Arkime 5.0, e System fir d'Erfassung, d'Späicherung an d'Indexéierung vu Netzwierkpaketer, gouf verëffentlecht. Et bitt Tools fir d'visuell Bewäertung vum Verkéiersfloss an d'Sich no Informatiounen am Zesummenhang mat der Netzwierkaktivitéit. De Projet gouf ursprénglech vun AOL entwéckelt mat dem Zil, en Open-Source-Ersatz fir kommerziell Netzwierkpaketveraarbechtungsplattformen ze kreéieren, déi op hiren eegene Serveren agesat kënne ginn a skaléiert kënne ginn, fir Verkéier mat Geschwindegkeete vun Zénger Gigabit pro Sekonn ze handhaben. D'Verkéierserfassungskomponent ass a C geschriwwen, an d'Interface ass an Node.js/JavaScript implementéiert. De Quellcode gëtt ënner der Apache 2.0 Lizenz verdeelt. D'Aarbecht gëtt ënnerstëtzt an Linux a FreeBSD. Fäerdeg Pakete si fir Arch verfügbar. Linux, RHEL/CentOS и Ubuntu.
Arkime enthält Tools fir PCAP Traffic z'erfaassen an ze indexéieren, a bitt och Tools fir séier Zougang zu indexéierten Donnéeën. D'Benotzung vun engem Standard PCAP Format vereinfacht immens Integratioun mat existente Traffic Analysatoren wéi Wireshark. De Volume vun de gespäicherten Donnéeën ass nëmme limitéiert duerch d'Gréisst vun der verfügbaren Disk Array. Sessioun Metadaten ginn an engem Cluster indexéiert baséiert op der Elasticsearch oder OpenSearch Engine. D'Traffic Capture Komponent funktionnéiert am Multi-threaded Modus a léist d'Aufgaben vun der Iwwerwaachung, Schreiwen PCAP Dumps op Disk, Parsing gefaange Paketen a schéckt Metadaten iwwer Sessiounen (SPI, Stateful Packet Inspection) a Protokoller an den Elasticsearch/OpenSearch Cluster. Et ass méiglech PCAP Dateien a verschlësselte Form ze späicheren.
Fir déi gesammelt Informatioun ze analyséieren, gëtt e Webinterface ugebueden, deen Iech erlaabt Iech Proben ze navigéieren, ze sichen an ze exportéieren. D'Web-Interface bitt verschidde Gesiichtsmodi - vun allgemenge Statistiken, Verbindungskaarten a visuelle Grafike mat Daten iwwer Ännerungen an der Netzwierkaktivitéit bis Tools fir eenzel Sessiounen ze studéieren, d'Aktivitéit ze analyséieren am Kontext vun de benotzte Protokoller an d'Parséiere vun Daten aus PCAP Dumps. Eng API gëtt och zur Verfügung gestallt, déi Iech erlaabt Daten iwwer gefaange Paketen am PCAP-Format an ofgebaute Sessiounen am JSON-Format un Drëtt Partei Uwendungen ze schécken.
An der neier Versioun:
- D'Fähigkeit bäigefüügt fir kombinéiert Sichufroe fir Informatioun iwwer de Cont3xt Service ze schécken fir Informatioun ze sammelen verfügbar a verschiddene Open Sources (OSINT) gläichzäiteg iwwer verschidden Objeten.
- Zousätzlech Ënnerstëtzung fir JA4 an JA4+ Traffic Fangerofdrockmethoden fir Netzwierkprotokoller an Uwendungen z'identifizéieren.
- Den Design vum Block mat detailléierter Informatioun iwwer d'Sessioun gouf geännert, wat onbenotzt Plaz miniméiert an en zwee-Kolonn Layout fir grouss Schiirme implementéiert.
- Dropdown-Blöcke goufen op d'Fichier'en, Geschicht a Statistiken Tabs bäigefüügt fir gläichzäiteg a verschiddene Fäll vun der Interface ze sichen fir Statistiken ze gesinn (Viewer).
- Den Autorisatiounssystem gouf vereenegt an an e separaten Modul getrennt, deen elo an all Arkime Uwendungen benotzt gëtt. Amplaz vum anonyme Autorisatiounsmodus gëtt d'Verdauungsmethod als Standard benotzt. Nei Autorisatiounsmodi goufen derbäigesat: Basis, Form, Basis+Form, Basis+oidc, HeaderOnly, Header+Verdauung an Header+Basis.
- All Applikatioune goufen op en vereenegt Konfiguratiouns-Subsystem transferéiert, deen d'Veraarbechtungsastellungen a verschiddene Formater (ini, json, yaml) ënnerstëtzt a fäeg ass Astellunge vu verschiddene Quellen ze lueden, zum Beispill vun der Disk, iwwer dem Netz iwwer HTTPS oder vun OpenSearch/Elasticsearch .
- Ënnerstëtzung bäigefüügt fir gespäichert (offline) PCAP Dumps z'importéieren an se iwwer URL iwwer HTTPS oder vun Amazon S3 Späicheren erofzelueden, ouni datt se fir d'éischt am lokalen System späicheren.
Source: opennet.ru
