Несколько дней назад лвыход новой версии Аркиме 5.0, который обладает одной из самых ожидаемых функций — Массовый поиск Cont3xt, так же как унификация подсистемы конфигурации, новые настройки и многое другое.
Для тех, кто не знает об Аркиме, следует знать, что это это инструмент с открытым исходным кодом для захвата пакетов и сетевого анализа., имеет инструменты для визуальной оценки потоков трафика и поиска информации, связанной с сетевой активностью.
Аркиме выделяется захватом и индексированием трафика в формате PCAP, с инструментами для быстрого доступа к индексированным данным. Принятие стандарта PCAP облегчает интеграцию с существующими анализаторами трафика. как Вайршарк. Объем хранимых данных ограничен только доступным размером дискового массива. Метаданные сеанса индексируются в кластере на основе механизма Elasticsearch или OpenSearch.
Компонент захвата трафика работает в многопоточном режиме и решает такие задачи, как мониторинг, запись дампов PCAP на диск, анализ захваченных пакетов и отправка метаданных о сессиях и протоколах в кластер Elasticsearch/OpenSearch. Кроме того, он предлагает возможность хранения файлов PCAP в зашифрованном виде.
Что нового в Аркиме 5.0?
В этом новом обновлении, представленном в Arkime 5.0, введение массового поиска Cont3xt, Который позволяет собирать информацию, доступную в нескольких индикаторах одновременно одним запросом, что существенно ускоряет процесс анализа данных.
Еще одно изменение, которое выделяется в новой версии, заключается в том, что Пользовательский интерфейс Arkime был обновлен, ну теперь раздел сведений о сеансе был переработан для оптимизации экранного пространства и к вкладкам добавлены раскрывающиеся меню для нескольких просмотров, что упрощает навигацию и поиск информации.
В дополнение к этому, В Arkime 5.0 представлена поддержка методов снятия отпечатков трафика JA4 и JA4+., отображаются как новые поля сеанса для просмотра и поиска для идентификации сетевых протоколов и приложений. Поддержка может быть добавлена через простой в установке плагин.
Еще одним значительным улучшением в Arkime 5.0 являетсянификация подсистемы конфигурации во всех приложениях, поскольку теперь они перешли на подсистему конфигурации, которая поддерживает обработку конфигураций в разных форматах. Это обеспечивает поддержку нескольких форматов файлов конфигурации и облегчает восстановление с дисковых и сетевых источников. Кроме того, вы можете загружать конфигурации из различных источников, например с диска, по сети с помощью HTTPS или из OpenSearch/Elasticsearch.
Из другие изменения, которые выделяются:
- Возможность импортировать автономные дампы PCAP непосредственно из различных сетевых источников, таких как S3 и HTTP(S), — еще одна примечательная особенность этого выпуска.
- Включен ряд исправлений ошибок и оптимизаций, таких как обновление zstd, nghttp2, maxmind и yara и других.
- Система авторизации унифицирована и выделена в самостоятельный модуль.
- Добавлены новые режимы авторизации, включая базовый, форма, базовый+форма, базовый+oidc, headerOnly, заголовок+дайджест и заголовок+базовый.
- Убран режим «только панель».
- zstd иногда не читал все пакеты
- Улучшено детальное отображение сеанса.
- Ссылка на подробную информацию о сеансе на ссылку «Сейчас», выбор нескольких элементов информационного столбца сейчас
- новые viewRoles в файле конфигурации для каждой интеграции для контроля доступа
- передать право собственности на ресурсы
- поддерживается новый источник данных csv/json
- поддержка нового источника данных Redis
- добавлен демо-режим
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.
Загрузите и получите Arkime 5.0
Тем, кто заинтересован в новой версии, следует знать, что вы можете получить предварительно скомпилированные пакеты RPM и DEB для дистрибутивов с поддержкой этих типов пакетов. Вы можете получить пакеты По следующей ссылке.