Sept ans après la formation de la dernière grande branche, le lancement de la nouvelle version du système d'analyse de trafic et de détection d'intrusion réseau Zeek 3.0.0 a été présenté, précédemment distribué sous le nom de Bro.
Zeek est une plateforme d'analyse du trafic qui se concentre principalement sur le suivi des événements de sécurité, mais ne se limite pas à cette application. je connais fournir des modules pour l'analyse de divers protocoles réseau au niveau de l'application, en tenant compte de l'état des connexions et en permettant la constitution d'un enregistrement (fichier) détaillé de l'activité du réseau.
Un langage thématique est proposé pour rédiger des scénarios de suivi et identifier les anomalies, en tenant compte des spécificités des infrastructures spécifiques. Le système est optimisé pour une utilisation sur des réseaux à large bande passante.
Une API est fournie pour l'intégration avec des systèmes d'information tiers et l'échange de données en temps réel.
Les paquets IP capturés avec pcap sont transmis à un moteur d'événements qui les accepte ou les rejette. Les packages acceptés sont transmis à l'interpréteur de script de stratégie.
Le moteur événementiel analyse le trafic ou les fichiers réseau en direct ou enregistrés trace pour générer des événements neutres. Il génère des événements lorsque "quelque chose" se produit.
Cela peut être causé par le processus Zeek, comme juste après l'initialisation ou juste avant la fin du processus Zeek, ainsi que par quelque chose qui se passe sur le réseau (ou le fichier de trace) en cours d'analyse, comme Zeek témoin d'une requête HTTP ou d'un nouveau Connexion TCP.
Zeek utilise des ports communs et une détection de protocole dynamique (y compris les signatures et l'analyse du comportement) pour mieux deviner l'interprétation des protocoles réseau. Les événements sont politiquement neutres dans la mesure où ils ne sont ni bons ni mauvais, mais signalent simplement au script que quelque chose s'est passé.
Principales nouvelles de Zeek
Dans cette nouvelle tranche de l'application, il est mis en évidence que l'analyseur du protocole NTP a été complètement réécrit et un nouvel analyseur a été ajouté pour MQTT.
Sur quoi les fonctions de l'analyseur ont été améliorées pour DNS, RDP, SMB et TLS. Pour DNS, l'analyse des enregistrements SPF est fournie, et pour DNSSEC, RRSIG, DNSKEY, DS, NSEC et NSEC3, et le mappage d'événements associés est fourni.
Aussi toutes les références au nom "bro" dans les chemins de fichiers, de configurations, de packages, de scripts, d'espaces de noms et de fonctions sont remplacés par «zeek» (La compatibilité descendante est préservée pour la compatibilité descendante.) Le gestionnaire de paquets bro-pkg a été renommé zkg.
Des autres changements en vedette dans l'annonce de cette nouvelle version:
- Prise en charge de la désencapsulation des flux transmis dans les tunnels VXLAN
- Ajout de la prise en charge des liens de type NFLOG
- Ajout de la possibilité de sauvegarder les enregistrements de données extraits en encodage UTF8.
- La prise en charge des fermetures pour les fonctions anonymes a été ajoutée au langage de script, l'opérateur d'énumération de table a été ajouté au format clé-valeur ("for (key, value in t)").
- Ajout d'opérations de division vectorielle dans le style Python ("v [2: 4]")
- Une nouvelle structure de paraglob a été proposée pour faire correspondre rapidement les masques de chaîne dans de grands ensembles de données binaires
- Ajout de la prise en charge du protocole SMB 3.x dans l'analyseur SMB et de la prise en charge de TLS 1.3.
Comment installer Zeek sur Linux?
Dans ces moments (dans lesquels l'article a été écrit) le paquet zeek n'est pas encore dans les référentiels des distributions Linux, qui est actuellement toujours la dernière version de "Bro".
Pour ce que si vous souhaitez installer cette nouvelle version de Zeek 3.0 ils doivent télécharger son code source et le compiler sur leur ordinateur.
Pour ce faire, ils doivent ouvrir un terminal et y exécuter les commandes suivantes:
git clone --recursive https://github.com/zeek/zeek ./configure && make && sudo make install
Et prêt avec lui, ils auront déjà installé cet analyseur de trafic.