לפני מספר ימים ה-lשחרור הגרסה החדשה של Arkime 5.0, שמגיע עם אחת התכונות הצפויות ביותר, שהיא ה Cont3xt חיפוש בכמות גדולה, ממש כמו איחוד מערכות משנה של תצורה, הגדרות חדשות ועוד.
למי שלא יודע על Arkime, כדאי לדעת שזה הוא כלי לכידת מנות וניתוח רשת בקוד פתוח, יש כלים להערכת זרימת תנועה ויזואלית ולחפש מידע הקשור לפעילות ברשת.
ארקימה בולט בלכידת והוספת תעבורה לאינדקס בפורמט PCAP, עם כלים לגישה מהירה לנתונים שנוספו לאינדקס. אימוץ תקן PCAP מקל על אינטגרציה עם מנתחי תנועה קיימים כמו Wireshark. כמות הנתונים המאוחסנת מוגבלת רק על ידי הגודל הזמין של מערך הדיסקים. מטא נתונים של פעילויות באתר מתווספים לאינדקס על בסיס מנוע Elasticsearch או OpenSearch.
רכיב לכידת התעבורה פועל במצב ריבוי הליכי ונותן מענה למשימות כגון ניטור, כתיבת dump PCAP לדיסק, ניתוח מנות שנלכדו ושליחת מטא נתונים על הפעלות ופרוטוקולים לאשכול Elasticsearch/OpenSearch. בנוסף, הוא מציע אפשרות לאחסן קבצי PCAP בצורה מוצפנת.
מה חדש ב-Arkime 5.0?
בעדכון חדש זה המוצג מ-Arkime 5.0, ה הצגת חיפוש בכמות גדולה של Cont3xt, איזה מאפשר לך לאסוף מידע זמין במספר אינדיקטורים בו זמנית עם שאילתה אחת, מה שמאיץ משמעותית את תהליך ניתוח הנתונים.
שינוי נוסף שבולט בגרסה החדשה הוא זה ממשק המשתמש של Arkime חודש, ובכן עכשיו ה קטע פרטי הפגישה עוצב מחדש כדי לייעל את שטח המסך ותפריטים נפתחים מרובי צופים נוספו לכרטיסיות, מה שמקל על הניווט ומציאת המידע.
בנוסף לזה, Arkime 5.0 מציג תמיכה בשיטות טביעת אצבע של JA4 ו-JA4+, מוצג כשדות הפעלה חדשים לצפייה וחיפוש לזיהוי פרוטוקולי רשת ויישומים. ניתן להוסיף תמיכה באמצעות תוסף קל להתקנה.
שיפור משמעותי נוסף ב-Arkime 5.0 הוא ה-unification של תת-מערכת התצורה בכל היישומים, מכיוון שהם עברו כעת לתת-מערכת תצורה התומכת בעיבוד תצורות בפורמטים שונים. זה מאפשר תמיכה בפורמטים מרובים של קבצי תצורה ומקל על התאוששות ממקורות דיסק ורשת. בנוסף, ניתן לטעון תצורות ממקורות שונים, כגון דיסק, דרך הרשת באמצעות HTTPS, או מ-OpenSearch/Elasticsearch.
של שינויים אחרים הבולטים:
- היכולת לייבא dump PCAP לא מקוון ישירות ממקורות רשת שונים, כגון S3 ו-HTTP(S), היא תכונה בולטת נוספת של מהדורה זו.
- מספר תיקוני באגים ואופטימיזציות כלולים, כגון עדכון zstd, nghttp2, maxmind ו-yara, בין היתר.
- מערכת ההרשאות אוחדה והופרדה למודול עצמאי
- נוספו מצבי הרשאה חדשים, כולל basic, form, basic+form, basic+oidc, headerOnly, header+digest ו-header+basic.
- הוסר מצב פאנל בלבד.
- zstd לפעמים לא קרא את כל החבילות
- תצוגת הפעלה מפורטת משופרת
- קישור פרטי הפעלה לקישור עכשיו, פריטי עמודת מידע מרובים כעת
- ViewRoles חדשים בקובץ תצורה לכל אינטגרציה כדי לשלוט בגישה
- העברת בעלות על משאבים
- מקור נתונים חדש של csv/json נתמך
- תמיכה במקור נתונים חדש של redis
- מצב הדגמה נוסף
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בקישור הבא.
הורד וקבל את Arkime 5.0
למעוניינים בגרסה החדשה, כדאי לדעת שתוכלו להשיג את חבילות ה-RPM וה-DEB המורכבות מראש להפצות עם תמיכה בחבילות מסוג זה. אתה יכול לקבל את החבילות בקישור הבא.