ProHoster > Blog > internetes hírek > Megjelent a Zeek Traffic Analyzer 3.0.0

Megjelent a Zeek Traffic Analyzer 3.0.0

Hét évvel az utolsó jelentős ág megalakulása után bemutatott forgalomelemző és hálózati behatolásjelző rendszer kiadása Zeek 3.0.0 , korábban Bro néven terjesztették. Ez az első jelentős kiadás azóta a projekt átnevezése, amit azért követtek el, mert a Bro név az azonos nevű marginális szubkultúrához kapcsolódott, nem pedig a szerzők szándéka szerint George Orwell „1984” című regényének „Big Brother”-ére való szándékolt utalás. A rendszerkód C++ és nyelven van írva forgalmazza a BSD licenc alatt.

A Zeek egy forgalomelemző platform, amely elsősorban a biztonsági események figyelésére összpontosít, de nem kizárólagosan. A modulok különféle alkalmazásszintű hálózati protokollok elemzésére és elemzésére szolgálnak, figyelembe véve a kapcsolatok állapotát, és lehetővé teszik a hálózati tevékenységek részletes naplójának (archívumának) létrehozását. A megfigyelő szkriptek írásához és az anomáliák azonosításához tartomány-specifikus nyelvet javasolunk, figyelembe véve az adott infrastruktúrák sajátosságait. A rendszert nagy sávszélességű hálózatokban való használatra optimalizálták. A harmadik fél információs rendszereivel való integrációhoz és valós idejű adatcseréhez API-t biztosítunk.

В új kiadás:

  • Az NTP-protokoll analizátorát teljesen átírták, és egy új MQTT-elemzőt adtak hozzá. Bővültek a DNS, RDP, SMB és TLS elemzők képességei. A DNS esetében az SPF rekordok elemzése biztosított, a DNSSEC esetében pedig - RRSIG, DNSKEY, DS, NSEC és NSEC3, valamint a hozzájuk kapcsolódó események kiválasztása. Az SMB 3.x protokoll támogatása az SMB analizátorhoz, valamint a TLS 1.3 támogatása a TLS-hez;
  • A VXLAN alagutakban továbbított adatfolyamok tokozásának kibontásának támogatása megvalósult;
  • Hozzáadott támogatás az NFLOG típusú hivatkozásokhoz;
  • Hozzáadtuk a kinyert adatok naplóba mentésének lehetőségét UTF8 kódolással;
  • A szkriptnyelvhez hozzáadták az anonim függvények lezárásának támogatását, a kulcsérték formátumú táblák felsorolására szolgáló operátort ("for ( kulcs, érték in t)" hozzáadtak, Python-stílusú vektorleválasztási műveleteket valósítottak meg (“v[2:4]”), egy új struktúra, a paraglob javasolt a karakterláncmaszkok gyors egyeztetésére nagy bináris adatkészletekben;
  • A fájl elérési útjában, beállításokban, csomagokban, szkriptekben, névterekben és függvényekben a "bro" névre való minden hivatkozás le lett cserélve a "zeek"-re (a régebbi nevek támogatása megmarad a visszafelé kompatibilitás érdekében). A bro-pkg csomagkezelőt átnevezték zkg-ra.

Forrás: opennet.ru

Hozzászólás