Siedem lat po utworzeniu ostatniej znaczącej gałęzi udostępnienie systemu analizy ruchu i wykrywania włamań do sieci , dawniej dystrybuowany pod nazwą Bro. To pierwsza znacząca publikacja od tego czasu , popełniono dlatego, że imię Bro kojarzono z marginalną subkulturą o tej samej nazwie, a nie jako zamierzoną w zamyśle autorów aluzję do „Wielkiego Brata” z powieści George’a Orwella „1984”. Kod systemu jest napisany w C++ i na licencji BSD.
Zeek to platforma do analizy ruchu, która skupia się przede wszystkim na monitorowaniu zdarzeń związanych z bezpieczeństwem, ale nie ogranicza się do nich. Dostępne są moduły umożliwiające analizę i parsowanie różnych protokołów sieciowych na poziomie aplikacji, uwzględniające stan połączeń i umożliwiające tworzenie szczegółowego dziennika (archiwum) aktywności sieciowej. Do pisania skryptów monitorujących i identyfikowania anomalii proponuje się język specyficzny dla danej domeny, uwzględniający specyfikę konkretnej infrastruktury. System jest zoptymalizowany do stosowania w sieciach o dużej przepustowości. Do integracji z systemami informatycznymi innych firm i wymiany danych w czasie rzeczywistym zapewnione jest API.
В :
- Analizator dla protokołu NTP został całkowicie przepisany i dodano nowy analizator dla MQTT. Rozszerzono możliwości analizatorów dla DNS, RDP, SMB i TLS. Dla DNS zapewniona jest analiza rekordów SPF, a dla DNSSEC - RRSIG, DNSKEY, DS, NSEC i NSEC3 oraz wybór powiązanych z nimi zdarzeń. Dodano obsługę protokołu SMB 3.x do analizatora SMB oraz obsługę TLS 1.3 dla TLS;
- Zaimplementowano obsługę dekapsulacji strumieni przesyłanych w tunelach VXLAN;
- Dodano obsługę łączy typu NFLOG;
- Dodano możliwość zapisywania wyodrębnionych danych w logu w kodowaniu UTF8;
- Do języka skryptowego dodano obsługę domknięć dla funkcji anonimowych, dodano operator wyliczania tabel w formacie klucz-wartość („for (klucz, wartość w t)”), zaimplementowano operacje separacji wektorów w stylu Pythona („v[2:4]”) zaproponowano nową strukturę paraglob do szybkiego dopasowywania masek łańcuchowych w dużych binarnych zbiorach danych;
- Wszystkie odniesienia do nazwy „bro” w ścieżkach plików, ustawieniach, pakietach, skryptach, przestrzeniach nazw i funkcjach zostały zastąpione przez „zeek” (obsługa starszych nazw zachowana ze względu na kompatybilność wsteczną). Nazwa menedżera pakietów bro-pkg została zmieniona na zkg.
Źródło: opennet.ru