Sieben Jahre nach der Gründung der letzten bedeutenden Niederlassung Veröffentlichung des Verkehrsanalyse- und Netzwerk-Intrusion-Detection-Systems , früher unter dem Namen Bro vertrieben. Dies ist die erste bedeutende Veröffentlichung seitdem , begangen, weil der Name Bro mit der gleichnamigen Randsubkultur in Verbindung gebracht wurde, und nicht als Anspielung auf den von den Autoren konzipierten „großen Bruder“ aus George Orwells Roman „1984“. Der Systemcode ist in C++ geschrieben und unter der BSD-Lizenz.
Zeek ist eine Verkehrsanalyseplattform, die sich hauptsächlich auf die Überwachung sicherheitsrelevanter Ereignisse konzentriert, aber nicht darauf beschränkt ist. Es werden Module zur Analyse und Analyse verschiedener Netzwerkprotokolle auf Anwendungsebene bereitgestellt, die den Status der Verbindungen berücksichtigen und die Erstellung eines detaillierten Protokolls (Archivs) der Netzwerkaktivität ermöglichen. Für das Schreiben von Skripten zur Überwachung und Erkennung von Anomalien wird eine domänenspezifische Sprache vorgeschlagen, die die Besonderheiten spezifischer Infrastrukturen berücksichtigt. Das System ist für den Einsatz in Netzwerken mit hoher Bandbreite optimiert. Für die Integration mit Informationssystemen Dritter und den Datenaustausch in Echtzeit wird eine API bereitgestellt.
В :
- Der Parser für das NTP-Protokoll wurde komplett neu geschrieben und ein neuer Parser für MQTT hinzugefügt. Erweiterte Analysefunktionen für DNS, RDP, SMB und TLS. Für DNS werden SPF-Einträge analysiert, und für DNSSEC werden RRSIG-, DNSKEY-, DS-, NSEC- und NSEC3-Einträge analysiert und die zugehörigen Ereignisse hervorgehoben. Unterstützung für das SMB 3.x-Protokoll zum SMB-Parser und für TLS hinzugefügt, Unterstützung für TLS 1.3;
- Implementierung der Unterstützung für die Entkapselung von Streams, die in VXLAN-Tunneln übertragen werden;
- Unterstützung für Links mit dem Typ NFLOG hinzugefügt;
- Möglichkeit hinzugefügt, extrahierte Daten im Protokoll in UTF8-Kodierung zu speichern;
- Unterstützung für Abschlüsse für anonyme Funktionen zur Skriptsprache hinzugefügt, einen Iterationsoperator für Schlüsselwerttabellen hinzugefügt („for (key, value in t)“), Vektoraufteilungsoperationen im Python-Stil implementiert („v[2:4]“). schlug eine neue Paraglob-Struktur für den schnellen Abgleich von String-Masken in großen Binärdatensätzen vor;
- Alle Verweise auf den Namen „bro“ in Dateipfaden, Einstellungen, Paketen, Skripten, Namespaces und Funktionen wurden in „zeek“ geändert (alte Namen werden aus Gründen der Abwärtskompatibilität unterstützt). Der Paketmanager bro-pkg wurde in zkg umbenannt.
Source: opennet.ru