Апублікаваны рэліз сістэмы для захопу, захоўванні і індэксацыі сеткавых пакетаў Arkime 5.0, якая прадстаўляе прылады для нагляднай адзнакі струменяў трафіку і пошуку інфармацыі, звязанай з сеткавай актыўнасцю. Першапачаткова праект быў распрацаваны кампаніяй AOL з мэтай стварэння адчыненай замены камерцыйным платформам апрацоўкі сеткавых пакетаў, якая падтрымлівае разгортванне на сваіх серверах і здольнай маштабавацца для апрацоўкі трафіку на хуткасцях у дзясяткі гігабіт у секунду. Код кампанента для захопу трафіку напісаны на мове Сі, а інтэрфейс рэалізаваны на Node.js/JavaScript. Зыходныя тэксты распаўсюджваецца пад ліцэнзіяй Apache 2.0. Падтрымліваецца праца ў Linux і FreeBSD. Гатовыя пакеты падрыхтаваны для Arch Linux, RHEL/CentOS і Ubuntu.
Arkime уключае прылады для захопу і індэксацыі трафіку ў фармаце PCAP, а таксама дае сродкі для хуткага доступу да праіндэксаваных дадзеных. Ужыванне тыпавога фармату PCAP істотна спрашчае інтэграцыю з існуючымі аналізатарамі трафіку, такімі як Wireshark. Аб'ём захоўваемых дадзеных абмяжоўваецца толькі памерам наяўнага дыскавага масіва. Метададзеныя аб сеансах індэксуюцца ў кластары на базе рухавічка Elasticsearch або OpenSearch. Кампанент для захопу трафіку працуе ў шматструменным рэжыме і вырашае задачы маніторынгу, запісы PCAP-дампаў на дыск, разбору захопленых пакетаў і адпраўкі метададзеных аб сеансах (SPI, Stateful packet inspection) і пратаколах у кластар Elasticsearch/OpenSearch. Магчыма захоўванне PCAP-файлаў у зашыфраваным выглядзе.
Для аналізу назапашанай інфармацыі прапануецца web-інтэрфейс, які дазваляе выконваць навігацыю, пошук і экспарт выбарак. У web-інтэрфейсе прадугледжана некалькі рэжымаў прагляду - ад агульнай статыстыкі, карты злучэнняў і наглядных графікаў з дадзенымі аб змене сеткавай актыўнасці да інструментаў для вывучэння асобных сеансаў, аналізу актыўнасці ў разрэзе выкарыстоўваных пратаколаў і разбору дадзеных з PCAP-дампаў. Таксама падаецца API, які дазваляе перадаваць у іншыя прыкладанні дадзеныя аб захопленых пакетах у фармаце PCAP і разабраных сеансах у фармаце JSON.
У новай версіі:
- Дададзена магчымасць адпраўкі камбінаваных пошукавых запытаў інфармацыі праз сэрвіс Cont3xt для збору даступнай у розных адкрытых крыніцах (OSINT) інфармацыі адначасова аб некалькіх аб'ектах.
- Дададзена падтрымка метадаў фармавання адбіткаў трафіку JA4 і JA4+ для вызначэння сеткавых пратаколаў і прыкладанняў.
- Зменена афармленне блока з дэталёвай інфармацыяй аб сеансе, у якім мінімізавана невыкарыстоўваемая прастора і рэалізавана двухкалонкавая кампаноўка для вялікіх экранаў.
- Ва ўкладкі Files, History і Stats дададзены выпадаючыя блокі для пошуку адначасова ў некалькіх асобніках інтэрфейсу для прагляду статыстыкі (Viewer).
- Сістэма аўтарызацыі ўніфікавана і выдзелена ў асобны модуль, які зараз выкарыстоўваецца ва ўсіх прыкладаннях Arkime. Замест ананімнага рэжыму аўтарызацыі па змаўчанні задзейнічаны метад digest. Дададзены новыя рэжымы аўтарызацыі: basic, form, basic+form, basic+oidc, headerOnly, header+digest і header+basic.
- Усе прыкладанні перакладзены на ўніфікаваную падсістэму канфігурацыі, якая падтрымлівае апрацоўку налад у розных фарматах (ini, json, yaml) і здольную загружаць налады з розных крыніц, напрыклад, з дыска, па сетцы праз HTTPS або з OpenSearch/Elasticsearch.
- Дададзена падтрымка імпарту захаваных (offline) PCAP-дампаў з іх загрузкай па URL праз HTTPS ці са сховішча Amazon S3, без неабходнасці папярэдняга захавання на лакальнай сістэме.
Крыніца: opennet.ru