Через семь лет после образования последней крупной ветви представлен запуск новой версии системы обнаружения сетевых вторжений и анализа трафика Zeek 3.0.0, ранее распространялся под именем Bro.
Zeek - платформа для анализа трафика который в первую очередь ориентирован на отслеживание событий безопасности, но не ограничивается этим приложением. я знаю предоставляют модули для анализа различных сетевых протоколов прикладного уровня, с учетом состояния подключений и возможностью формирования подробной записи (файла) сетевой активности.
Предложен тематически ориентированный язык для написания сценариев мониторинга и выявления аномалий с учетом специфических характеристик конкретных инфраструктур. Система оптимизирована для использования в сетях с высокой пропускной способностью.
Предоставляется API для интеграции со сторонними информационными системами и обмена данными в реальном времени.
IP-пакеты, захваченные с помощью pcap, передаются механизму событий кто принимает или отвергает их. Принятые пакеты пересылаются интерпретатору сценария политики.
Механизм событий анализирует живой или записанный сетевой трафик или файлы трассировка для генерации нейтральных событий. Он генерирует события, когда «что-то» происходит.
Это может быть вызвано процессом Zeek, например, сразу после инициализации или непосредственно перед завершением процесса Zeek, а также из-за того, что что-то происходит в анализируемой сети (или в файле трассировки), например, Zeek отмечает HTTP-запрос или новый TCP-соединение.
Zeek использует общие порты и динамическое обнаружение протоколов (включая сигнатуры и анализ поведения), чтобы лучше угадывать интерпретацию сетевых протоколов. События нейтральны с точки зрения политики в том смысле, что они ни хороши, ни плохи, а просто сигнализируют сценарию о том, что что-то произошло.
Основные новости от Zeek
В этой новой части приложения подчеркивается, что полностью переписан парсер для протокола NTP и для MQTT добавлен новый парсер.
После чего функции анализатора были улучшены. для DNS, RDP, SMB и TLS. Для DNS предоставляется анализ записей SPF, а для DNSSEC, RRSIG, DNSKEY, DS, NSEC и NSEC3, а также сопоставление связанных событий.
Также все упоминания имени «братан» в путях к файлам, конфигурациям, пакетам, скриптам, пространствам имен и функциям заменяются на «zeek» (Обратная совместимость сохраняется для обратной совместимости.) Менеджер пакетов bro-pkg был переименован в zkg.
Из других изменений в анонсе этой новой версии:
- Реализована поддержка деинкапсуляции потоков, передаваемых в туннелях VXLAN.
- Добавлена поддержка ссылок с типом NFLOG.
- Добавлена возможность сохранять извлеченные записи данных в кодировке UTF8.
- В язык сценариев добавлена поддержка замыканий для анонимных функций, добавлен оператор перечисления таблиц в формате ключ-значение («for (ключ, значение в t)»).
- Добавление операций деления вектора в стиле Python ("v [2: 4]")
- Была предложена новая структура параглоба для быстрого сопоставления строковых масок в больших наборах двоичных данных.
- Добавлена поддержка протокола SMB 3.x в парсере SMB и поддержка TLS 1.3.
Как установить Zeek в Linux?
В эти моменты (в которых написана статья) пакета zeek пока нет в репозиториях дистрибутивов Linux, который на данный момент все еще является последней версией "Bro".
Для чего если вы хотите установить эту новую версию Zeek 3.0 они должны загрузить его исходный код и скомпилировать его на своем компьютере.
Для этого они должны открыть терминал и выполнить в нем следующие команды:
git clone --recursive https://github.com/zeek/zeek ./configure && make && sudo make install
И готово, у них уже будет установлен этот анализатор трафика.