Seitsemän vuotta viimeisen merkittävän haaran muodostamisen jälkeen liikenneanalyysi- ja verkkotunkeutumisen havaitsemisjärjestelmän julkaisu , jota jaettiin aiemmin nimellä Bro. Tämä on ensimmäinen merkittävä julkaisu sen jälkeen , on sitoutunut, koska Bro-nimi yhdistettiin samannimiseen marginaaliseen alakulttuuriin, eikä vihjeeksi tekijöiden suunnittelemasta George Orwellin romaanin "1984" "isoveljestä". Järjestelmäkoodi on kirjoitettu C++ ja BSD-lisenssillä.
Zeek on liikenteen analysointialusta, joka keskittyy ensisijaisesti, mutta ei rajoittuen, turvallisuuteen liittyvien tapahtumien seurantaan. Moduulit on tarkoitettu erilaisten sovellustason verkkoprotokollien analysointiin ja jäsentämiseen, ottaen huomioon yhteyksien tila ja mahdollistavat yksityiskohtaisen lokin (arkiston) muodostamisen verkon toiminnasta. Aluekohtaista kieltä ehdotetaan skriptien kirjoittamiseen poikkeamien seurantaa ja havaitsemista varten ottaen huomioon tiettyjen infrastruktuurien erityispiirteet. Järjestelmä on optimoitu käytettäväksi suuren kaistanleveyden verkoissa. Saatavilla on API integrointia varten kolmannen osapuolen tietojärjestelmiin ja reaaliaikaiseen tiedonvaihtoon.
В :
- NTP-protokollan jäsennys on kirjoitettu kokonaan uudelleen ja uusi jäsennys MQTT:lle on lisätty. Laajennetut analysaattoriominaisuudet DNS:lle, RDP:lle, SMB:lle ja TLS:lle. DNS:ssä SPF-tietueet jäsennetään, ja DNSSEC-, RRSIG-, DNSKEY-, DS-, NSEC- ja NSEC3-tietueet jäsennetään ja niihin liittyvät tapahtumat korostetaan. Lisätty tuki SMB 3.x -protokollalle SMB-jäsentäjälle ja TLS:lle tuki TLS 1.3:lle;
- Toteutettu tuki VXLAN-tunneleiden sisällä siirrettyjen virtojen purkamiseen;
- Lisätty tuki NFLOG-tyypin linkeille;
- Lisätty mahdollisuus tallentaa puretut tiedot lokiin UTF8-koodauksella;
- Lisätty tuki anonyymien toimintojen sulkemiselle komentosarjakieleen, lisätty avainarvotaulukon iterointioperaattori ("for ( avain, arvo in t)"), toteutettu Python-tyyliset vektorinjakotoiminnot ("v[2:4]") , ehdotti uutta paraglob-rakennetta merkkijonomaskien nopeaan sovittamiseen suurissa binääritietosarjoissa;
- Kaikki viittaukset nimeen "bro" tiedostopoluissa, asetuksissa, paketeissa, skripteissä, nimiavaruuksissa ja funktioissa on muutettu muotoon "zeek" (vanhoja nimiä tuetaan taaksepäin yhteensopivuuden vuoksi). Bro-pkg-pakettien hallinta on nimetty uudelleen zkg:ksi.
Lähde: opennet.ru