几天前我Arkime 5.0新版本发布,它具有最令人期待的功能之一,那就是 Cont3xt 批量搜索, 以及 配置子系统统一、新设置等等。
对于那些不了解Arkime的人,你应该知道这个 是一个开源的数据包捕获和网络分析工具,具有直观地评估流量并搜索与网络活动相关的信息的工具。
阿基姆 以 PCAP 格式捕获和索引流量而脱颖而出,带有用于快速访问索引数据的工具。采用PCA标准P 促进与现有流量分析器的集成 像 Wireshark 一样。存储的数据量仅受磁盘阵列的可用大小的限制。会话元数据在基于 Elasticsearch 或 OpenSearch 引擎的集群中建立索引。
流量捕获组件以多线程模式运行,并处理诸如监控、将 PCAP 转储写入磁盘、分析捕获的数据包以及将有关会话和协议的元数据发送到 Elasticsearch/OpenSearch 集群等任务。此外,它还提供了以加密形式存储 PCAP 文件的可能性。
Arkime 5.0 有什么新功能?
在 Arkime 5.0 推出的新更新中, 引入Cont3xt批量搜索哪一个 允许您收集多个指标中可用的信息 与单个查询同时进行,这显着加快了数据分析过程。
新版本中另一个引人注目的变化是 Arkime 的用户界面已更新, 现在好了 会话详细信息部分已重新设计 为了优化屏幕空间,选项卡中添加了多查看器下拉菜单,使导航和查找信息变得更加容易。
除此之外 Arkime 5.0引入了对JA4和JA4+流量指纹方法的支持,显示为新的会话字段,用于查看和搜索以识别网络协议和应用程序。可以通过易于安装的插件添加支持。
Arkime 5.0 的另一个显着改进是 u所有应用程序中配置子系统的信息, 因为他们现在已经转移到支持处理不同格式的配置的配置子系统。这允许支持多种配置文件格式,并有助于从磁盘和网络源进行恢复。此外,您还可以使用 HTTPS 通过网络或从 OpenSearch/Elasticsearch 加载来自各种来源(例如磁盘)的配置。
, 其他突出的变化:
- 直接从各种网络源(例如 S3 和 HTTP(S))导入离线 PCAP 转储的能力是此版本的另一个显着功能。
- 其中包括许多错误修复和优化,例如更新 zstd、nghttp2、maxmind 和 yara 等。
- 授权系统已统一,分离为独立模块
- 新增授权模式:basic、form、basic+form、basic+oidc、headerOnly、header+digest、header+basic。
- 删除了仅面板模式。
- zstd 有时没有读取所有包
- 改进了详细的会话显示
- 会话详细信息链接到“现在”链接,现在多选信息列项目
- 每个集成的配置文件中的新 viewRoles 用于控制访问
- 转让资源所有权
- 支持新的 csv/json 数据源
- 支持新的redis数据源
- 添加了演示模式
最后 如果您有兴趣了解更多有关它的信息,您可以查看详细信息 在下面的链接中。
下载并获取 Arkime 5.0
对于那些对新版本感兴趣的人,您应该知道您可以获得预编译的 RPM 和 DEB 软件包,以便支持这些类型的软件包。你可以获得包裹 在下面的链接中。