Arkime 5.0, sistem za snimanje, pohranjivanje i indeksiranje mrežnih paketa, je objavljen. Pruža alate za vizualnu procjenu tokova prometa i pretraživanje informacija vezanih za mrežnu aktivnost. Projekt je prvobitno razvio AOL s ciljem stvaranja zamjene otvorenog koda za komercijalne platforme za obradu mrežnih paketa koja bi se mogla implementirati na vlastitim serverima i skalirati za obradu prometa brzinama od nekoliko desetina gigabita u sekundi. Komponenta za snimanje prometa napisana je u C-u, a interfejs je implementiran u Node.js/JavaScript. Izvorni kod se distribuira pod Apache 2.0 licencom. Rad je podržan u Linux i FreeBSD. Za Arch su dostupni gotovi paketi. Linux, RHEL/CentOS и Ubuntu.
Arkime uključuje alate za hvatanje i indeksiranje PCAP prometa, a također pruža alate za brzi pristup indeksiranim podacima. Upotreba standardnog PCAP formata uvelike pojednostavljuje integraciju sa postojećim analizatorima saobraćaja kao što je Wireshark. Količina pohranjenih podataka ograničena je samo veličinom dostupnog diskovnog niza. Metapodaci sesije se indeksiraju u klasteru na osnovu Elasticsearch ili OpenSearch motora. Komponenta za hvatanje saobraćaja radi u multi-threaded modu i rješava zadatke praćenja, pisanja PCAP dumpova na disk, parsiranja uhvaćenih paketa i slanja metapodataka o sesijama (SPI, Stateful packet inspection) i protokola u Elasticsearch/OpenSearch klaster. Moguće je pohraniti PCAP datoteke u šifriranom obliku.
Za analizu akumuliranih informacija, nudi se web sučelje koje vam omogućava navigaciju, pretraživanje i izvoz uzoraka. Web sučelje pruža nekoliko načina pregleda - od općih statistika, mapa veza i vizualnih grafova sa podacima o promjenama mrežne aktivnosti do alata za proučavanje pojedinačnih sesija, analize aktivnosti u kontekstu korištenih protokola i parsiranja podataka iz PCAP deponija. Takođe je obezbeđen API koji vam omogućava slanje podataka o uhvaćenim paketima u PCAP formatu i rastavljenim sesijama u JSON formatu aplikacijama trećih strana.
U novoj verziji:
- Dodata je mogućnost slanja kombinovanih zahtjeva za traženje informacija putem usluge Cont3xt za prikupljanje informacija dostupnih u različitim otvorenim izvorima (OSINT) istovremeno o nekoliko objekata.
- Dodata podrška za JA4 i JA4+ metode otiska prsta saobraćaja za identifikaciju mrežnih protokola i aplikacija.
- Dizajn bloka s detaljnim informacijama o sesiji je promijenjen, što minimizira neiskorišteni prostor i implementira raspored u dvije kolone za velike ekrane.
- Padajući blokovi su dodati karticama Datoteke, Istorija i Statistika za istovremeno pretraživanje u nekoliko instanci interfejsa za pregled statistike (Viewer).
- Sistem autorizacije je objedinjen i izdvojen u poseban modul, koji se sada koristi u svim Arkime aplikacijama. Umjesto anonimnog načina autorizacije, standardno se koristi metoda sažetka. Dodani su novi načini autorizacije: osnovni, obrazac, osnovni+forma, osnovni+oidc, samo zaglavlje, zaglavlje+digest i zaglavlje+osnovno.
- Sve aplikacije su prebačene na jedinstveni konfiguracijski podsistem koji podržava postavke obrade u različitim formatima (ini, json, yaml) i sposoban je učitavati postavke iz različitih izvora, na primjer, s diska, preko mreže putem HTTPS-a ili sa OpenSearch/Elasticsearch .
- Dodata podrška za uvoz sačuvanih (vanmrežnih) PCAP dumpova i njihovo preuzimanje putem URL-a putem HTTPS-a ili iz Amazon S3 skladišta, bez potrebe da ih prvo spremite na lokalni sistem.
izvor: opennet.ru
