Седем години след формирането на последния основен клон, беше представена стартирането на новата версия на Zeek 3.0.0 анализ на трафика и система за откриване на проникване в мрежата, предварително разпространявани под името Bro.
Zeek е платформа за анализ на трафика който е фокусиран основно върху проследяването на събитията за сигурност, но не се ограничава само до това приложение. Знам предоставят модули за анализ на различни мрежови протоколи на ниво приложение, отчитайки състоянието на връзките и позволявайки формирането на подробен запис (файл) за мрежова дейност.
Предложен е тематично ориентиран език за писане на сценарии за наблюдение и идентифициране на аномалии, като се вземат предвид специфичните характеристики на конкретни инфраструктури. Системата е оптимизирана за използване в мрежи с висока честотна лента.
Предоставя се API за интеграция с информационни системи на трети страни и обмен на данни в реално време.
IP пакетите, уловени с pcap, се предават на механизма за събития който ги приема или отхвърля. Приетите пакети се препращат към интерпретатора на скрипта на политиката.
Двигателят на събитията анализира жив или записан мрежов трафик или файлове trace за генериране на неутрални събития. Той генерира събития, когато се случи „нещо“.
Това може да бъде причинено от процеса Zeek, например непосредствено след инициализацията или непосредствено преди прекратяването на процеса Zeek, както и нещо, което се извършва в мрежата (или файла за проследяване), който се анализира, като Zeek, свидетел на HTTP заявка или нова TCP връзка.
Zeek използва общи портове и динамично откриване на протокол (включително подписи и анализ на поведението), за да отгатне по-добре интерпретацията на мрежовите протоколи. Събитията са политически неутрални, тъй като не са нито добри, нито лоши, а просто сигнализират на сценария, че нещо се е случило.
Основни новини от Zeek
В тази нова вноска на приложението е подчертано, че парсерът за протокола NTP е напълно пренаписан и е добавен нов парсер за MQTT.
При което функциите на анализатора бяха подобрени за DNS, RDP, SMB и TLS. За DNS е осигурен анализ на SPF запис, а за DNSSEC, RRSIG, DNSKEY, DS, NSEC и NSEC3 и е осигурено свързано съпоставяне на събития.
Също така всички препратки към името "брато" в пътищата на файлове, конфигурации, пакети, скриптове, пространства от имена и функции се заменят с «zeek» (Обратната съвместимост се запазва за обратна съвместимост.) Мениджърът на пакети bro-pkg е преименуван на zkg.
От останалите промени включени в анонса на тази нова версия:
- Внедрена поддръжка за де-капсулиране на потоци, предадени в VXLAN тунели
- Добавена е поддръжка за връзки с тип NFLOG
- Добавена е възможност за запазване на извлечени записи от данни в кодиране UTF8.
- Поддръжката за затваряне на анонимни функции е добавена към скриптовия език, операторът за изброяване на таблици е добавен във формат ключ-стойност ("за (ключ, стойност в t)").
- Добавяне на операции за разделяне на вектор в стил Python ("v [2: 4]")
- Предложена е нова структура на параглоб за бързо съвпадение на нискови маски в големи двоични набори от данни
- Добавена е поддръжка за SMB 3.x протокол в SMB парсер и поддръжка за TLS 1.3.
Как да инсталирам Zeek на Linux?
В тези моменти (в които е написана статията) пакетът zeek все още не е в хранилищата на дистрибуции на Linux, която в момента все още е най-новата версия на "Bro".
Така че ако искате да инсталирате тази нова версия на Zeek 3.0 те трябва да изтеглят изходния му код и да го компилират на своя компютър.
За целта трябва да отворят терминал и да изпълнят следните команди:
git clone --recursive https://github.com/zeek/zeek ./configure && make && sudo make install
И готови с него, те вече ще имат инсталиран този анализатор на трафика.