最後の重要な支部の設立から XNUMX 年後 トラフィック解析・ネットワーク侵入検知システムをリリース 、以前はBro.という名前で配布されていました。 これは、以来初めての重要なリリースです。 、ブロという名前が同じ名前の限界的なサブカルチャーに関連付けられていたためであり、著者が意図したジョージ・オーウェルの小説「1984」の「ビッグ・ブラザー」への意図的な暗示としてではありませんでした。 システムコードはC++で書かれており、 BSD ライセンスに基づいて。
Zeek は、主にセキュリティ イベントの監視に焦点を当てたトラフィック分析プラットフォームですが、これに限定されません。 さまざまなアプリケーション レベルのネットワーク プロトコルを分析および解析するためのモジュールが提供されており、接続の状態を考慮して、ネットワーク アクティビティの詳細なログ (アーカイブ) を作成できます。 特定のインフラストラクチャの特性を考慮して、監視スクリプトを作成し、異常を特定するために、ドメイン固有の言語が提案されています。 このシステムは、高帯域幅ネットワークでの使用に最適化されています。 サードパーティの情報システムとの統合およびリアルタイムでのデータ交換のための API が提供されます。
В :
- NTP プロトコルのアナライザーが完全に書き直され、MQTT 用の新しいアナライザーが追加されました。 DNS、RDP、SMB、TLS のアナライザーの機能が拡張されました。 DNS の場合は SPF レコードの解析が提供され、DNSSEC の場合は RRSIG、DNSKEY、DS、NSEC、NSEC3 とそれらに関連付けられたイベントの選択が提供されます。 SMB 3.x プロトコルのサポートが SMB アナライザーに追加され、TLS の TLS 1.3 のサポートが追加されました。
- VXLAN トンネル内で送信されるストリームのカプセル化解除のサポートが実装されました。
- NFLOG タイプのリンクのサポートが追加されました。
- 抽出されたデータを UTF8 エンコードでログに保存する機能が追加されました。
- 匿名関数のクロージャのサポートがスクリプト言語に追加され、キーと値の形式でテーブルを列挙するための演算子 (「for ( key, value in t)」) が追加され、Python スタイルのベクトル分離操作が実装されました。 (“v[2:4]”) では、大規模なバイナリ データ セット内の文字列マスクの高速マッチングのために、新しい構造 paraglob が提案されています。
- ファイル パス、設定、パッケージ、スクリプト、名前空間、および関数内の「bro」という名前へのすべての参照は、「zeek」に置き換えられました (下位互換性のために古い名前のサポートは保持されています)。 bro-pkg パッケージ マネージャーの名前は zkg に変更されました。
出所: オープンネット.ru