ProHoster > Blog > notícias da internet > Analisador de tráfego Zeek 3.0.0 lançado

Analisador de tráfego Zeek 3.0.0 lançado

Sete anos após a formação da última filial significativa apresentado lançamento de um sistema de análise de tráfego e detecção de intrusão de rede Zeek 3.0.0 , anteriormente distribuído sob o nome de Bro. Este é o primeiro lançamento significativo desde renomeando o projeto, cometido porque o nome Bro estava associado à subcultura marginal de mesmo nome, e não como uma alusão intencional ao “Big Brother” do romance “1984” de George Orwell pretendido pelos autores. O código do sistema é escrito em C++ e distribuído por sob a licença BSD.

Zeek é uma plataforma de análise de tráfego focada principalmente, mas não se limitando a, monitoramento de eventos de segurança. Módulos são fornecidos para analisar e analisar vários protocolos de rede em nível de aplicativo, levando em consideração o estado das conexões e permitindo a criação de um log detalhado (arquivo) da atividade da rede. É proposta uma linguagem específica de domínio para escrever scripts de monitoramento e identificar anomalias, levando em consideração as especificidades de infraestruturas específicas. O sistema é otimizado para uso em redes de alta largura de banda. É fornecida uma API para integração com sistemas de informação de terceiros e troca de dados em tempo real.

В novo problema:

  • O analisador do protocolo NTP foi completamente reescrito e um novo analisador para MQTT foi adicionado. As capacidades dos analisadores de DNS, RDP, SMB e TLS foram ampliadas. Para DNS, é fornecida a análise de registros SPF, e para DNSSEC - RRSIG, DNSKEY, DS, NSEC e NSEC3 e a seleção de eventos associados a eles. Adicionado suporte para o protocolo SMB 3.x ao analisador SMB e suporte para TLS 1.3 para TLS;
  • Foi implementado suporte para desencapsulação de fluxos transmitidos dentro de túneis VXLAN;
  • Adicionado suporte para links do tipo NFLOG;
  • Adicionada a capacidade de salvar dados extraídos no log em codificação UTF8;
  • Suporte para fechamentos para funções anônimas foi adicionado à linguagem de script, um operador para enumerar tabelas no formato de valor-chave (“for (chave, valor em t)”) foi adicionado, operações de separação de vetores no estilo Python foram implementadas (“v[2:4]”), uma nova estrutura, paraglob, é proposta para correspondência rápida de máscaras de string em grandes conjuntos de dados binários;
  • Todas as referências ao nome "bro" em caminhos de arquivos, configurações, pacotes, scripts, namespaces e funções foram substituídas por "zeek" (suporte para nomes mais antigos mantidos para compatibilidade com versões anteriores). O gerenciador de pacotes bro-pkg foi renomeado para zkg.

Fonte: opennet.ru

Adicionar um comentário