Izdan je bil Arkime 5.0, sistem za zajemanje, shranjevanje in indeksiranje omrežnih paketov. Ponuja orodja za vizualno ocenjevanje prometnih tokov in iskanje informacij, povezanih z omrežno aktivnostjo. Projekt je prvotno razvil AOL z namenom ustvariti odprtokodno zamenjavo za komercialne platforme za obdelavo omrežnih paketov, ki bi jo lahko namestili na lastne strežnike in jo prilagodili za obdelavo prometa s hitrostmi več deset gigabitov na sekundo. Komponenta za zajemanje prometa je napisana v jeziku C, vmesnik pa je implementiran v Node.js/JavaScript. Izvorna koda je distribuirana pod licenco Apache 2.0. Delo je podprto v Linux in FreeBSD. Za Arch so na voljo že pripravljeni paketi. Linux, RHEL/CentOS и Ubuntu.
Arkime vključuje orodja za zajem in indeksiranje prometa PCAP ter ponuja tudi orodja za hiter dostop do indeksiranih podatkov. Uporaba standardnega formata PCAP močno poenostavi integracijo z obstoječimi analizatorji prometa, kot je Wireshark. Količina shranjenih podatkov je omejena le z velikostjo razpoložljivega diskovnega polja. Metapodatki o seji so indeksirani v gruči na podlagi mehanizma Elasticsearch ali OpenSearch. Komponenta za zajem prometa deluje v večnitnem načinu in rešuje naloge spremljanja, zapisovanja izpisov PCAP na disk, razčlenjevanja zajetih paketov in pošiljanja metapodatkov o sejah (SPI, Stateful packet inspection) in protokolih v gručo Elasticsearch/OpenSearch. Datoteke PCAP je mogoče shraniti v šifrirani obliki.
Za analizo zbranih informacij je na voljo spletni vmesnik, ki omogoča navigacijo, iskanje in izvoz vzorcev. Spletni vmesnik omogoča več načinov gledanja – od splošne statistike, zemljevidov povezav in vizualnih grafov s podatki o spremembah omrežne aktivnosti do orodij za preučevanje posameznih sej, analiziranje aktivnosti v kontekstu uporabljenih protokolov in razčlenjevanje podatkov iz odlagališč PCAP. Na voljo je tudi API, ki omogoča pošiljanje podatkov o zajetih paketih v formatu PCAP in razstavljenih sejah v formatu JSON aplikacijam tretjih oseb.
V novi različici:
- Dodana možnost pošiljanja kombiniranih iskalnih zahtev za informacije prek storitve Cont3xt za zbiranje informacij, ki so na voljo v različnih odprtih virih (OSINT) hkrati o več predmetih.
- Dodana podpora za metode prstnih odtisov prometa JA4 in JA4+ za prepoznavanje omrežnih protokolov in aplikacij.
- Zasnova bloka s podrobnimi informacijami o seji je bila spremenjena, kar zmanjšuje neuporabljen prostor in izvaja postavitev v dveh stolpcih za velike zaslone.
- Zavihkom Datoteke, Zgodovina in Statistika so dodani spustni bloki za iskanje hkrati v več instancah vmesnika za ogled statistike (Viewer).
- Avtorizacijski sistem je poenoten in ločen v ločen modul, ki se sedaj uporablja v vseh aplikacijah Arkime. Namesto načina anonimne avtorizacije se privzeto uporablja metoda izvlečka. Dodani so bili novi načini avtorizacije: osnovni, obrazec, osnovni+forma, osnovni+oidc, samo glava, glava+izvleček in glava+osnovni.
- Vse aplikacije smo prenesli v enoten konfiguracijski podsistem, ki podpira obdelavo nastavitev v različnih formatih (ini, json, yaml) in je sposoben nalaganja nastavitev iz različnih virov, na primer z diska, po omrežju prek HTTPS ali iz OpenSearch/Elasticsearch. .
- Dodana podpora za uvoz shranjenih (brez povezave) izpisov PCAP in njihov prenos prek URL-ja prek HTTPS ali iz pomnilnika Amazon S3, ne da bi jih bilo treba najprej shraniti v lokalni sistem.
Vir: opennet.ru
