Cette nouveauté vous permet de connecter des sondes depuis des systèmes Windows, ou de créer vos propres sondes Prelude pour cette plateforme.

En installant Libprelude sur un système Windows, vos sondes Windows pourront renvoyer leurs alertes, à distance, au Prelude-Manager.

Tous les événements rapportés (Windows / Unix) pourront être corrélés ensemble grâce à Prelude-Correlator et visualisés sur l'interface centralisée Prewikka.

Le mercredi 2 Juillet, pour les RMLL 2008, Yoann Vandoorselaere, créateur de Prelude et Responsable R&D de PreludeIDS Technologies, réalisera une conférence intitulée "Prelude, état de l'art".

Cette conférence en anglais présentera Prelude et son architecture et dressera ensuite son état de l’art : corrélation, API pour les langages de script ainsi que les avancées effectuées sur chacun des modules de Prelude.

Voir aussi :

• Le site des RMLL 2008
• La conférence "Prelude, état de l'art" en anglais (pdf)
• Toutes les conférences Prelude

Prelude-Correlator permet de corréler, en temps réel, les multiples événements reçus par Prelude. Plusieurs alertes isolées, issues de sondes multiplent peuvent ainsi déclencher une seule alerte de corrélation si les événements sont liés. L'alerte de corrélation apparaît alors dans l'interface Prewikka et met en évidence les informations que vous aurez choisi de pointer grâce aux règles de corrélation.

La création de signatures Prelude-Correlator est basée sur le puissant langage de programmation Lua.

• Consultez la page Moteur de Corrélation
• Téléchargez Prelude-Correlator

Le Mail Reporting Plugin envoie automatiquement des rapports d’événements par email à une liste de destinataires enregistrés. Le corps et le sujet de l'email généré peuvent être totalement configurés pour y faire apparaître, par exemple, l'événement en entier ou seulement certaines parties.

Ce plugin permet aussi l'interrogation de la base de données afin de joindre aux événements entrants des événements anciens qui leur sont liés.

En utilisant le Mail Reporting plugin en combinaison avec la fonctionnalité de filtrage du Manager Prelude, il est possible de générer des emails uniquement pour des événements correspondants à des critères spécifiques ou  atteignant certains seuils.

Téléchargez Prelude-Manager 0.9.13 et plus

L'équipe Prelude met à jour son outil de communication et de partage, incluant notament un changement de look, de nouveaux articles et une meilleure organisation des rubriques pour une navigation plus claire et plus cohérente.

Mais le changement majeur réside dans la fusion des sites Prelude-ids.com et Prelude-ids.org. Ceci toujours dans un but de cohérence et de facilité de navigation. Le contenu du site du Projet Prelude sera totalement intégré et accessible directement via une rubrique intitulée « Développement ». La fusion se fait naturellement, les habitués ne seront pas perdus et les nouveaux visiteurs prendront plaisir à visiter le site.

La sortie de ce nouveau site sera aussi l'occasion de renouveller et d'enrichir certains contenus utiles, incluant la documentation. Quelques rubriques et fonctionnalités inédites devraient également faire leur apparition.

Nous espérons que ce nouveau site vous séduira autant qu'il a séduit toute l'équipe Prelude.
Si vous avez des remarques ou si vous souhaitez apporter des corrections n'hésitez pas à contacter : webmaster@prelude-ids.com

L’occasion pour les deux partenaires de présenter les nouvelles possibilités offertes par la mise en coopération de NuFW (PareFeu authentifiant édité par INL) avec Prelude.

PreludeIDS est fier de compter parmi ses partenaires certifiés l’entreprise OpenSource Security de Ralf Spenneberg. Ralf Spenneberg est expert en Sécurité open source. A ce titre, il est l’auteur de plusieurs ouvrages spécialisés en allemand dont « Intrusion Detection und Prevention mit Snort 2 & Co. » dans lequel il consacre un chapitre au système Prelude.

Découvrir le profil d'OpenSource Security sur le site de PreludeIDS

Le plugin détecte en temps réel : des applications se terminant anormalement (gcc débordement de pile/glibc FORTIFY_SOURCE/erreur de segmentation), SELinux AVCs, logins, nombre maximum de tentatives de login atteint.

Le logiciel, ainsi que sa documentation sont disponibles à cette adresse :
http://people.redhat.com/sgrubb/audit/

Si vous utilisez fedora core 8, vous pouvez l'essayer facilement en lançant :

yum --enablerepo=updates-testing install audispd-plugins

Pour le tester sous Fedora rawhide (qui deviendra Fedora 9), vous devrez mettre SELinux en mode permissif en utilisant la commande "setenforce 0". 

En savoir plus : auditd+prelude HOWTO.

Editeur : O’Reilly Media

Langue : Anglais

Parution : 08/2007

Pages : 692 - 694 (Chapitre 20.13 : Host Monitoring in Large Environments with Prelude-IDS)

Détails des auteurs : Bryan Burns, Jennifer Stisa Granick, Steve Manzuik, Paul Guersch, Dave Killion, Nicolas Beauchesne, Eric Moret, Julien Sobrier, Michael Lynn, Eric Markham, Chris Iezzoni, Philippe Biondi, Avishai Avivi

Résumé : What if you could sit down with some of the most talented security engineers in the world and ask any network security question you wanted? Security Power Tools lets you do exactly that! Members of Juniper Networks' Security Engineering team and a few guest experts reveal how to use, tweak, and push the most popular network security applications, utilities, and tools available using Windows, Linux, Mac OS X, and Unix platforms. Designed to be browsed, Security Power Tools offers you multiple approaches to network security via 23 cross-referenced chapters that review the best security tools on the planet for both black hat techniques and white hat defense tactics. It's a must-have reference for network administrators, engineers and consultants with tips, tricks, and how-to advice for an assortment of freeware and commercial tools, ranging from intermediate level command-line operations to advanced programming of self-hiding exploits. Security Power Tools details best practices for: Reconnaissance -- including tools for network scanning such as nmap; vulnerability scanning tools for Windows and Linux; LAN reconnaissance; tools to help with wireless reconnaissance; and custom packet generation Penetration -- such as the Metasploit framework for automated penetration of remote computers; tools to find wireless networks; exploitation framework applications; and tricks and tools to manipulate shellcodes Control -- including the configuration of several tools for use as backdoors; and a review of known rootkits for Windows and Linux Defense -- including host-based firewalls; host hardening for Windows and Linux networks; communication security with ssh; email security and anti-malware; anddevice security testing Monitoring -- such as tools to capture, and analyze packets; network monitoring with Honeyd and snort; and host monitoring of production servers for file changes Discovery -- including The Forensic Toolkit, SysInternals and other popular forensic tools; application fuzzer and fuzzing techniques; and the art of binary reverse engineering using tools like Interactive Disassembler and Ollydbg A practical and timely network security ethics chapter written by a Stanford University professor of law completes the suite of topics and makes this book a goldmine of security information. Save yourself a ton of headaches and be prepared for any network security dilemma with Security Power Tools.

Accéder à l’ouvrage sur le site de l’éditeur

Il est maintenant capable de communiquer et d'utiliser toutes les fonctionnalités du système Prelude. Vous trouverez plus d'informations à ce propos dans l'email envoyé sur la mailing-list prelude-devel ici.

Merci de tester et de rapporter vos bugs, ainsi la prochaine release bénéficiera d'un support Prelude solide et performant.