Zeven jaar na de vorming van de laatste belangrijke tak introductie van een verkeersanalyse- en netwerkinbraakdetectiesysteem , voorheen verspreid onder de naam Bro. Dit is de eerste belangrijke release sindsdien , gepleegd omdat de naam Bro werd geassocieerd met de marginale subcultuur met dezelfde naam, en niet als een bedoelde toespeling op de ‘Big Brother’ uit George Orwells roman ‘1984’, bedoeld door de auteurs. De systeemcode is geschreven in C++ en onder BSD-licentie.
Zeek is een platform voor verkeersanalyse dat zich primair richt op, maar niet beperkt is tot, het monitoren van beveiligingsgebeurtenissen. Er zijn modules beschikbaar voor het analyseren en parseren van verschillende netwerkprotocollen op applicatieniveau, waarbij rekening wordt gehouden met de status van verbindingen en waardoor een gedetailleerd logboek (archief) van netwerkactiviteit kan worden aangemaakt. Er wordt een domeinspecifieke taal voorgesteld voor het schrijven van monitoringscripts en het identificeren van afwijkingen, rekening houdend met de specifieke kenmerken van specifieke infrastructuren. Het systeem is geoptimaliseerd voor gebruik in netwerken met hoge bandbreedte. Er is een API beschikbaar voor integratie met informatiesystemen van derden en gegevensuitwisseling in realtime.
В :
- De analysator voor het NTP-protocol is volledig herschreven en er is een nieuwe analysator voor MQTT toegevoegd. De mogelijkheden van analysers voor DNS, RDP, SMB en TLS zijn uitgebreid. Voor DNS is het parseren van SPF-records mogelijk, en voor DNSSEC - RRSIG, DNSKEY, DS, NSEC en NSEC3 en de selectie van daaraan gekoppelde gebeurtenissen. Ondersteuning voor het SMB 3.x-protocol toegevoegd aan de SMB-analysator, en ondersteuning voor TLS 1.3 voor TLS;
- Ondersteuning voor het de-encapsuleren van stromen die binnen VXLAN-tunnels worden verzonden, is geïmplementeerd;
- Ondersteuning toegevoegd voor koppelingen met het NFLOG-type;
- De mogelijkheid toegevoegd om geëxtraheerde gegevens op te slaan in de log-in UTF8-codering;
- Ondersteuning voor sluitingen voor anonieme functies is toegevoegd aan de scripttaal, een operator voor het opsommen van tabellen in het sleutelwaardeformaat (“for ( key, value in t)”) is toegevoegd, vectorscheidingsbewerkingen in Python-stijl zijn geïmplementeerd (“v[2:4]”), een nieuwe structuur, paraglob, wordt voorgesteld voor het snel matchen van stringmaskers in grote binaire datasets;
- Alle verwijzingen naar de naam "bro" in bestandspaden, instellingen, pakketten, scripts, naamruimten en functies zijn vervangen door "zeek" (ondersteuning voor oudere namen behouden voor achterwaartse compatibiliteit). De bro-pkg pakketbeheerder is hernoemd naar zkg.
Bron: opennet.ru