Arkime 5.0 arrive avec une recherche massive Cont3xt, le support JA4 et plus encore

DarkcriztMis à jour le

Minutes 4

Arkimé

Logo Arkimé

Il y a quelques jours, le lsortie de la nouvelle version d'Arkime 5.0, qui est doté de l'une des fonctionnalités les plus attendues, à savoir le Recherche groupée Cont3xt, aussi bien que unification du sous-système de configuration, de nouveaux paramètres et bien plus encore.

Pour ceux qui ne connaissent pas Arkime, sachez que ce est un outil open source de capture de paquets et d'analyse de réseau, dispose d'outils pour évaluer visuellement les flux de trafic et rechercher des informations liées à l'activité du réseau.

Arkimé se distingue par la capture et l'indexation du trafic au format PCAP, avec des outils pour un accès rapide aux données indexées. Adoption de la norme PCAP facilite l'intégration avec les analyseurs de trafic existants comme Wireshark. La quantité de données stockées est limitée uniquement par la taille disponible de la baie de disques. Les métadonnées de session sont indexées dans un cluster basé sur le moteur Elasticsearch ou OpenSearch.

Arkimé

Capture d'écran d'Arkimé

Le composant de capture du trafic fonctionne en mode multithread et gère des tâches telles que la surveillance, l'écriture de vidages PCAP sur le disque, l'analyse des paquets capturés et l'envoi de métadonnées sur les sessions et les protocoles au cluster Elasticsearch/OpenSearch. De plus, il offre la possibilité de stocker les fichiers PCAP sous forme cryptée.

Quoi de neuf dans Arkime 5.0 ?

Dans cette nouvelle mise à jour présentée depuis Arkime 5.0, le introduction de la recherche groupée Cont3xtQui vous permet de collecter des informations disponibles dans plusieurs indicateurs simultanément avec une seule requête, ce qui accélère considérablement le processus d’analyse des données.

Un autre changement qui se démarque dans la nouvelle version est que L'interface utilisateur d'Arkime a été renouvelée, eh bien maintenant le la section des détails de la session a été repensée pour optimiser l'espace de l'écran et des menus déroulants multi-visualiseurs ont été ajoutés aux onglets, facilitant ainsi la navigation et la recherche d'informations.

En plus de cela, Arkime 5.0 introduit la prise en charge des méthodes d'empreintes digitales du trafic JA4 et JA4+, affichés sous forme de nouveaux champs de session pour l'affichage et la recherche afin d'identifier les protocoles et les applications réseau. Le support peut être ajouté via un plugin facile à installer.

Une autre amélioration significative d'Arkime 5.0 est l'unification du sous-système de configuration dans toutes les applications, car ils sont maintenant passés à un sous-système de configuration qui prend en charge le traitement des configurations dans différents formats. Cela permet la prise en charge de plusieurs formats de fichiers de configuration et facilite la récupération à partir de sources disque et réseau. De plus, vous pouvez charger des configurations à partir de diverses sources, telles qu'un disque, sur le réseau à l'aide de HTTPS ou depuis OpenSearch/Elasticsearch.

De l' d'autres changements qui se démarquent:

  • La possibilité d'importer des dumps PCAP hors ligne directement à partir de diverses sources réseau, telles que S3 et HTTP(S), est une autre fonctionnalité notable de cette version.
  • Un certain nombre de corrections de bugs et d'optimisations sont incluses, telles que la mise à jour de zstd, nghttp2, maxmind et yara, entre autres.
  • Le système d'autorisation a été unifié et séparé en un module indépendant
  • De nouveaux modes d'autorisation ont été ajoutés, notamment basic, form, basic+form, basic+oidc, headerOnly, header+digest et header+basic.
  • Suppression du mode panneau uniquement.
  • zstd ne lisait parfois pas tous les paquets
  • Affichage détaillé de la session amélioré
  • lien de détail de session vers un lien maintenant, éléments de colonne d'informations à sélection multiple maintenant
  • nouveaux viewRoles dans le fichier de configuration par intégration pour contrôler l'accès
  • transférer la propriété des ressources
  • nouvelle source de données csv/json prise en charge
  • prise en charge de la nouvelle source de données Redis
  • mode démo ajouté

Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.

Téléchargez et obtenez Arkime 5.0

Pour ceux intéressés par la nouvelle version, sachez que vous pouvez obtenir les packages RPM et DEB précompilés pour les distributions prenant en charge ces types de packages. Vous pouvez obtenir les forfaits dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.