Syv år etter dannelsen av den siste betydelige grenen
Zeek er en trafikkanalyseplattform som primært er fokusert på, men ikke begrenset til, overvåking av sikkerhetshendelser. Moduler er gitt for å analysere og analysere ulike nettverksprotokoller på applikasjonsnivå, som tar hensyn til tilstanden til tilkoblinger og tillater opprettelse av en detaljert logg (arkiv) over nettverksaktivitet. Et domenespesifikt språk er foreslått for å skrive overvåkingsskript og identifisere uregelmessigheter, som tar hensyn til spesifikasjonene til spesifikke infrastrukturer. Systemet er optimalisert for bruk i nettverk med høy båndbredde. En API er tilgjengelig for integrasjon med tredjeparts informasjonssystemer og datautveksling i sanntid.
В
- Analysatoren for NTP-protokollen er fullstendig omskrevet og en ny analysator for MQTT er lagt til. Mulighetene til analysatorer for DNS, RDP, SMB og TLS er utvidet. For DNS tilbys parsing av SPF-poster, og for DNSSEC - RRSIG, DNSKEY, DS, NSEC og NSEC3 og utvalget av hendelser knyttet til dem. Lagt til støtte for SMB 3.x-protokollen til SMB-analysatoren, og støtte for TLS 1.3 for TLS;
- Støtte for deencapsulation av strømmer som overføres inne i VXLAN-tunneler er implementert;
- Lagt til støtte for lenker med NFLOG-typen;
- Lagt til muligheten til å lagre utpakkede data i loggen i UTF8-koding;
- Støtte for stenginger for anonyme funksjoner er lagt til i skriptspråket, en operatør for å telle opp tabeller i nøkkelverdi-formatet ("for (nøkkel, verdi i t)") er lagt til, vektorseparasjonsoperasjoner i Python-stil er implementert ("v[2:4]"), en ny struktur, paraglob, er foreslått for rask matching av strengmasker i store binære datasett;
- Alle referanser til navnet "bro" i filstier, innstillinger, pakker, skript, navnerom og funksjoner er erstattet med "zeek" (støtte for eldre navn beholdes for bakoverkompatibilitet). Bro-pkg-pakkebehandlingen har fått nytt navn til zkg.
Kilde: opennet.ru