ကွန်ရက်လမ်းကြောင်း အညွှန်းကိန်းစနစ် Arkime 5.0 ကို ဖြန့်ချိသည်။

Arkime 5.0 သည် network packets များကိုဖမ်းယူခြင်း၊ သိမ်းဆည်းခြင်းနှင့် အညွှန်းရေးခြင်းအတွက် စနစ်၏ထုတ်လွှတ်မှုကို ထုတ်ဝေခဲ့ပြီး၊ ယာဉ်ကြောအသွားအလာစီးဆင်းမှုများကို အမြင်အာရုံဖြင့် အကဲဖြတ်ရန်နှင့် ကွန်ရက်လုပ်ဆောင်ချက်နှင့်ပတ်သက်သည့် အချက်အလက်ရှာဖွေခြင်းအတွက် ကိရိယာများကို ပံ့ပိုးပေးထားပါသည်။ ပရောဂျက်ကို AOL မှ မူလက ဖန်တီးခဲ့ခြင်းဖြစ်ပြီး ၎င်း၏ဆာဗာများပေါ်တွင် ဖြန့်ကျက်မှုကို ပံ့ပိုးပေးသည့် စီးပွားဖြစ်ကွန်ရက်ပက်ကတ်လုပ်ဆောင်ခြင်းပလပ်ဖောင်းများအတွက် ပွင့်လင်းသော အစားထိုးမှုကို ဖန်တီးကာ တစ်စက္ကန့်လျှင် ဆယ်ဂဏန်းဂစ်ဂါဘစ်နှုန်းဖြင့် အသွားအလာကို အရှိန်မြှင့်လုပ်ဆောင်ရန် အတိုင်းအတာကို ဖန်တီးနိုင်ခဲ့သည်။ အသွားအလာဖမ်းယူမှု အစိတ်အပိုင်းကုဒ်ကို C ဖြင့် ရေးသားထားပြီး အင်တာဖေ့စ်ကို Node.js/JavaScript တွင် အကောင်အထည်ဖော်ထားသည်။ အရင်းအမြစ်ကုဒ်ကို Apache 2.0 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။ Linux နှင့် FreeBSD တွင်အလုပ်လုပ်ရန်ပံ့ပိုးသည်။ အဆင်သင့်လုပ်ထားသော ပက်ကေ့ဂျ်များကို Arch Linux၊ RHEL/CentOS နှင့် Ubuntu အတွက် ပြင်ဆင်ထားပါသည်။

Arkime တွင် PCAP အသွားအလာကို ဖမ်းယူခြင်းနှင့် အညွှန်းရေးခြင်းအတွက် ကိရိယာများ ပါ၀င်ပြီး အညွှန်းပြုလုပ်ထားသော ဒေတာများသို့ အမြန်ဝင်ရောက်နိုင်ရန် ကိရိယာများကိုလည်း ပံ့ပိုးပေးပါသည်။ ပုံမှန် PCAP ဖော်မတ်ကို အသုံးပြုခြင်းသည် Wireshark ကဲ့သို့ ရှိပြီးသား လမ်းကြောင်းခွဲခြမ်းစိတ်ဖြာသူများနှင့် ပေါင်းစည်းမှုကို အလွန်ရိုးရှင်းစေသည်။ သိမ်းဆည်းထားသည့် ဒေတာပမာဏကို ရရှိနိုင်သော disk ခင်းကျင်းမှု အရွယ်အစားဖြင့်သာ ကန့်သတ်ထားသည်။ Session မက်တာဒေတာကို Elasticsearch သို့မဟုတ် OpenSearch အင်ဂျင်အပေါ်အခြေခံ၍ အစုအဝေးတစ်ခုတွင် အညွှန်းပြုထားသည်။ အသွားအလာဖမ်းယူသည့် အစိတ်အပိုင်းသည် ကြိုးမျိုးစုံမုဒ်တွင် လုပ်ဆောင်ပြီး စောင့်ကြည့်ခြင်း၊ PCAP အမှိုက်ပုံများ disk သို့ စာရေးခြင်း၊ ဖမ်းထားသော ပက်ကတ်များကို ခွဲခြမ်းစိပ်ဖြာခြင်းနှင့် စက်ရှင်များအကြောင်း (SPI၊ Stateful packet စစ်ဆေးခြင်း) နှင့် ပရိုတိုကောများကို Elasticsearch/OpenSearch အစုအဝေးသို့ ပေးပို့ခြင်း။ PCAP ဖိုင်များကို ကုဒ်ဝှက်ထားသော ပုံစံဖြင့် သိမ်းဆည်းထားနိုင်သည်။

စုဆောင်းထားသော အချက်အလက်များကို ပိုင်းခြားစိတ်ဖြာရန်၊ နမူနာများကို လမ်းညွှန်ရန်၊ ရှာဖွေရန်နှင့် ထုတ်ယူရန် ခွင့်ပြုသည့် ဝဘ်အင်တာဖေ့စ်ကို ကမ်းလှမ်းထားသည်။ ဝဘ်အင်တာဖေ့စ်သည် ကြည့်ရှုမှုမုဒ်များစွာကို ပံ့ပိုးပေးသည် - အထွေထွေစာရင်းဇယားများ၊ ချိတ်ဆက်မှုမြေပုံများနှင့် ကွန်ရက်လှုပ်ရှားမှုများတွင် အပြောင်းအလဲများအတွက် ဒေတာပါသည့် ဂရပ်ဖစ်များအထိ တစ်ဦးချင်းစက်ရှင်များကို လေ့လာရန်၊ အသုံးပြုထားသော ပရိုတိုကောများ၏ ဆက်စပ်လုပ်ဆောင်မှုကို ပိုင်းခြားစိတ်ဖြာခြင်းနှင့် PCAP အမှိုက်ပုံများမှ ဒေတာများကို ခွဲခြမ်းစိတ်ဖြာခြင်း။ PCAP ဖော်မတ်တွင် ဖမ်းယူထားသော ပက်ကတ်များအကြောင်း ဒေတာနှင့် JSON ဖော်မတ်ရှိ ပြင်ပအပလီကေးရှင်းများသို့ ဖြုတ်တပ်ထားသော ဆက်ရှင်များကို ပေးပို့ရန် API ကိုလည်း ပံ့ပိုးပေးထားပါသည်။

ဗားရှင်းအသစ်တွင်-

• အရာဝတ္ထုများစွာအကြောင်း တစ်ပြိုင်နက် အမျိုးမျိုးသော open source (OSINT) တွင် ရရှိနိုင်သော အချက်အလက်များကို စုဆောင်းရန်အတွက် Cont3xt ဝန်ဆောင်မှုမှတစ်ဆင့် ပေါင်းစပ်ရှာဖွေမှု တောင်းဆိုချက်များကို ပေးပို့နိုင်သည့် စွမ်းရည်ကို ထည့်သွင်းထားသည်။
• ကွန်ရက်ပရိုတိုကောများနှင့် အပလီကေးရှင်းများကိုခွဲခြားသတ်မှတ်ရန် JA4 နှင့် JA4+ လမ်းကြောင်းလက်ဗွေနှိပ်ခြင်းနည်းလမ်းများအတွက် ပံ့ပိုးမှု ထပ်လောင်းထည့်သွင်းထားသည်။
• စက်ရှင်နှင့်ပတ်သက်သော အသေးစိတ်အချက်အလက်များပါရှိသော ဘလောက်၏ဒီဇိုင်းကို ပြောင်းလဲထားပြီး၊ အသုံးမပြုသောနေရာများကို လျှော့ချကာ ကြီးမားသောဖန်သားပြင်များအတွက် ကော်လံနှစ်ခုအပြင်အဆင်ကို အကောင်အထည်ဖော်ပေးပါသည်။
• စာရင်းအင်းများ (Viewer) ကိုကြည့်ရှုရန်အတွက် အင်တာဖေ့စ်၏ဖြစ်ရပ်များစွာတွင် တစ်ပြိုင်နက်ရှာဖွေရန်အတွက် ဖိုင်များ၊ မှတ်တမ်းနှင့် ကိန်းဂဏာန်းများတက်ဘ်များကို တွဲထည့်ထားသည်။
• ခွင့်ပြုချက်စနစ်အား ပေါင်းစည်းပြီး Arkime အပလီကေးရှင်းများအားလုံးတွင် အသုံးပြုလျက်ရှိသည့် သီးခြား module တစ်ခုအဖြစ် ခွဲခြားထားသည်။ အမည်မသိခွင့်ပြုချက်မုဒ်အစား၊ ချေဖျက်သည့်နည်းလမ်းကို မူရင်းအတိုင်းအသုံးပြုသည်။ ခွင့်ပြုချက်မုဒ်အသစ်များကို ထည့်သွင်းထားသည်- အခြေခံ၊ ပုံစံ၊ အခြေခံ+ဖောင်၊ အခြေခံ+oidc၊ headerOnly၊ header+digest နှင့် header+basic။
• အပလီကေးရှင်းအားလုံးကို ပုံစံအမျိုးမျိုးဖြင့် လုပ်ဆောင်ခြင်းဆက်တင်များ (ini, json, yaml) တို့ကို ပံ့ပိုးပေးသည့် ပေါင်းစပ်ဖွဲ့စည်းပုံစနစ်ခွဲစနစ်သို့ လွှဲပြောင်းထားပြီး၊ ဥပမာ- ဒစ်ခ်မှ၊ HTTPS သို့မဟုတ် OpenSearch/Elasticsearch မှတဆင့် ကွန်ရက်ပေါ်မှ ဆက်တင်များကို အမျိုးမျိုးသောရင်းမြစ်များမှ ဆက်တင်များတင်နိုင်သည် .
• သိမ်းဆည်းထားသော (အော့ဖ်လိုင်း) PCAP အမှိုက်ပုံးများကို တင်သွင်းခြင်းနှင့် HTTPS သို့မဟုတ် Amazon S3 သိုလှောင်မှုမှ URL မှတဆင့် ၎င်းတို့ကို ဒေါင်းလုဒ်လုပ်ခြင်းအတွက် ပံ့ပိုးမှု ထပ်လောင်းထည့်သွင်းထားသည်။ ၎င်းတို့ကို ဒေသတွင်းစနစ်တွင် ဦးစွာသိမ်းဆည်းရန် မလိုအပ်ပါ။

source: opennet.ru