Sette anni dopo la formazione dell'ultimo ramo significativo rilascio di un sistema di analisi del traffico e di rilevamento delle intrusioni sulla rete , precedentemente distribuito sotto il nome di Bro. Questa è la prima versione significativa da allora , commesso perché il nome Bro era associato alla sottocultura marginale con lo stesso nome, e non come un'allusione voluta al "Grande Fratello" del romanzo "1984" di George Orwell intesa dagli autori. Il codice di sistema è scritto in C++ e sotto licenza BSD.
Zeek è una piattaforma di analisi del traffico focalizzata principalmente, ma non solo, sul monitoraggio degli eventi di sicurezza. Vengono forniti moduli per l'analisi e l'analisi di vari protocolli di rete a livello di applicazione, tenendo conto dello stato delle connessioni e consentendo la creazione di un registro (archivio) dettagliato dell'attività di rete. Viene proposto un linguaggio specifico del dominio per scrivere script di monitoraggio e identificare anomalie, tenendo conto delle specificità delle infrastrutture specifiche. Il sistema è ottimizzato per l'uso in reti a larghezza di banda elevata. È prevista un'API per l'integrazione con sistemi informativi di terze parti e lo scambio di dati in tempo reale.
В :
- L'analizzatore per il protocollo NTP è stato completamente riscritto ed è stato aggiunto un nuovo analizzatore per MQTT. Le funzionalità degli analizzatori per DNS, RDP, SMB e TLS sono state ampliate. Per DNS viene fornita l'analisi dei record SPF e per DNSSEC - RRSIG, DNSKEY, DS, NSEC e NSEC3 e la selezione degli eventi ad essi associati. Aggiunto il supporto per il protocollo SMB 3.x all'analizzatore SMB e il supporto per TLS 1.3 per TLS;
- È stato implementato il supporto per il deincapsulamento dei flussi trasmessi all'interno dei tunnel VXLAN;
- Aggiunto supporto per collegamenti di tipo NLOG;
- Aggiunta la possibilità di salvare i dati estratti nel log in codifica UTF8;
- Al linguaggio di scripting è stato aggiunto il supporto per le chiusure per funzioni anonime, è stato aggiunto un operatore per l'enumerazione delle tabelle nel formato chiave-valore (“for ( chiave, valore in t)”), sono state implementate le operazioni di separazione vettoriale in stile Python (“v[2:4]”), viene proposta una nuova struttura, paraglob, per la corrispondenza rapida di maschere di stringhe in grandi insiemi di dati binari;
- Tutti i riferimenti al nome "bro" nei percorsi dei file, nelle impostazioni, nei pacchetti, negli script, negli spazi dei nomi e nelle funzioni sono stati sostituiti con "zeek" (supporto per i nomi più vecchi mantenuto per compatibilità con le versioni precedenti). Il gestore pacchetti bro-pkg è stato rinominato zkg.
Fonte: opennet.ru