ProHoster > BLOG > știri pe internet > Analizor de trafic Zeek 3.0.0 lansat

Analizor de trafic Zeek 3.0.0 lansat

La șapte ani de la formarea ultimei ramuri semnificative prezentat lansarea unui sistem de analiză a traficului și de detectare a intruziunilor în rețea Zeek 3.0.0 , distribuit anterior sub numele Bro. Aceasta este prima lansare semnificativă de atunci redenumirea proiectului, comis deoarece numele Bro a fost asociat cu subcultura marginală cu același nume și nu ca o aluzie intenționată la „Fratele cel Mare” din romanul lui George Orwell „1984” intenționat de autori. Codul de sistem este scris în C++ și distribuit de sub licența BSD.

Zeek este o platformă de analiză a traficului axată în principal pe, dar fără a se limita la, monitorizarea evenimentelor de securitate. Sunt furnizate module pentru analizarea și analizarea diferitelor protocoale de rețea la nivel de aplicație, ținând cont de starea conexiunilor și permițând crearea unui jurnal detaliat (arhivă) al activității rețelei. Se propune un limbaj specific domeniului pentru scrierea scripturilor de monitorizare si identificarea anomaliilor, tinand cont de specificul infrastructurilor specifice. Sistemul este optimizat pentru utilizare în rețele cu lățime de bandă mare. Este furnizat un API pentru integrarea cu sisteme de informații terțe și pentru schimbul de date în timp real.

В problemă nouă:

  • Analizorul pentru protocolul NTP a fost complet rescris și a fost adăugat un nou analizor pentru MQTT. Capacitățile analizoarelor pentru DNS, RDP, SMB și TLS au fost extinse. Pentru DNS, este furnizată analizarea înregistrărilor SPF, iar pentru DNSSEC - RRSIG, DNSKEY, DS, NSEC și NSEC3 și selecția evenimentelor asociate acestora. S-a adăugat suport pentru protocolul SMB 3.x la analizorul SMB și suport pentru TLS 1.3 pentru TLS;
  • A fost implementat suport pentru decapsularea fluxurilor transmise în interiorul tunelurilor VXLAN;
  • S-a adăugat suport pentru legături cu tipul NFLOG;
  • S-a adăugat posibilitatea de a salva datele extrase în jurnal în codificarea UTF8;
  • Suport pentru închideri pentru funcții anonime a fost adăugat la limbajul de scripting, a fost adăugat un operator pentru enumerarea tabelelor în format cheie-valoare („pentru ( cheie, valoare în t)”), au fost implementate operațiuni de separare a vectorilor în stil Python („v[2:4]”), o nouă structură, paraglob, este propusă pentru potrivirea rapidă a măștilor de șir în seturi mari de date binare;
  • Toate referințele la numele „bro” în căile de fișiere, setări, pachete, scripturi, spații de nume și funcții au fost înlocuite cu „zeek” (suport pentru nume mai vechi păstrat pentru compatibilitate inversă). Managerul de pachete bro-pkg a fost redenumit în zkg.

Sursa: opennet.ru

Adauga un comentariu