Sedm let po vzniku poslední významné větve vydání systému analýzy provozu a detekce narušení sítě , dříve distribuovaný pod názvem Bro. Toto je první významné vydání od té doby , spáchaný proto, že jméno Bro bylo spojeno se stejnojmennou okrajovou subkulturou, a nikoli jako narážka na „velkého bratra“ z románu George Orwella „1984“ koncipovaného autory. Systémový kód je napsán v C++ a pod licencí BSD.
Zeek je platforma pro analýzu provozu, která se primárně zaměřuje na sledování událostí souvisejících se zabezpečením, nikoli však výhradně. K dispozici jsou moduly pro analýzu a analýzu různých síťových protokolů aplikační úrovně, které berou v úvahu stav připojení a umožňují vytvoření podrobného protokolu (archivu) síťové aktivity. Pro psaní skriptů pro monitorování a detekci anomálií je navržen jazyk specifický pro doménu, který zohledňuje specifika konkrétních infrastruktur. Systém je optimalizován pro použití v sítích s vysokou šířkou pásma. K dispozici je API pro integraci s informačními systémy třetích stran a výměnu dat v reálném čase.
В :
- Analyzátor pro protokol NTP byl kompletně přepsán a byl přidán nový parser pro MQTT. Rozšířené možnosti analyzátoru pro DNS, RDP, SMB a TLS. V případě DNS se analyzují záznamy SPF a v případě DNSSEC se analyzují záznamy RRSIG, DNSKEY, DS, NSEC a NSEC3 a jejich související události jsou zvýrazněny. Přidána podpora protokolu SMB 3.x do analyzátoru SMB a pro TLS podpora TLS 1.3;
- Implementovaná podpora pro deencapsulation streamů přenášených uvnitř VXLAN tunelů;
- Přidána podpora pro odkazy s typem NFLOG;
- Přidána možnost ukládat extrahovaná data do protokolu v kódování UTF8;
- Do skriptovacího jazyka byla přidána podpora uzávěrů pro anonymní funkce, přidán operátor iterace tabulky klíč-hodnota ("for ( klíč, hodnota v t)"), implementovány operace dělení vektorů ve stylu Pythonu ("v[2:4]") , navrhl novou strukturu paraglob pro rychlé párování masek řetězců ve velkých binárních souborech dat;
- Všechny odkazy na jméno "bro" v cestách k souborům, nastavení, balíčcích, skriptech, jmenných prostorech a funkcích byly změněny na "zeek" (stará jména jsou podporována kvůli zpětné kompatibilitě). Správce balíčků bro-pkg byl přejmenován na zkg.
Zdroj: opennet.ru