujet de l'email généré peuvent être totalement configurés pour y faire aparaître, par exemple, l'événement en entier ou seulement certaines parties.
Ce plugin permet aussi l'interrogation de la base de données afin de joindre aux événements entrants des événements anciens qui leur sont liés.
En utilisant le Mail Reporting plugin en combinaison avec la fonctionnalité de filtrage du Manager Prelude, il est possible de générer des emails uniquement pour des événements correspondants à des critères spécifiques ou atteignant certains seuils.
Prelude-PFLogger
Prelude-PFlogger récupère les paquets journalisés par le firewall OpenBSD et envoie des alertes au Manager Prelude.