Hét évvel az utolsó nagy ág megalakulása után, bemutatták a Zeek 3.0.0 hálózati behatolásérzékelő és forgalomelemző rendszer új verziójának bevezetését, korábban Bro néven terjesztették.
A Zeek egy forgalomelemző platform amely elsősorban a biztonsági események nyomon követésére összpontosít, de nem korlátozódik erre az alkalmazásra. Tudom modulokat biztosít a különböző alkalmazásszintű hálózati protokollok elemzéséhez, figyelembe véve a kapcsolatok állapotát és lehetővé téve a hálózati tevékenység részletes nyilvántartásának (fájljának) kialakítását.
Témakör-orientált nyelvet javasolnak a monitorozási forgatókönyvek megírásához és az anomáliák azonosításához, figyelembe véve az adott infrastruktúrák sajátosságait. A rendszer nagy sávszélességű hálózatokon történő használatra van optimalizálva.
API-t biztosítanak harmadik fél információs rendszereivel való integrációhoz és valós idejű adatcseréhez.
A Pcap segítségével elfogott IP-csomagokat továbbítják egy esemény motornak aki elfogadja vagy elutasítja őket. Az elfogadott csomagokat továbbítjuk a házirend-szkript tolmácsához.
Az esemény motorja elemzi az élő vagy rögzített hálózati forgalmat vagy fájlokat semleges események generálásához. Akkor generál eseményeket, amikor "valami" történik.
Ennek oka lehet a Zeek-folyamat, például közvetlenül az inicializálás után vagy közvetlenül a Zeek-folyamat befejezése előtt, valamint a hálózatban (vagy a nyomkövetési fájlban) zajló elemzés, például a Zeek HTTP-kérés vagy egy új kérés tanúja TCP kapcsolat.
A Zeek közös portokat és dinamikus protokollérzékelést (beleértve az aláírásokat és a viselkedéselemzést) használ a hálózati protokollok értelmezésének jobb kitalálására. Az események politikailag semlegesek, mivel nem jók és nem is rosszak, hanem egyszerűen jelzik a forgatókönyvnek, hogy valami történt.
Fő hírek a Zeektől
Az alkalmazás ezen új részében ezt kiemelik az NTP protokoll elemzője teljesen át lett írva és új elemző került hozzá az MQTT-hez.
Ezután az elemző funkciói javultak DNS, RDP, SMB és TLS esetén. A DNS-hez az SPF rekordelemzés, a DNSSEC, RRSIG, DNSKEY, DS, NSEC és NSEC3, valamint a kapcsolódó események hozzárendelése biztosított.
Szintén minden hivatkozás a "tesó" névre fájlok, konfigurációk, csomagok, szkriptek, névterek és függvények elérési útjában helyébe a «zeek» lép (A visszafelé kompatibilitás megmaradt a visszafelé való kompatibilitás érdekében.) A bro-pkg csomagkezelőt átnevezték zkg-ra.
A többi változás közül szerepelt az új verzió bejelentésében:
- Megvalósított támogatás a VXLAN alagutakban továbbított folyamok kapszulázásának megszüntetésére
- Hozzáadott támogatás az NFLOG típusú linkekhez
- Hozzáadta a kinyert adatrekordok UTF8 kódolásban történő mentésének lehetőségét.
- Az anonim függvények bezárásának támogatása hozzáadódott a szkript nyelvéhez, a táblázat felsorolás operátor kulcsérték formátumban került hozzáadásra ("for (kulcs, érték t-ben)".
- Python-stílusú vektor osztási műveletek hozzáadása ("v [2: 4]")
- Egy új siklóernyős struktúrát javasoltak a nagy bináris adatsorok húrmaszkjainak gyors összehangolására
- Hozzáadott támogatás az SMB 3.x protokollhoz az SMB elemzőnél és a TLS 1.3 támogatása.
Hogyan telepítsem a Zeek-et Linux-ra?
Ezekben a pillanatokban (amelyben a cikk íródott) a zeek csomag még nincs a Linux disztribúciók tárházában, amely jelenleg is a "Bro" legújabb verziója.
Miért ha telepíteni szeretné a Zeek 3.0 új verzióját le kell töltenie a forráskódot és össze kell fordítania a számítógépén.
Ehhez meg kell nyitnia egy terminált, és végre kell hajtania a következő parancsokat:
git clone --recursive https://github.com/zeek/zeek ./configure && make && sudo make install
És kész vele, már telepítik ezt a forgalomelemzőt.