Siete años después de la formación de la última rama importante lanzamiento del sistema de análisis de tráfico y detección de intrusos en la red , anteriormente distribuido bajo el nombre de Bro. Este es el primer lanzamiento significativo desde , cometido porque el nombre Bro se asoció con la subcultura marginal del mismo nombre, y no como una insinuación del "hermano mayor" de la novela "1984" de George Orwell concebida por los autores. El código del sistema está escrito en C++ y bajo la licencia BSD.
Zeek es una plataforma de análisis de tráfico enfocada principalmente, pero no limitada a, monitorear eventos relacionados con la seguridad. Se proporcionan módulos para analizar y analizar varios protocolos de red del nivel de aplicación, teniendo en cuenta el estado de las conexiones y permitiendo la formación de un registro (archivo) detallado de la actividad de la red. Se propone un lenguaje específico de dominio para escribir scripts para monitorear y detectar anomalías, teniendo en cuenta las especificidades de infraestructuras específicas. El sistema está optimizado para su uso en redes de gran ancho de banda. Se proporciona una API para la integración con sistemas de información de terceros y el intercambio de datos en tiempo real.
В :
- El analizador para el protocolo NTP se ha reescrito por completo y se ha agregado un nuevo analizador para MQTT. Capacidades ampliadas del analizador para DNS, RDP, SMB y TLS. Para DNS, se analizan los registros SPF y para DNSSEC, se analizan los registros RRSIG, DNSKEY, DS, NSEC y NSEC3 y se resaltan sus eventos asociados. Se agregó soporte para el protocolo SMB 3.x al analizador SMB y para TLS, soporte para TLS 1.3;
- Compatibilidad implementada para la desencapsulación de flujos transmitidos dentro de túneles VXLAN;
- Se agregó soporte para enlaces con el tipo NFLOG;
- Se agregó la capacidad de guardar datos extraídos en el registro en codificación UTF8;
- Se agregó soporte para cierres de funciones anónimas al lenguaje de secuencias de comandos, se agregó un operador de iteración de tabla de clave-valor ("para (clave, valor en t)"), se implementaron operaciones de división de vectores al estilo de Python ("v[2:4]") , propuso una nueva estructura paraglob para la coincidencia rápida de máscaras de cadena en grandes conjuntos de datos binarios;
- Todas las referencias al nombre "bro" en rutas de archivos, configuraciones, paquetes, scripts, espacios de nombres y funciones se cambiaron a "zeek" (los nombres antiguos son compatibles por compatibilidad con versiones anteriores). Se cambió el nombre del administrador de paquetes bro-pkg a zkg.
Fuente: opennet.ru