Objavljena je bila izdaja sistema za zajem, shranjevanje in indeksiranje omrežnih paketov Arkime 5.0, ki ponuja orodja za vizualno ocenjevanje prometnih tokov in iskanje informacij, povezanih z omrežno aktivnostjo. Projekt je prvotno razvil AOL s ciljem ustvariti odprto zamenjavo za komercialne omrežne platforme za obdelavo paketov, ki podpirajo namestitev na njegovih strežnikih in se lahko povečajo za obdelavo prometa s hitrostjo več deset gigabitov na sekundo. Koda komponente za zajem prometa je napisana v C, vmesnik pa je implementiran v Node.js/JavaScript. Izvorna koda se distribuira pod licenco Apache 2.0. Podpira delo na Linuxu in FreeBSD. Pripravljeni paketi so pripravljeni za Arch Linux, RHEL/CentOS in Ubuntu.
Arkime vključuje orodja za zajem in indeksiranje prometa PCAP ter ponuja tudi orodja za hiter dostop do indeksiranih podatkov. Uporaba standardnega formata PCAP močno poenostavi integracijo z obstoječimi analizatorji prometa, kot je Wireshark. Količina shranjenih podatkov je omejena le z velikostjo razpoložljivega diskovnega polja. Metapodatki o seji so indeksirani v gruči na podlagi mehanizma Elasticsearch ali OpenSearch. Komponenta za zajem prometa deluje v večnitnem načinu in rešuje naloge spremljanja, zapisovanja izpisov PCAP na disk, razčlenjevanja zajetih paketov in pošiljanja metapodatkov o sejah (SPI, Stateful packet inspection) in protokolih v gručo Elasticsearch/OpenSearch. Datoteke PCAP je mogoče shraniti v šifrirani obliki.
Za analizo zbranih informacij je na voljo spletni vmesnik, ki omogoča navigacijo, iskanje in izvoz vzorcev. Spletni vmesnik omogoča več načinov gledanja – od splošne statistike, zemljevidov povezav in vizualnih grafov s podatki o spremembah omrežne aktivnosti do orodij za preučevanje posameznih sej, analiziranje aktivnosti v kontekstu uporabljenih protokolov in razčlenjevanje podatkov iz odlagališč PCAP. Na voljo je tudi API, ki omogoča pošiljanje podatkov o zajetih paketih v formatu PCAP in razstavljenih sejah v formatu JSON aplikacijam tretjih oseb.
V novi različici:
- Dodana možnost pošiljanja kombiniranih iskalnih zahtev za informacije prek storitve Cont3xt za zbiranje informacij, ki so na voljo v različnih odprtih virih (OSINT) hkrati o več predmetih.
- Dodana podpora za metode prstnih odtisov prometa JA4 in JA4+ za prepoznavanje omrežnih protokolov in aplikacij.
- Zasnova bloka s podrobnimi informacijami o seji je bila spremenjena, kar zmanjšuje neuporabljen prostor in izvaja postavitev v dveh stolpcih za velike zaslone.
- Zavihkom Datoteke, Zgodovina in Statistika so dodani spustni bloki za iskanje hkrati v več instancah vmesnika za ogled statistike (Viewer).
- Avtorizacijski sistem je poenoten in ločen v ločen modul, ki se sedaj uporablja v vseh aplikacijah Arkime. Namesto načina anonimne avtorizacije se privzeto uporablja metoda izvlečka. Dodani so bili novi načini avtorizacije: osnovni, obrazec, osnovni+forma, osnovni+oidc, samo glava, glava+izvleček in glava+osnovni.
- Vse aplikacije smo prenesli v enoten konfiguracijski podsistem, ki podpira obdelavo nastavitev v različnih formatih (ini, json, yaml) in je sposoben nalaganja nastavitev iz različnih virov, na primer z diska, po omrežju prek HTTPS ali iz OpenSearch/Elasticsearch. .
- Dodana podpora za uvoz shranjenih (brez povezave) izpisov PCAP in njihov prenos prek URL-ja prek HTTPS ali iz pomnilnika Amazon S3, ne da bi jih bilo treba najprej shraniti v lokalni sistem.
Vir: opennet.ru