Sistemul de captare, stocare și indexare a pachetelor de rețea Arkime 5.0 a fost lansat. Acesta oferă instrumente pentru evaluarea vizuală a fluxurilor de trafic și căutarea de informații legate de activitatea rețelei. Proiectul a fost inițial dezvoltat de AOL cu scopul de a crea un înlocuitor open-source pentru platformele comerciale de procesare a pachetelor de rețea, care să poată fi implementat pe propriile servere și să poată fi scalat pentru a gestiona traficul la viteze de zeci de gigabiți pe secundă. Componenta de captare a traficului este codificată în C, iar interfața este implementată în Node.js/JavaScript. Codul sursă este distribuit sub licența Apache 2.0. Lucrările sunt suportate în... Linux și FreeBSD. Sunt disponibile pachete predefinite pentru Arch. Linux, RHEL/CentOS и Ubuntu.
Arkime include instrumente pentru captarea și indexarea traficului PCAP și oferă, de asemenea, instrumente pentru acces rapid la datele indexate. Utilizarea unui format standard PCAP simplifică foarte mult integrarea cu analizoarele de trafic existente, cum ar fi Wireshark. Volumul datelor stocate este limitat doar de dimensiunea matricei de discuri disponibile. Metadatele sesiunii sunt indexate într-un cluster bazat pe motorul Elasticsearch sau OpenSearch. Componenta de captare a traficului funcționează în modul multi-threaded și rezolvă sarcinile de monitorizare, scrierea dump-urilor PCAP pe disc, parsarea pachetelor capturate și trimiterea de metadate despre sesiuni (SPI, Stateful packet inspection) și protocoale către clusterul Elasticsearch/OpenSearch. Este posibil să stocați fișiere PCAP în formă criptată.
Pentru a analiza informațiile acumulate, este oferită o interfață web care vă permite să navigați, să căutați și să exportați mostre. Interfața web oferă mai multe moduri de vizualizare - de la statistici generale, hărți de conexiune și grafice vizuale cu date privind modificările activității în rețea până la instrumente pentru studierea sesiunilor individuale, analiza activității în contextul protocoalelor utilizate și analizarea datelor din depozitele PCAP. De asemenea, este furnizat un API care vă permite să trimiteți date despre pachetele capturate în format PCAP și sesiunile dezasamblate în format JSON către aplicații terțe.
În noua versiune:
- S-a adăugat posibilitatea de a trimite cereri de căutare combinate pentru informații prin serviciul Cont3xt pentru a colecta simultan informații disponibile în diverse surse deschise (OSINT) despre mai multe obiecte.
- S-a adăugat suport pentru metodele de amprentare a traficului JA4 și JA4+ pentru a identifica protocoalele și aplicațiile de rețea.
- Designul blocului cu informații detaliate despre sesiune a fost modificat, ceea ce reduce la minimum spațiul nefolosit și implementează un aspect cu două coloane pentru ecranele mari.
- Blocuri derulante au fost adăugate la filele Fișiere, Istoric și Statistici pentru căutarea simultană în mai multe cazuri ale interfeței pentru vizualizarea statisticilor (Vizualizator).
- Sistemul de autorizare a fost unificat și separat într-un modul separat, care este acum utilizat în toate aplicațiile Arkime. În locul modului de autorizare anonimă, metoda de digest este utilizată implicit. Au fost adăugate noi moduri de autorizare: basic, form, basic+form, basic+oidc, headerOnly, header+digest și header+basic.
- Toate aplicațiile au fost transferate într-un subsistem de configurare unificat care acceptă setările de procesare în diferite formate (ini, json, yaml) și este capabil să încarce setări din diferite surse, de exemplu, de pe disc, prin rețea prin HTTPS sau din OpenSearch/Elasticsearch .
- S-a adăugat suport pentru importarea depozitelor PCAP salvate (offline) și descărcarea lor prin URL prin HTTPS sau din stocarea Amazon S3, fără a fi nevoie să le salvați mai întâi pe sistemul local.
Sursa: opennet.ru
