Praėjus septyneriems metams po paskutinės reikšmingos šakos susiformavimo
„Zeek“ yra srauto analizės platforma, daugiausia orientuota į saugos įvykių stebėjimą, bet tuo neapsiribojant. Moduliai numatyti įvairių taikomųjų programų lygio tinklo protokolams analizuoti ir analizuoti, atsižvelgiant į jungčių būseną ir leidžiant sukurti detalų tinklo veiklos žurnalą (archyvą). Stebėjimo scenarijų rašymui ir anomalijų identifikavimui, atsižvelgiant į konkrečių infrastruktūrų specifiką, siūloma konkrečiai domenui skirta kalba. Sistema optimizuota naudoti didelio pralaidumo tinkluose. Suteikiama API integracijai su trečiųjų šalių informacinėmis sistemomis ir duomenų mainams realiu laiku.
- NTP protokolo analizatorius buvo visiškai perrašytas ir pridėtas naujas MQTT analizatorius. Išplėstos DNS, RDP, SMB ir TLS analizatorių galimybės. DNS atveju pateikiamas SPF įrašų analizavimas, o DNSSEC - RRSIG, DNSKEY, DS, NSEC ir NSEC3 bei su jais susijusių įvykių pasirinkimas. Pridėtas SMB 3.x protokolo palaikymas prie SMB analizatoriaus ir TLS 1.3 palaikymas TLS;
- Įdiegta VXLAN tuneliuose perduodamų srautų dekapsuliavimo palaikymas;
- Pridėtas palaikymas nuorodoms su NFLOG tipu;
- Pridėta galimybė išsaugoti ištrauktus duomenis žurnale UTF8 koduotėje;
- Į scenarijų kalbą įtrauktas anoniminių funkcijų uždarymo palaikymas, pridėtas operatorius, skirtas surašyti lenteles rakto-reikšmių formatu („for ( key, value in t)“), įdiegtos Python stiliaus vektorių atskyrimo operacijos. („v[2:4]“), siūloma nauja struktūra „paraglob“, skirta greitai suderinti eilučių kaukes dideliuose dvejetainiuose duomenų rinkiniuose;
- Visos nuorodos į pavadinimą „bro“ failų keliuose, nustatymuose, paketuose, scenarijuose, vardų erdvėse ir funkcijose buvo pakeistos „zeek“ (senesnių vardų palaikymas išsaugotas atgaliniam suderinamumui). Bro-pkg paketų tvarkyklė buvo pervadinta į zkg.
Šaltinis: opennet.ru