Logo Arkime
Một vài ngày trước lphát hành phiên bản mới của Arkime 5.0, đi kèm với một trong những tính năng được mong đợi nhất, đó là Tìm kiếm hàng loạt Cont3xt, cũng như thống nhất hệ thống con cấu hình, cài đặt mới và hơn thế nữa.
Đối với những người chưa biết về Arkime, bạn nên biết rằng điều này là một công cụ phân tích mạng và thu thập gói nguồn mở, có các công cụ để đánh giá trực quan các luồng lưu lượng và tìm kiếm thông tin liên quan đến hoạt động mạng.
arkime nổi bật trong việc nắm bắt và lập chỉ mục lưu lượng truy cập ở định dạng PCAP, với các công cụ để truy cập nhanh vào dữ liệu được lập chỉ mục. Việc áp dụng tiêu chuẩn PCAP tạo điều kiện tích hợp với các máy phân tích lưu lượng truy cập hiện có như Wireshark. Lượng dữ liệu được lưu trữ chỉ bị giới hạn bởi kích thước có sẵn của mảng đĩa. Siêu dữ liệu phiên được lập chỉ mục trong một cụm dựa trên công cụ Elaticsearch hoặc OpenSearch.
Ảnh chụp màn hình Arkime
Thành phần thu thập lưu lượng truy cập hoạt động ở chế độ đa luồng và xử lý các tác vụ như giám sát, ghi kết xuất PCAP vào đĩa, phân tích các gói đã thu thập và gửi siêu dữ liệu về các phiên và giao thức tới cụm Elaticsearch/OpenSearch. Ngoài ra, nó còn cung cấp khả năng lưu trữ các tệp PCAP ở dạng được mã hóa.
Có gì mới trong Arkime 5.0?
Trong bản cập nhật mới này được trình bày từ Arkime 5.0, giới thiệu tìm kiếm hàng loạt Cont3xt, mà cho phép bạn thu thập thông tin có sẵn trong nhiều chỉ số đồng thời với một truy vấn duy nhất, giúp tăng tốc đáng kể quá trình phân tích dữ liệu.
Một thay đổi khác nổi bật trong phiên bản mới là Giao diện người dùng của Arkime đã được đổi mới, ừ bây giờ thì phần chi tiết phiên đã được thiết kế lại để tối ưu hóa không gian màn hình và các menu thả xuống nhiều người xem đã được thêm vào các tab, giúp điều hướng và tìm thông tin dễ dàng hơn.
Ngoài nó, Arkime 5.0 giới thiệu hỗ trợ cho phương pháp lấy dấu vân tay lưu lượng truy cập JA4 và JA4+, được hiển thị dưới dạng các trường phiên mới để xem và tìm kiếm nhằm xác định các ứng dụng và giao thức mạng. Hỗ trợ có thể được thêm thông qua một plugin dễ cài đặt.
Một cải tiến đáng kể khác trong Arkime 5.0 làviệc xác minh hệ thống con cấu hình trong tất cả các ứng dụng, vì hiện tại họ đã chuyển sang hệ thống con cấu hình hỗ trợ xử lý cấu hình ở các định dạng khác nhau. Điều này cho phép hỗ trợ nhiều định dạng tệp cấu hình và tạo điều kiện phục hồi từ các nguồn đĩa và mạng. Ngoài ra, bạn có thể tải cấu hình từ nhiều nguồn khác nhau, chẳng hạn như đĩa, qua mạng bằng HTTPS hoặc từ OpenSearch/Elasticsearch.
Của những thay đổi khác nổi bật:
- Khả năng nhập kết xuất PCAP ngoại tuyến trực tiếp từ nhiều nguồn mạng khác nhau, chẳng hạn như S3 và HTTP(S), là một tính năng đáng chú ý khác của bản phát hành này.
- Một số sửa lỗi và tối ưu hóa được bao gồm, chẳng hạn như cập nhật zstd, nghttp2, maxmind và yara, cùng nhiều lỗi khác.
- Hệ thống phân quyền đã được thống nhất và tách thành module độc lập
- Các chế độ ủy quyền mới đã được thêm vào, bao gồm cơ bản, biểu mẫu, cơ bản+biểu mẫu, cơ bản+oidc, headerOnly, tiêu đề+thông báo và tiêu đề+cơ bản.
- Đã loại bỏ chế độ chỉ có bảng điều khiển.
- zstd đôi khi không đọc tất cả các gói
- Cải thiện hiển thị phiên chi tiết
- liên kết chi tiết phiên đến liên kết hiện tại, nhiều mục cột thông tin được chọn ngay bây giờ
- Chế độ xem mớiVai trò trong tệp cấu hình cho mỗi lần tích hợp để kiểm soát quyền truy cập
- chuyển quyền sở hữu tài nguyên
- nguồn dữ liệu csv/json mới được hỗ trợ
- hỗ trợ nguồn dữ liệu redis mới
- đã thêm chế độ demo
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.
Tải xuống và nhận Arkime 5.0
Đối với những người quan tâm đến phiên bản mới, bạn nên biết rằng bạn có thể lấy các gói RPM và DEB được biên dịch sẵn để phân phối với sự hỗ trợ cho các loại gói này. Bạn có thể nhận được các gói Trong liên kết sau đây.