logo Arkima
Kilka dni temu lwydanie nowej wersji Arkime 5.0, który ma jedną z najbardziej oczekiwanych funkcji, czyli Wyszukiwanie zbiorcze Con3xt, jak również Ujednolicenie podsystemu konfiguracji, nowe ustawienia i nie tylko.
Ci, którzy nie wiedzą o Arkime, powinni wiedzieć, że to to narzędzie typu open source do przechwytywania pakietów i analizy sieci, posiada narzędzia do wizualnej oceny przepływów ruchu i wyszukiwania informacji związanych z aktywnością sieciową.
arkame wyróżnia się przechwytywaniem i indeksowaniem ruchu w formacie PCAP, z narzędziami umożliwiającymi szybki dostęp do zaindeksowanych danych. Przyjęcie standardu PCAP ułatwia integrację z istniejącymi analizatorami ruchu jak Wireshark. Ilość przechowywanych danych jest ograniczona jedynie dostępnym rozmiarem macierzy dyskowej. Metadane sesji są indeksowane w klastrze w oparciu o silnik Elasticsearch lub OpenSearch.
Zrzut ekranu Arkime'a
Komponent przechwytywania ruchu działa w trybie wielowątkowym i zajmuje się takimi zadaniami, jak monitorowanie, zapisywanie zrzutów PCAP na dysku, analizowanie przechwyconych pakietów oraz wysyłanie metadanych o sesjach i protokołach do klastra Elasticsearch/OpenSearch. Ponadto oferuje możliwość przechowywania plików PCAP w postaci zaszyfrowanej.
Co nowego w Arkime 5.0?
W tej nowej aktualizacji, która jest prezentowana z Arkime 5.0, wprowadzenie wyszukiwania zbiorczego Cont3xt, który pozwala na gromadzenie informacji dostępnych w wielu wskaźnikach jednocześnie z pojedynczym zapytaniem, co znacznie przyspiesza proces analizy danych.
Kolejną zmianą, która wyróżnia się w nowej wersji, jest to Interfejs użytkownika Arkime został odnowiony, cóż, teraz Sekcja szczegółów sesji została przeprojektowana aby zoptymalizować przestrzeń ekranu, a do zakładek dodano menu rozwijane dla wielu przeglądarek, ułatwiające nawigację i wyszukiwanie informacji.
Oprócz tego Arkime 5.0 wprowadza obsługę metod odcisków palców ruchu JA4 i JA4+, wyświetlane jako nowe pola sesji do przeglądania i wyszukiwania w celu identyfikacji protokołów sieciowych i aplikacji. Wsparcie można dodać za pomocą łatwej w instalacji wtyczki.
Kolejnym znaczącym ulepszeniem w Arkime 5.0 jest uujednolicenie podsystemu konfiguracyjnego we wszystkich aplikacjach, ponieważ przeszli teraz do podsystemu konfiguracyjnego, który obsługuje przetwarzanie konfiguracji w różnych formatach. Umożliwia to obsługę wielu formatów plików konfiguracyjnych i ułatwia odzyskiwanie danych ze źródeł dyskowych i sieciowych. Dodatkowo możesz ładować konfiguracje z różnych źródeł, takich jak dysk, przez sieć za pomocą protokołu HTTPS lub z OpenSearch/Elasticsearch.
z inne zmiany, które się wyróżniają:
- Możliwość importowania zrzutów PCAP offline bezpośrednio z różnych źródeł sieciowych, takich jak S3 i HTTP(S), to kolejna zauważalna cecha tej wersji.
- Uwzględniono wiele poprawek błędów i optymalizacji, takich jak między innymi aktualizacja zstd, nghttp2, maxmind i yara.
- System uprawnień został ujednolicony i wydzielony na niezależny moduł
- Dodano nowe tryby autoryzacji, w tym podstawowy, formularz, podstawowy+formularz, podstawowy+oidc, headerOnly, nagłówek+streszczenie i nagłówek+podstawowy.
- Usunięto tryb tylko panelu.
- zstd czasami nie czytał wszystkich pakietów
- Ulepszone szczegółowe wyświetlanie sesji
- link do szczegółów sesji do linku teraz, wybierz teraz wiele elementów kolumny informacyjnej
- nowe role widoków w pliku konfiguracyjnym na integrację w celu kontroli dostępu
- przenieść własność zasobów
- obsługiwane nowe źródło danych CSV/JSON
- obsługa nowego źródła danych Redis
- dodano tryb demonstracyjny
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.
Pobierz i pobierz Arkime 5.0
Dla zainteresowanych nową wersją warto wiedzieć, że można otrzymać prekompilowane pakiety RPM i DEB dla dystrybucji obsługujących tego typu pakiety. Można odebrać paczki W poniższym linku.