Seitsemän vuotta viimeisen suuren haaran muodostumisen jälkeen esiteltiin uuden version Zeek 3.0.0 -verkkojen tunkeutumisen havaitsemis- ja liikenteen analysointijärjestelmästä, aiemmin jaettu Bro-nimellä.
Zeek on liikenteen analysointialusta joka keskittyy ensisijaisesti tietoturvatapahtumien seurantaan, mutta ei rajoitu tähän sovellukseen. Tiedän tarjota moduuleja erilaisten sovellustason verkkoprotokollien analysointiin, ottaen huomioon yhteyksien tila ja mahdollistamalla yksityiskohtainen tietue (tiedosto) verkkotoiminnasta.
Aihekohtaista kieltä ehdotetaan tarkkaileskenaarioiden kirjoittamiseen ja poikkeavuuksien tunnistamiseen ottaen huomioon tiettyjen infrastruktuurien erityispiirteet. Järjestelmä on optimoitu käytettäväksi suuren kaistanleveyden verkoissa.
API on tarkoitettu integroitumaan kolmansien osapuolten tietojärjestelmien kanssa ja reaaliaikaiseen tiedonvaihtoon.
Pcapilla kaapatut IP-paketit välitetään tapahtumakoneelle joka hyväksyy tai hylkää ne. Hyväksytyt paketit välitetään käytäntöskriptin tulkkiin.
Tapahtuman moottori analysoi suoraa tai tallennettua verkkoliikennettä tai tiedostoja jäljittää neutraalien tapahtumien luomiseksi. Se tuottaa tapahtumia, kun "jotain" tapahtuu.
Tämä voi johtua Zeek-prosessista, kuten heti alustuksen jälkeen tai juuri ennen Zeek-prosessin lopettamista, tai jostakin verkossa (tai jäljitystiedostossa) tapahtuvasta jäsentämisestä, kuten Zeek todistaa HTTP-pyynnön tai uuden TCP-yhteys.
Zeek käyttää yhteisiä portteja ja dynaamista protokollan tunnistusta (mukaan lukien allekirjoitukset ja käyttäytymisanalyysi) arvatakseen paremmin verkkoprotokollien tulkinnan. Tapahtumat ovat politiikan suhteen neutraaleja, koska ne eivät ole hyviä eivätkä huonoja, mutta vain ilmoittavat käsikirjoitukselle, että jotain tapahtui.
Tärkeimmät uutiset Zeekiltä
Tässä sovelluksen uudessa erässä korostetaan sitä NTP-protokollan jäsennin on kirjoitettu kokonaan uudelleen ja uusi jäsennin on lisätty MQTT: lle.
Tämän jälkeen analysaattorin toimintoja parannettiin DNS, RDP, SMB ja TLS. DNS: lle tarjotaan SPF-tietueiden analyysi ja DNSSEC, RRSIG, DNSKEY, DS, NSEC ja NSEC3 sekä niihin liittyvien tapahtumien kartoitus.
Myös kaikki viitteet nimelle "veli" tiedostojen, kokoonpanojen, pakettien, komentosarjojen, nimitilojen ja toimintojen poluissa korvataan ilmaisulla «zeek» . Bro-pkg-paketinhallinta on nimetty uudelleen zkg: ksi.
Muista muutoksista esillä tämän uuden version ilmoituksessa:
- Toteutettu tuki VXLAN-tunneleissa lähetettyjen virtojen kapseloinnin poistamiseksi
- Lisätty tuki linkeille, joiden tyyppi on NFLOG
- Lisätty mahdollisuus tallentaa puretut tietueet UTF8-koodaukseen.
- Anonyymien toimintojen sulkemisten tuki on lisätty komentosarjakielelle, taulukon luettelo-operaattori on lisätty avainarvomuodossa ("for (avain, arvo t: ssä)").
- Python-tyylisten vektorijako-operaatioiden lisääminen ("v [2: 4]")
- Uusi paraglob-rakenne on ehdotettu merkkijonojen peittämiseksi nopeasti suurissa binäärisissä tietojoukoissa
- Lisätty tuki SMB 3.x -protokollalle SMB-jäsentimessä ja tuki TLS 1.3: lle.
Kuinka asentaa Zeek Linuxiin?
Näinä hetkinä (joissa artikkeli kirjoitettiin) zeek-paketti ei ole vielä Linux-jakelujen arkistoissa, joka on edelleen "Bro": n viimeisin versio.
Mitä varten jos haluat asentaa tämän uuden version Zeek 3.0: sta heidän tulisi ladata lähdekoodi ja kääntää se tietokoneelleen.
Voit tehdä tämän avaamalla päätelaitteen ja suorittamalla siinä seuraavat komennot:
git clone --recursive https://github.com/zeek/zeek ./configure && make && sudo make install
Ja valmiina siihen, heillä on jo tämä liikenteen analysaattori asennettuna.