🥇שחרור של מערכת אינדקס התעבורה ברשת Arkime 5.0

פורסמה מהדורה של המערכת ללכידה, אחסון ואינדקס של מנות רשת Arkime 5.0, המספקת כלים להערכת זרימות תנועה ויזואלית וחיפוש מידע הקשור לפעילות הרשת. הפרויקט פותח במקור על ידי AOL במטרה ליצור תחליף פתוח לפלטפורמות עיבוד מנות מסחריות ברשת התומכת בפריסה על השרתים שלה ויכולה להתאים לעיבוד תעבורה במהירויות של עשרות גיגה-ביט לשנייה. קוד רכיב לכידת התעבורה כתוב ב-C, והממשק מיושם ב-Node.js/JavaScript. קוד המקור מופץ תחת רישיון Apache 2.0. תומך בעבודה על לינוקס ו- FreeBSD. חבילות מוכנות מוכנות עבור Arch Linux, RHEL/CentOS ואובונטו.

Arkime כולל כלים ללכידה ואינדקס של תעבורת PCAP, וכן מספק כלים לגישה מהירה לנתונים שנוספו לאינדקס. השימוש בפורמט PCAP סטנדרטי מפשט מאוד את האינטגרציה עם מנתחי תעבורה קיימים כגון Wireshark. נפח הנתונים המאוחסנים מוגבל רק על ידי גודל מערך הדיסקים הזמין. מטא נתונים של פעילויות באתר מתווספים לאינדקס על בסיס מנוע Elasticsearch או OpenSearch. רכיב לכידת התעבורה פועל במצב ריבוי הליכי פותר את המשימות של ניטור, כתיבת dump PCAP לדיסק, ניתוח מנות שנלכדו ושליחת מטא נתונים אודות הפעלות (SPI, Stateful packet inspection) ופרוטוקולים לאשכול Elasticsearch/OpenSearch. אפשר לאחסן קבצי PCAP בצורה מוצפנת.

לניתוח המידע המצטבר מוצע ממשק אינטרנט המאפשר לנווט, לחפש ולייצא דוגמאות. ממשק האינטרנט מספק מספר מצבי צפייה - מסטטיסטיקה כללית, מפות חיבור וגרפים ויזואליים עם נתונים על שינויים בפעילות הרשת ועד לכלים ללימוד מפגשים בודדים, ניתוח פעילות בהקשר של הפרוטוקולים בשימוש וניתוח נתונים מ-PCAP dumps. מסופק גם API המאפשר לשלוח נתונים על מנות שנלכדו בפורמט PCAP והפעלות מפורקות בפורמט JSON ליישומי צד שלישי.

בגרסה החדשה:

הוספה את היכולת לשלוח בקשות חיפוש משולבות למידע באמצעות שירות Cont3xt כדי לאסוף מידע זמין במקורות פתוחים שונים (OSINT) בו זמנית על מספר אובייקטים.
נוספה תמיכה בשיטות JA4 ו-JA4+ תעבורת טביעת אצבע לזיהוי פרוטוקולי רשת ויישומים.
העיצוב של הבלוק עם מידע מפורט על הפגישה שונה, מה שממזער שטח לא מנוצל ומיישם פריסה של שתי עמודות למסכים גדולים.
בלוקים נפתחים נוספו ללשוניות קבצים, היסטוריה וסטטיסטיקות לחיפוש בו-זמנית במספר מופעים של הממשק לצפייה בסטטיסטיקה (Viewer).
מערכת ההרשאות אוחדה והופרדה למודול נפרד, המשמש כעת בכל יישומי Arkime. במקום מצב ההרשאה האנונימית, שיטת התקציר משמשת כברירת מחדל. מצבי הרשאה חדשים נוספו: basic, form, basic+form, basic+oidc, headerOnly, header+digest ו-header+basic.
כל היישומים הועברו לתת-מערכת תצורה מאוחדת התומכת בהגדרות עיבוד בפורמטים שונים (ini, json, yaml) ומסוגלת לטעון הגדרות ממקורות שונים, למשל, מדיסק, דרך הרשת באמצעות HTTPS או מ-OpenSearch/Elasticsearch .
נוספה תמיכה בייבוא מזימות PCAP שמורות (לא מקוונות) והורדתן דרך URL דרך HTTPS או מאחסון אמזון S3, ללא צורך קודם לשמור אותן במערכת המקומית.

מקור: OpenNet.ru

שחרור מערכת אינדקס התעבורה ברשת Arkime 5.0

הוספת תגובה ביטול תגובה