Logo Arkime
Beberapa hari lalu lkeluaran versi baharu Arkime 5.0, yang datang dengan salah satu ciri yang paling dinanti-nantikan, iaitu Cont3xt carian pukal, begitu juga penyatuan subsistem konfigurasi, tetapan baharu dan banyak lagi.
Bagi mereka yang tidak tahu tentang Arkime, anda harus tahu bahawa ini ialah tangkapan paket sumber terbuka dan alat analisis rangkaian, mempunyai alat untuk menilai secara visual aliran trafik dan mencari maklumat yang berkaitan dengan aktiviti rangkaian.
arkime menonjol untuk menangkap dan mengindeks trafik dalam format PCAP, dengan alatan untuk akses pantas kepada data yang diindeks. Penggunaan standard PCAP memudahkan penyepaduan dengan penganalisis trafik sedia ada seperti Wireshark. Jumlah data yang disimpan dihadkan hanya oleh saiz tatasusunan cakera yang tersedia. Metadata sesi diindeks dalam kelompok berdasarkan enjin Elasticsearch atau OpenSearch.
Tangkapan skrin Arkime
Komponen tangkapan trafik beroperasi dalam mod berbilang benang dan menangani tugas seperti pemantauan, menulis pembuangan PCAP ke cakera, menganalisis paket yang ditangkap dan menghantar metadata tentang sesi dan protokol ke kelompok Elasticsearch/OpenSearch. Di samping itu, ia menawarkan kemungkinan menyimpan fail PCAP dalam bentuk yang disulitkan.
Apa yang baharu dalam Arkime 5.0?
Dalam kemas kini baru ini yang dibentangkan dari Arkime 5.0, yang pengenalan carian pukal Cont3xt, yang membolehkan anda mengumpul maklumat yang tersedia dalam pelbagai penunjuk serentak dengan satu pertanyaan, yang mempercepatkan proses analisis data dengan ketara.
Perubahan lain yang menonjol dalam versi baru ialah Antara muka pengguna Arkime telah diperbaharui, baik sekarang bahagian butiran sesi telah direka bentuk semula untuk mengoptimumkan ruang skrin dan menu lungsur turun berbilang penonton telah ditambahkan pada tab, menjadikannya lebih mudah untuk menavigasi dan mencari maklumat.
Selain itu, Arkime 5.0 memperkenalkan sokongan untuk kaedah cap jari trafik JA4 dan JA4+, dipaparkan sebagai medan sesi baharu untuk melihat dan mencari untuk mengenal pasti protokol dan aplikasi rangkaian. Sokongan boleh ditambah melalui pemalam yang mudah dipasang.
Satu lagi peningkatan ketara dalam Arkime 5.0 ialah upengenalan subsistem konfigurasi dalam semua aplikasi, kerana mereka kini telah berpindah ke subsistem konfigurasi yang menyokong konfigurasi pemprosesan dalam format yang berbeza. Ini membenarkan sokongan untuk berbilang format fail konfigurasi dan memudahkan pemulihan daripada sumber cakera dan rangkaian. Selain itu, anda boleh memuatkan konfigurasi daripada pelbagai sumber, seperti cakera, melalui rangkaian menggunakan HTTPS atau daripada OpenSearch/Elasticsearch.
Daripada perubahan lain yang menonjol:
- Keupayaan untuk mengimport pembuangan PCAP luar talian terus daripada pelbagai sumber rangkaian, seperti S3 dan HTTP(S), merupakan satu lagi ciri ketara keluaran ini.
- Beberapa pembetulan pepijat dan pengoptimuman disertakan, seperti mengemas kini zstd, nghttp2, maxmind dan yara, antara lain.
- Sistem kebenaran telah disatukan dan dipisahkan menjadi modul bebas
- Mod kebenaran baharu telah ditambahkan, termasuk asas, bentuk, asas+bentuk, asas+oidc, pengepala Sahaja, pengepala+ringkas dan pengepala+asas.
- Mod panel sahaja dialih keluar.
- zstd kadang-kadang tidak membaca semua pakej
- Paparan sesi terperinci yang dipertingkatkan
- pautan butiran sesi ke pautan sekarang, item lajur maklumat berbilang pilih sekarang
- viewRole baharu dalam fail konfigurasi setiap penyepaduan untuk mengawal akses
- memindahkan pemilikan sumber
- sumber data csv/json baharu disokong
- sokongan untuk sumber data redis baharu
- mod demo ditambah
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.
Muat turun dan dapatkan Arkime 5.0
Bagi mereka yang berminat dengan versi baharu, anda harus tahu bahawa anda boleh mendapatkan pakej RPM dan DEB yang telah disusun terlebih dahulu untuk pengedaran dengan sokongan untuk jenis pakej ini. Anda boleh mendapatkan pakej tersebut Dalam pautan berikut.