Moteur de corrélation
Prelude-Correlator rend possible la corrélation multiflux grâce à un langage de programmation puissant permettant l'écriture de règles de corrélation. Tout type d'alertes pouvant être corrélée, l'analyse des événements devient plus simple, plus rapide et plus pointue.
Distribué sous licence GPL, Prelude-Correlator s'adresse à tous les utilisateurs du SIM Prelude afin de leur faciliter l'analyse des événements détectés.
La mise en évidence des scénarii d'attaque par Prelude-Correlator vous permet de pointer de façon performante les événements sécurité importants ayant lieu sur vos infrastructures.
Fonctionnalités :
- Identification rapide des événements de sécurité importants permettant à l'analyste de donner une priorité à ses efforts
- Corrélation d'alertes en provenance de sondes hétérogènes déployées sur l'ensemble de l'infrastructure
- Analyse en temps réel des événements reçus par le Manager Prelude
Prelude-Correlator permet de corréler, en temps réel, les multiples événements reçus par Prelude.
Plusieurs alertes isolées, issues de sondes multiplent peuvent ainsi déclencher une seule alerte de corrélation si les événements sont liés. L'alerte de corrélation aparait alors dans l'interface Prewikka et met en évidence les informations que vous aurez choisi de pointer grâce aux règles de corrélation.
La création de signature Prelude-Correlator est basé sur le puissant langage de programmation Lua. Le moteur de corrélation intégré de Prelude est distribué avec des règles de corrélation pré-enregistrées mais il vous est possible de configurer n'importe quelle règle de corrélation qui réponde à vos besoins.