プロホスト > ブログ > インターネットニュース > ネットワークトラフィックインデックスシステムArkime 5.0をリリース

ネットワークトラフィックインデックスシステムArkime 5.0をリリース

ネットワーク パケットのキャプチャ、保存、インデックス付けを行うシステム Arkime 5.0 のリリースが公開され、トラフィック フローを視覚的に評価し、ネットワーク アクティビティに関連する情報を検索するためのツールが提供されます。このプロジェクトはもともと AOL によって開発されたもので、サーバーへの展開をサポートし、毎秒数十ギガビットの速度でトラフィックを処理できるように拡張できる、商用ネットワークのパケット処理プラットフォームに代わるオープンなプラットフォームを作成することを目的としていました。トラフィック キャプチャ コンポーネントのコードは C で記述され、インターフェイスは Node.js/JavaScript で実装されます。ソース コードは Apache 2.0 ライセンスに基づいて配布されます。 Linux および FreeBSD での作業をサポートします。 Arch Linux、RHEL/CentOS、Ubuntu用の既製パッケージが用意されています。

Arkime には、PCAP トラフィックをキャプチャしてインデックス付けするためのツールが含まれており、インデックス付けされたデータに迅速にアクセスするためのツールも提供します。標準の PCAP 形式を使用すると、Wireshark などの既存のトラフィック アナライザーとの統合が大幅に簡素化されます。保存されるデータの量は、利用可能なディスク アレイのサイズによってのみ制限されます。セッション メタデータは、Elasticsearch または OpenSearch エンジンに基づいてクラスター内でインデックス付けされます。トラフィック キャプチャ コンポーネントはマルチスレッド モードで動作し、監視、PCAP ダンプのディスクへの書き込み、キャプチャされたパケットの解析、セッション (SPI、ステートフル パケット インスペクション) およびプロトコルに関するメタデータの Elasticsearch/OpenSearch クラスターへの送信といったタスクを解決します。 PCAP ファイルを暗号化された形式で保存することができます。

蓄積された情報を分析するために、サンプルの移動、検索、エクスポートを可能にする Web インターフェイスが提供されます。 Web インターフェイスは、一般的な統計、接続マップ、ネットワーク アクティビティの変化に関するデータを含む視覚的なグラフから、個々のセッションを調査し、使用されているプロトコルのコンテキストでアクティビティを分析し、PCAP ダンプからのデータを解析するためのツールに至るまで、いくつかの表示モードを提供します。 PCAP 形式でキャプチャされたパケットおよび JSON 形式で逆アセンブルされたセッションに関するデータをサードパーティ アプリケーションに送信できる API も提供されています。

ネットワークトラフィックインデックスシステムArkime 5.0をリリース

収録曲:

  • Cont3xt サービスを通じて情報の結合検索リクエストを送信し、複数のオブジェクトに関してさまざまなオープン ソース (OSINT) で利用可能な情報を同時に収集する機能が追加されました。
    ネットワークトラフィックインデックスシステムArkime 5.0をリリース
  • ネットワーク プロトコルとアプリケーションを識別するための JA4 および JA4+ トラフィック フィンガープリンティング方法のサポートが追加されました。
    ネットワークトラフィックインデックスシステムArkime 5.0をリリース
  • セッションに関する詳細情報を含むブロックのデザインが変更され、未使用スペースが最小限に抑えられ、大画面向けに 2 列のレイアウトが実装されました。
    ネットワークトラフィックインデックスシステムArkime 5.0をリリース
  • 統計を表示するためのインターフェイス (ビューア) の複数のインスタンスで同時に検索できるように、ドロップダウン ブロックが [ファイル]、[履歴]、および [統計] タブに追加されました。
    ネットワークトラフィックインデックスシステムArkime 5.0をリリース
  • 認証システムは統合され、別のモジュールに分離され、現在はすべての Arkime アプリケーションで使用されています。匿名認証モードの代わりに、デフォルトではダイジェスト方式が使用されます。新しい認証モードとして、basic、form、basic+form、basic+oidc、headerOnly、header+digest、header+basic が追加されました。
  • すべてのアプリケーションは、さまざまな形式 (ini、json、yaml) での設定の処理をサポートし、ディスク、HTTPS 経由のネットワーク経由、または OpenSearch/Elasticsearch などのさまざまなソースから設定をロードできる統合構成サブシステムに転送されています。 。
  • 最初にローカル システムに保存する必要がなく、保存された (オフライン) PCAP ダンプをインポートし、HTTPS 経由または Amazon S3 ストレージから URL 経由でダウンロードするためのサポートが追加されました。

出所: オープンネット.ru

コメントを追加します