ProHoster > Blog > netfréttir > Gefa út Zeek umferðargreiningartæki 3.0.0

Gefa út Zeek umferðargreiningartæki 3.0.0

Sjö árum eftir myndun síðasta mikilvæga útibúsins fram útgáfa umferðargreiningar og uppgötvunarkerfis fyrir netárásir Seek 3.0.0 , sem áður var dreift undir nafninu Bro. Þetta er fyrsta marktæka útgáfan síðan endurnefna verkefnið, framið vegna þess að nafnið Bro var tengt við jaðarundirmenninguna með sama nafni, en ekki sem ætlaða skírskotun til „Stóra bróður“ úr skáldsögu George Orwell „1984“ sem höfundarnir ætluðu. Kerfiskóði er skrifaður í C++ og dreift af undir BSD leyfinu.

Zeek er umferðargreiningarvettvangur sem einbeitir sér fyrst og fremst að, en ekki takmarkað við, eftirlit með öryggisatburðum. Einingar eru til staðar til að greina og flokka ýmsar netsamskiptareglur á forritastigi, að teknu tilliti til ástands tenginga og gera kleift að búa til ítarlegan annál (skjalasafn) yfir netvirkni. Lagt er til lénssértækt tungumál til að skrifa vöktunarforskriftir og greina frávik, að teknu tilliti til sérstakra tiltekinna innviða. Kerfið er fínstillt til notkunar í netum með mikla bandbreidd. API er til staðar fyrir samþættingu við upplýsingakerfi þriðja aðila og gagnaskipti í rauntíma.

В nýtt mál:

  • Greiningartæki fyrir NTP samskiptareglur hefur verið endurskrifað að fullu og nýjum greiningartæki fyrir MQTT hefur verið bætt við. Geta greiningartækja fyrir DNS, RDP, SMB og TLS hefur verið aukin. Fyrir DNS er þáttun á SPF færslum veitt, og fyrir DNSSEC - RRSIG, DNSKEY, DS, NSEC og NSEC3 og val á atburðum sem tengjast þeim. Bætti við stuðningi fyrir SMB 3.x samskiptareglur við SMB greiningartækið og stuðningi við TLS 1.3 fyrir TLS;
  • Stuðningur við deencapsulation á straumum sem sendar eru inni í VXLAN göngum hefur verið innleiddur;
  • Bætti við stuðningi við tengla með NFLOG gerðinni;
  • Bætti við möguleikanum á að vista útdregin gögn í skránni í UTF8 kóðun;
  • Stuðningur við lokun fyrir nafnlausar aðgerðir hefur verið bætt við forskriftarmálið, rekstraraðili til að telja upp töflur á lykilgildi sniði ("fyrir (lykill, gildi í t)") hefur verið bætt við, Python-stíl vektoraðskilnaðaraðgerða hefur verið útfært („v[2:4]“), nýtt skipulag, paraglob, er lagt til fyrir hraða samsvörun strengjagríma í stórum tvíundargagnasöfnum;
  • Öllum tilvísunum í nafnið „bróðir“ í skráarslóðum, stillingum, pökkum, forskriftum, nafnrýmum og aðgerðum hefur verið skipt út fyrir „zeek“ (stuðningur við eldri nöfn geymdur fyrir afturábak samhæfni). Bro-pkg pakkastjórinn hefur verið endurnefndur í zkg.

Heimild: opennet.ru

Bæta við athugasemd