ProHoster > Blog > internetne novice > Izdan analizator prometa Zeek 3.0.0

Izdan analizator prometa Zeek 3.0.0

Sedem let po ustanovitvi zadnje pomembne podružnice predstavljeno izdaja sistema za analizo prometa in zaznavanje vdorov v omrežje Zeek 3.0.0 , ki se je prej distribuiral pod imenom Bro. To je prva pomembna izdaja od takrat preimenovanje projekta, storjeno zato, ker je bilo ime Bro povezano z istoimensko obrobno subkulturo, in ne kot namenska aluzija na »Velikega brata« iz romana Georgea Orwella »1984«, ki so ga nameravali avtorji. Sistemska koda je napisana v C++ in distributer pod licenco BSD.

Zeek je platforma za analizo prometa, osredotočena predvsem na spremljanje varnostnih dogodkov, vendar ne omejeno nanj. Na voljo so moduli za analizo in razčlenjevanje različnih omrežnih protokolov na ravni aplikacije, ki upoštevajo stanje povezav in omogočajo ustvarjanje podrobnega dnevnika (arhiva) omrežne dejavnosti. Za pisanje nadzornih skriptov in prepoznavanje anomalij je predlagan jezik, specifičen za domeno, ob upoštevanju posebnosti specifičnih infrastruktur. Sistem je optimiziran za uporabo v omrežjih z visoko pasovno širino. Na voljo je API za integracijo z informacijskimi sistemi tretjih oseb in izmenjavo podatkov v realnem času.

В nova izdaja:

  • Analizator za protokol NTP je bil popolnoma prepisan in dodan je bil nov analizator za MQTT. Razširjene so bile zmogljivosti analizatorjev za DNS, RDP, SMB in TLS. Za DNS je predvideno razčlenjevanje SPF zapisov, za DNSSEC pa RRSIG, DNSKEY, DS, NSEC in NSEC3 ter izbor dogodkov, povezanih z njimi. Analizatorju SMB dodana podpora za protokol SMB 3.x in podpora za TLS 1.3 za TLS;
  • Izvedena je bila podpora za deenkapsulacijo tokov, ki se prenašajo znotraj tunelov VXLAN;
  • Dodana podpora za povezave z vrsto NFLOG;
  • Dodana možnost shranjevanja ekstrahiranih podatkov v dnevnik v kodiranju UTF8;
  • V skriptni jezik je bila dodana podpora za zaprtja za anonimne funkcije, dodan je bil operator za oštevilčevanje tabel v formatu ključ-vrednost (»za ( ključ, vrednost v t)«), implementirane so bile operacije ločevanja vektorjev v slogu Python (»v[2:4]«) je predlagana nova struktura, paraglob, za hitro ujemanje mask nizov v velikih nizih binarnih podatkov;
  • Vse reference na ime "bro" v poteh datotek, nastavitvah, paketih, skriptih, imenskih prostorih in funkcijah so bile nadomeščene z "zeek" (podpora za starejša imena je ohranjena zaradi združljivosti za nazaj). Upravitelj paketov bro-pkg je bil preimenovan v zkg.

Vir: opennet.ru

Dodaj komentar