Arkime 5.0 şəbəkə paketlərinin tutulması, saxlanması və indeksləşdirilməsi sistemi buraxıldı. Trafik axınlarını vizual olaraq qiymətləndirmək və şəbəkə fəaliyyəti ilə əlaqəli məlumatların axtarışı üçün alətlər təqdim edir. Layihə əvvəlcə AOL tərəfindən öz serverlərində yerləşdirilə bilən və saniyədə onlarla gigabit sürətlə trafiki idarə etmək üçün miqyaslı kommersiya şəbəkə paket emalı platformaları üçün açıq mənbəli əvəzedici yaratmaq məqsədi ilə hazırlanmışdır. Trafikin tutulması komponenti C dilində kodlaşdırılıb və interfeys Node.js/JavaScript-də tətbiq olunur. Mənbə kodu Apache 2.0 lisenziyası altında paylanır. İş dəstəklənir Linux və FreeBSD. Arch üçün hazır paketlər mövcuddur. Linux, RHEL/CentOS и Ubuntu.
Arkime, PCAP trafikinin tutulması və indeksləşdirilməsi üçün alətləri ehtiva edir, həmçinin indeksləşdirilmiş məlumatlara sürətli çıxış üçün alətlər təqdim edir. Standart PCAP formatının istifadəsi Wireshark kimi mövcud trafik analizatorları ilə inteqrasiyanı xeyli asanlaşdırır. Saxlanılan məlumatların həcmi yalnız mövcud disk massivinin ölçüsü ilə məhdudlaşır. Sessiya metadatası Elasticsearch və ya OpenSearch mühərrikinə əsaslanan klasterdə indekslənir. Trafik ələ keçirmə komponenti çox yivli rejimdə işləyir və monitorinq, PCAP tullantılarının diskə yazılması, tutulmuş paketlərin təhlili və sessiyalar (SPI, Stateful paket yoxlaması) və protokollar haqqında metadataların Elasticsearch/OpenSearch klasterinə göndərilməsi vəzifələrini həll edir. PCAP fayllarını şifrələnmiş formada saxlamaq mümkündür.
Yığılmış məlumatları təhlil etmək üçün naviqasiya, axtarış və nümunələri ixrac etməyə imkan verən veb interfeysi təklif olunur. Veb-interfeys bir neçə baxış rejimini təmin edir - ümumi statistika, əlaqə xəritələri və şəbəkə fəaliyyətindəki dəyişikliklər haqqında məlumatların olduğu vizual qrafiklərdən tutmuş fərdi sessiyaların öyrənilməsi, istifadə olunan protokollar kontekstində fəaliyyətin təhlili və PCAP zibillərindən məlumatların təhlili üçün alətlərə qədər. PCAP formatında tutulan paketlər və JSON formatında sökülən seanslar haqqında məlumatları üçüncü tərəf proqramlarına göndərməyə imkan verən API də təqdim olunur.
Yeni versiyada:
- Müxtəlif açıq mənbələrdə (OSINT) eyni vaxtda bir neçə obyekt haqqında mövcud olan məlumatları toplamaq üçün Cont3xt xidməti vasitəsilə məlumat üçün birləşdirilmiş axtarış sorğularını göndərmək imkanı əlavə edildi.
- Şəbəkə protokollarını və tətbiqlərini müəyyən etmək üçün JA4 və JA4+ trafik barmaq izi üsulları üçün əlavə dəstək.
- Seans haqqında ətraflı məlumatı olan blokun dizaynı dəyişdirilib, bu, istifadə olunmamış məkanı minimuma endirir və böyük ekranlar üçün iki sütunlu tərtibatı həyata keçirir.
- Statistikaya baxmaq üçün interfeysin bir neçə nümunəsində eyni vaxtda axtarış etmək üçün Fayllar, Tarixçə və Statistikalar nişanlarına açılan bloklar əlavə edilmişdir (Viewer).
- Avtorizasiya sistemi birləşdirilib və indi bütün Arkime proqramlarında istifadə olunan ayrıca modula ayrılıb. Anonim avtorizasiya rejimi əvəzinə defolt olaraq həzm metodu istifadə olunur. Yeni avtorizasiya rejimləri əlavə edildi: əsas, forma, əsas+forma, əsas+oidc, yalnız başlıq, başlıq+dijest və başlıq+əsas.
- Bütün proqramlar müxtəlif formatlarda (ini, json, yaml) emal parametrlərini dəstəkləyən və parametrləri müxtəlif mənbələrdən, məsələn, diskdən, HTTPS vasitəsilə şəbəkə üzərindən və ya OpenSearch/Elasticsearch-dən yükləməyə qadir olan vahid konfiqurasiya alt sisteminə köçürülüb. .
- Saxlanmış (oflayn) PCAP tullantılarının idxalı və ilk növbədə yerli sistemdə saxlamağa ehtiyac olmadan HTTPS vasitəsilə URL vasitəsilə və ya Amazon S3 yaddaşından endirilməsi üçün əlavə dəstək.
Mənbə: opennet.ru
