ProHoster > блог > Навіны інтэрнэту > Выпуск аналізатара трафіку Zeek 3.0.0

Выпуск аналізатара трафіку Zeek 3.0.0

Праз сем гадоў з моманту фармавання мінулай значнай галінкі прадстаўлены рэліз сістэмы аналізу трафіку і выяўленні сеткавых уварванняў Зік 3.0.0 , якая раней распаўсюджвалася пад імем Bro. Гэта першы значны выпуск пасля перайменаванне праекта, здзейсненага так як імя Bro асацыявалася з аднайменнай маргінальнай субкультурай, а не як задуманы аўтарамі намёк на "вялікага брата" з рамана Джорджа Оруэла "1984". Код сістэмы напісаны на мове З++ і распаўсюджваецца пад ліцэнзіяй BSD.

Zeek уяўляе сабой платформу для аналізу трафіку, арыентаваную ў першую чаргу на адсочванне падзей, звязаных з бяспекай, але не абмяжоўваецца гэтым ужываннем. Прадстаўляюцца модулі для аналізу і разбору розных сеткавых пратаколаў узроўня прыкладанняў, якія ўлічваюць стан злучэнняў і якія дазваляюць фармаваць падрабязны часопіс (архіў) сеткавай актыўнасці. Прапануецца прадметна-арыентаваная мова для напісання сцэнарыяў маніторынгу і выяўлення анамалій з улікам спецыфікі канкрэтных інфраструктур. Сістэма аптымізавана для выкарыстання ў сетках з вялікай прапускной здольнасцю. Прадастаўляецца API для інтэграцыі са іншымі інфармацыйнымі сістэмамі і абмену дадзенымі ў рэжыме рэальнага часу.

В новым выпуску:

  • Цалкам перапісаны аналізатар для пратаколу NTP і дададзены новы аналізатар для MQTT. Пашыраны магчымасці аналізатараў для DNS, RDP, SMB і TLS. Для DNS забяспечаны разбор запісаў SPF, а для DNSSEC – RRSIG, DNSKEY, DS, NSEC і NSEC3 і вылучэнне звязаных з імі падзей. У аналізатар SMB дададзена падтрымка пратаколу SMB 3.x, а для TLS падтрымка TLS 1.3;
  • Рэалізавана падтрымка дэінкапсуляцыі патокаў, якія перадаюцца ўнутры тунэляў VXLAN;
  • Дададзена падтрымка лінкоў з тыпам NFLOG;
  • Дададзена магчымасць захавання ў логу вынятых дадзеных у кадоўцы UTF8;
  • У мову сцэнарыяў дададзена падтрымка замыканняў для ананімных функцый, дададзены аператар перабору табліц у фармаце ключ-значэнне ("for (key, value in t)"), рэалізаваны аперацыі падзелу вектараў у стылі Python ("v[2:4]"), прапанавана новая структура paraglob для хуткага супастаўлення радковых масак у вялікіх наборах бінарных дадзеных;
  • Усе згадкі імя "bro" у файлавых шляхах, наладах, пакетах, скрыптах, прасторах імёнаў і функцыях заменены на "zeek" (падтрымка старых імёнаў захавана для забеспячэння зваротнай сумяшчальнасці). Пакетны мэнэджар bro-pkg перайменаваны ў zkg.

Крыніца: opennet.ru

Дадаць каментар