Arkime logo
Prije nekoliko dana lizdanje nove verzije Arkime 5.0, koji dolazi s jednom od najočekivanijih značajki, a to je Skupno pretraživanje Cont3xt, kao i unification podsustava konfiguracije, nove postavke i više.
Za one koji ne znaju za Arkime, trebali biste znati da ovo je alat otvorenog koda za snimanje paketa i analizu mreže, ima alate za vizualnu procjenu tokova prometa i traženje informacija povezanih s mrežnom aktivnošću.
arkime ističe se po snimanju i indeksiranju prometa u PCAP formatu, s alatima za brzi pristup indeksiranim podacima. Usvajanje PCA standardaP olakšava integraciju s postojećim analizatorima prometa poput Wiresharka. Količina pohranjenih podataka ograničena je samo dostupnom veličinom diskovnog polja. Metapodaci sesije indeksirani su u klasteru temeljenom na Elasticsearch ili OpenSearch motoru.
Arkime snimak zaslona
Komponenta za snimanje prometa radi u višenitnom načinu rada i bavi se zadacima kao što su nadzor, pisanje PCAP ispisa na disk, analiziranje snimljenih paketa i slanje metapodataka o sesijama i protokolima klasteru Elasticsearch/OpenSearch. Osim toga, nudi mogućnost pohranjivanja PCAP datoteka u šifriranom obliku.
Što je novo u Arkime 5.0?
U ovom novom ažuriranju koje je predstavljeno iz Arkime 5.0, uvođenje skupnog pretraživanja Cont3xt, koji omogućuje vam prikupljanje informacija dostupnih u više pokazatelja istovremeno s jednim upitom, što značajno ubrzava proces analize podataka.
Još jedna promjena koja se ističe u novoj verziji je ta Arkimeovo korisničko sučelje je obnovljeno, pa sada odjeljak s detaljima sesije je redizajniran za optimizaciju prostora na zaslonu i padajući izbornici za više gledatelja dodani su karticama, što olakšava navigaciju i pronalaženje informacija.
Uz to, Arkime 5.0 uvodi podršku za metode otiska prsta prometa JA4 i JA4+, prikazana kao nova polja sesije za pregled i pretraživanje za identifikaciju mrežnih protokola i aplikacija. Podrška se može dodati putem dodatka koji se lako instalira.
Još jedno značajno poboljšanje u Arkime 5.0 je unifikacija konfiguracijskog podsustava u svim aplikacijama, budući da su sada prešli na konfiguracijski podsustav koji podržava obradu konfiguracija u različitim formatima. To omogućuje podršku za više formata konfiguracijskih datoteka i olakšava oporavak s diska i mrežnih izvora. Osim toga, možete učitati konfiguracije iz različitih izvora, kao što je disk, preko mreže koristeći HTTPS ili iz OpenSearch/Elasticsearch.
Od druge promjene koje se ističu:
- Mogućnost uvoza offline PCAP ispisa izravno iz različitih mrežnih izvora, kao što su S3 i HTTP(S), još je jedna značajna značajka ovog izdanja.
- Uključen je niz ispravaka grešaka i optimizacija, kao što je ažuriranje zstd, nghttp2, maxmind i yara, među ostalima.
- Sustav autorizacije objedinjen je i izdvojen u samostalan modul
- Dodani su novi načini autorizacije, uključujući osnovni, obrazac, osnovni+forma, osnovni+oidc, samo zaglavlje, zaglavlje+sažetak i zaglavlje+osnovni.
- Uklonjen način rada samo s pločom.
- zstd ponekad nije čitao sve pakete
- Poboljšan detaljan prikaz sesije
- poveznica s detaljima sesije na vezu sada, višestruki odabir stavki stupca s informacijama sada
- nove uloge pogleda u konfiguracijskoj datoteci po integraciji za kontrolu pristupa
- prijenos vlasništva nad resursima
- podržan novi csv/json izvor podataka
- podrška za novi redis izvor podataka
- dodan demo mod
Konačno ako vas zanima više o tome, možete provjeriti detalje U sljedećem linku.
Preuzmite i nabavite Arkime 5.0
Za one koji su zainteresirani za novu verziju, trebali biste znati da možete dobiti unaprijed kompajlirane RPM i DEB pakete za distribucije s podrškom za ove vrste paketa. Pakete možete dobiti U sljedećem linku.