• Collecte des données sécurité en provenance de tous les systèmes existants. Prelude est "agentless", il n'est dépendant d'aucune marque ou d'aucun format, il est capable de collecter tout type de logs (journaux systèmes, syslog, fichiers plats, etc.). En plus, Prelude bénéficie d'une compatibilité native avec certains systèmes de façon à enrichir encore l'information (snort, samhain, ossec, auditd, etc.)
• Normalisation des événements sécurité grâce à un format unique "Intrusion Detection Message Exchange Format" (IDMEF). IDMEF est une norme internationale créée à l'initiative de l'IETF pour permettre l'interaction entre les différents outils sécurité du marché.

La collecte et la normalisation de logs est réalisée par l'analyseur de logs Prelude-LML.
En savoir plus sur Prelude-LML
Accéder à la documentation technique de Prelude-LML (Wiki / Anglais / Niveau : Technicien)

Les types de logs et les sondes natives Prelude sont illimités.
En savoir plus sur la compatibilité Prelude

• Catégorisation des alertes afin d'enrichir leur comparaison à partir d'une base de connaissance ou de programmes de traduction (ex : catégorisation des adresses soit en IPv4 soit en IPv6)
• Filtrage des alertes reçues en fonction des besoins de l'analyste : au niveau du collecteur de logs Prelude-LML (par une présélection), au niveau du serveur haute disponibilité Prelude-Manager (par une sélection et une définition des actions à mettre en place) et/ou au niveau de l'interface PrewikkaPro (par sélection d'affichage).

La catégorisation est réalisée par le serveur haute disponibilité Prelude-Manager. 
En savoir plus sur Prelude-Manager
Accéder à la documentation technique de Prelude-Manager (Wiki / Anglais / Niveau : Technicien)

Le filtrage dans Prelude-Manager et Prewikka est basé sur IDMEF Criteria
En savoir plus sur la création de filtres basés sur "IDMEF Criteria" (Wiki / Anglais / Niveau : Technicien)

• Visualisation en temps réel des événements sécurité grâce à l'interface Prewikka - PrewikkaPro. Surveillance de l'état des sondes, configuration des sondes à distance, permissions multi-utilisateurs, statistiques graphiques navigables, etc.
• Reporting PDF : édition de rapports PDF à partir de l'interface par simple clique sur le bouton "Exporter en PDF"
• Reporting email : envoi de rapports d’événements par email à une liste de destinataires enregistrés ; interrogation de la base de données pour joindre aux événements de corrélation entrants des événements anciens qui leur sont liés ; possibilité de génération d'email pour les événements correspondants à des critères spécifiques ou  pour certains seuils uniquement.
• Agrégation automatique, en temps réel, des événements en fonction de leur origine, destination et horaire d'apparition. Les critères du système d'agrégation sont entièrement paramètrables.

La visualisation, le reporting PDF, l'agrégation sont réalisés par l'interface open source Prewikka et sa version professionnelle PrewikkaPro :
En savoir plus sur les interfaces Prewikka / PrewikkaPro
En savoir plus sur l'achat de licences commerciales PrewikkaPro

Le reporting email est réalisé par le Mail Reporting Plugin :
En savoir plus sur le Mail Reporting Plugin

• Corrélation multiflux grâce au puissant langage de programmation Lua. Tout type d'événement peut être corrélé grâce à l'établissement de règles de corrélation.

La corrélation est réalisée par le moteur de corrélation Prelude-Correlator :
En savoir plus sur Prelude-Correlator
Télécharger Prelude-Correlator
Accéder à la documentation technique de Prelude-Correlator (Wiki / Anglais / Niveau : Technicien)

• Distribué : Prelude permet l'agrégation d'alertes à l'échelle WAN (World Area Network) afin d'offrir une sécurité globale de votre infrastructure qu'elle prenne la taille d'une ville, d'un pays, d'un continent ou même du monde.
• Modulaire : Prelude peut être déployé sur votre infrastructure sans modification significative de celle-ci. Prelude s'adapte et évolue avec vos besoins futurs et les changements à venir car il est à la fois open source et flexible.
• Système Haute Disponibilité : Aucune donnée ne peut être perdue grâce au système de Failover. Prelude a aussi été pensé de façon à supporter les réseaux redondants afin de garantir un service continu.  
• Relaying : Les Managers Prelude peuvent agir en tant que relais vers d'autres Managers de façon à ce qu’un centre de sécurité, par exemple, puisse collecter et traiter l'ensemble des alertes provenant des divers succursales implantées à des niveaux d'autorités inférieurs.
• Relaying inversé : Permet à un Manager Prelude de prendre l'initiative de la communication de façon à aller chercher lui-même les données détenues par un autre manager. (Cas des DMZ - Zones DéMilitarisées).
• Connexion sécurisées (SSL) : assurées entre tous les modules.

• Compatibilité universelle : Prelude est capable d'interopérer avec tous les systèmes de sécurité distribués sur le marché, qu’ils soient open source ou propriétaires. En savoir plus sur la compatibilité Prelude
• Outil d'aide au développement de nouveaux agents : la bibliothèque "Libprelude" fournit une interface de programmation (API) facilitant le dveloppement de nouvelles sondes. En savoir plus sur Libprelude
• Choix de la base de données : MySQL, PosgreSQL, SQLlite, trois des bases de données compatibles avec la version open source. 
• Système de ticketing intégré de l'interface professionnelle PrewikkaPro
• Contre-mesures : grâce aux sondes installée (snort inline, OSSEC, etc)
• Outils d'enquête légale : Stockage des événements, Whois, Traceroute
• Services : Personnalisation, déploiement, support technique, formation à l'utilisation...