Sept ans après la création de la dernière succursale significative mise en production d'un système d'analyse du trafic et de détection des intrusions sur les réseaux , anciennement distribué sous le nom de Bro. Il s'agit de la première version significative depuis , commis parce que le nom Bro était associé à la sous-culture marginale du même nom, et non comme une allusion intentionnelle au « Big Brother » du roman « 1984 » de George Orwell voulu par les auteurs. Le code système est écrit en C++ et sous licence BSD.
Zeek est une plateforme d'analyse du trafic axée principalement, mais sans s'y limiter, sur la surveillance des événements de sécurité. Des modules sont fournis pour analyser et analyser divers protocoles réseau au niveau de l'application, en tenant compte de l'état des connexions et en permettant la création d'un journal détaillé (archive) de l'activité du réseau. Un langage spécifique au domaine est proposé pour écrire des scripts de surveillance et identifier les anomalies, en tenant compte des spécificités des infrastructures spécifiques. Le système est optimisé pour une utilisation dans les réseaux à large bande passante. Une API est fournie pour l'intégration avec des systèmes d'information tiers et l'échange de données en temps réel.
В :
- L'analyseur pour le protocole NTP a été entièrement réécrit et un nouvel analyseur pour MQTT a été ajouté. Les capacités des analyseurs pour DNS, RDP, SMB et TLS ont été étendues. Pour DNS, l'analyse des enregistrements SPF est fournie, et pour DNSSEC - RRSIG, DNSKEY, DS, NSEC et NSEC3 et la sélection des événements qui leur sont associés. Ajout de la prise en charge du protocole SMB 3.x à l'analyseur SMB et de la prise en charge de TLS 1.3 pour TLS ;
- La prise en charge de la désencapsulation des flux transmis dans les tunnels VXLAN a été implémentée ;
- Ajout de la prise en charge des liens de type NFLOG ;
- Ajout de la possibilité de sauvegarder les données extraites dans le journal en codage UTF8 ;
- La prise en charge des fermetures pour les fonctions anonymes a été ajoutée au langage de script, un opérateur d'énumération des tables au format clé-valeur (« for ( key, value in t) ») a été ajouté, des opérations de séparation vectorielle de style Python ont été implémentées (« v[2:4] »), une nouvelle structure, paraglob, est proposée pour une correspondance rapide des masques de chaînes dans de grands ensembles de données binaires ;
- Toutes les références au nom « bro » dans les chemins de fichiers, les paramètres, les packages, les scripts, les espaces de noms et les fonctions ont été remplacées par « zeek » (prise en charge des noms plus anciens conservées pour des raisons de compatibilité ascendante). Le gestionnaire de paquets bro-pkg a été renommé zkg.
Source: opennet.ru