Septiņus gadus pēc pēdējā nozīmīgā atzara izveidošanas satiksmes analīzes un tīkla ielaušanās atklāšanas sistēmas izlaišana , agrāk izplatīts ar nosaukumu Bro. Šis ir pirmais nozīmīgais izlaidums kopš , kas izdarīts tāpēc, ka vārds Bro tika saistīts ar tāda paša nosaukuma marginālo subkultūru, nevis kā iecerēts mājiens uz “Lielo brāli” no Džordža Orvela romāna “1984”, ko bija iecerējuši autori. Sistēmas kods ir rakstīts C++ un saskaņā ar BSD licenci.
Zeek ir satiksmes analīzes platforma, kas galvenokārt ir vērsta uz drošības notikumu uzraudzību, bet ne tikai. Moduļi ir paredzēti dažādu lietojumprogrammu līmeņa tīkla protokolu analīzei un parsēšanai, ņemot vērā savienojumu stāvokli un ļaujot izveidot detalizētu tīkla darbību žurnālu (arhīvu). Monitoringa skriptu rakstīšanai un anomāliju identificēšanai tiek piedāvāta domēna specifiska valoda, ņemot vērā konkrēto infrastruktūru specifiku. Sistēma ir optimizēta izmantošanai liela joslas platuma tīklos. Tiek nodrošināta API integrācijai ar trešo pušu informācijas sistēmām un datu apmaiņai reāllaikā.
В :
- NTP protokola analizators ir pilnībā pārrakstīts, un ir pievienots jauns MQTT analizators. Ir paplašinātas DNS, RDP, SMB un TLS analizatoru iespējas. DNS tiek nodrošināta SPF ierakstu parsēšana, bet DNSSEC - RRSIG, DNSKEY, DS, NSEC un NSEC3 un ar tiem saistīto notikumu atlase. Pievienots SMB 3.x protokola atbalsts SMB analizatoram un TLS 1.3 atbalsts TLS;
- Ir ieviests atbalsts VXLAN tuneļos pārraidīto straumju dekapsulēšanai;
- Pievienots atbalsts saitēm ar NFLOG tipu;
- Pievienota iespēja saglabāt iegūtos datus žurnālā UTF8 kodējumā;
- Skriptu valodai ir pievienots atbalsts anonīmo funkciju slēgšanai, ir pievienots operators tabulu uzskaitīšanai atslēgas vērtību formātā (“for ( atslēga, vērtība t)”), ir ieviestas Python stila vektoru atdalīšanas darbības. (“v[2:4]”), tiek piedāvāta jauna struktūra paraglob ātrai virkņu masku saskaņošanai lielās bināro datu kopās;
- Visas atsauces uz nosaukumu "bro" failu ceļos, iestatījumos, pakotnēs, skriptos, nosaukumvietās un funkcijās ir aizstātas ar "zeek" (vecāku nosaukumu atbalsts tiek saglabāts, lai nodrošinātu atpakaļsaderību). Bro-pkg pakotņu pārvaldnieks ir pārdēvēts par zkg.
Avots: opennet.ru