ĂshtĂ« publikuar Arkime 5.0, njĂ« sistem kapjeje, ruajtjeje dhe indeksimi tĂ« paketave tĂ« rrjetit. Ai ofron mjete pĂ«r vlerĂ«simin vizual tĂ« rrjedhave tĂ« trafikut dhe kĂ«rkimin e informacionit qĂ« lidhet me aktivitetin e rrjetit. Projekti u zhvillua fillimisht nga AOL me qĂ«llim krijimin e njĂ« zĂ«vendĂ«simi me burim tĂ« hapur pĂ«r platformat komerciale tĂ« pĂ«rpunimit tĂ« paketave tĂ« rrjetit qĂ« mund tĂ« vendoset nĂ« serverat e vet dhe tĂ« shkallĂ«zohet pĂ«r tĂ« trajtuar trafikun me shpejtĂ«si dhjetĂ«ra gigabitĂ«sh pĂ«r sekondĂ«. Komponenti i kapjes sĂ« trafikut Ă«shtĂ« shkruar nĂ« C dhe ndĂ«rfaqja Ă«shtĂ« zbatuar nĂ« Node.js/JavaScript. Kodi burimor shpĂ«rndahet sipas licencĂ«s Apache 2.0. Puna mbĂ«shtetet nĂ« Linux dhe FreeBSD. Paketa tĂ« gatshme janĂ« nĂ« dispozicion pĂ«r Arch. Linux, RHEL/CentOS Đž Ubuntu.
Arkime përfshin mjete për kapjen dhe indeksimin e trafikut PCAP dhe ofron akses të shpejtë në të dhënat e indeksuara. Përdorimi i formatit standard PCAP thjeshton ndjeshëm integrimin me analizuesit ekzistues të trafikut, siç është Wireshark. Sasia e të dhënave të ruajtura është e kufizuar vetëm nga madhësia e diskut të disponueshëm. Meta të dhënat e sesionit indeksohen në një klaster bazuar në motorin Elasticsearch ose OpenSearch. Komponenti i kapjes së trafikut funksionon në modalitetin me shumë fije dhe merret me monitorimin, shkrimin e dump-eve PCAP në disk, analizimin e paketave të kapura dhe dërgimin e meta të dhënave të sesionit (SPI, Stateful Packet Inspection) dhe protokolleve në klasterin Elasticsearch/OpenSearch. Skedarët PCAP mund të ruhen të enkriptuar.
Për të analizuar informacionin e grumbulluar, ofrohet një ndërfaqe në internet që ju lejon të lundroni, kërkoni dhe eksportoni mostra. Ndërfaqja e uebit ofron disa mënyra shikimi - nga statistikat e përgjithshme, hartat e lidhjeve dhe grafikët vizualë me të dhëna për ndryshimet në aktivitetin e rrjetit deri te mjetet për studimin e sesioneve individuale, analizimin e aktivitetit në kontekstin e protokolleve të përdorura dhe analizimin e të dhënave nga deponitë PCAP. Ofrohet gjithashtu një API që ju lejon të dërgoni të dhëna për paketat e kapura në formatin PCAP dhe sesionet e çmontuara në formatin JSON tek aplikacionet e palëve të treta.
NĂ« versionin e ri:
- ĂshtĂ« shtuar mundĂ«sia pĂ«r tĂ« dĂ«rguar pyetje tĂ« kombinuara kĂ«rkimi pĂ«r informacion nĂ«pĂ«rmjet shĂ«rbimit Cont3xt pĂ«r tĂ« mbledhur informacion tĂ« disponueshĂ«m nga burime tĂ« ndryshme tĂ« hapura (OSINT) rreth disa objekteve njĂ«kohĂ«sisht.
- U shtua mbështetje për metodat e gjurmëve të gishtërinjve të trafikut JA4 dhe JA4+ për të identifikuar protokollet dhe aplikacionet e rrjetit.
- Blloku i detajeve të sesionit është ridizajnuar për të minimizuar hapësirën e humbur dhe për të zbatuar një paraqitje me dy kolona për ekrane më të mëdha.
- Blloqe zbritëse për kërkim të njëkohshëm në disa raste të ndërfaqes për shikimin e statistikave (Shikuesi) janë shtuar në skedat Skedarët, Historiku dhe Statistikat.
- Sistemi i autorizimit është unifikuar dhe është ndarë në një modul të veçantë, i cili tani përdoret në të gjitha aplikacionet Arkime. Modaliteti i autorizimit anonim i parazgjedhur është zëvendësuar nga metoda digest. Janë shtuar mënyra të reja autorizimi: basic, form, basic+form, basic+oidc, headerOnly, header+digest dhe header+basic.
- Të gjitha aplikacionet janë migruar në një nënsistem të unifikuar konfigurimi që mbështet përpunimin e cilësimeve në formate të ndryshme (ini, json, yaml) dhe është i aftë të ngarkojë cilësime nga burime të ndryshme, si p.sh. nga disku, në rrjet nëpërmjet HTTPS ose nga OpenSearch/Elasticsearch.
- U shtua mbështetje për importimin e skedarëve të ruajtur PCAP (jashtë linje) duke i ngarkuar ato nga një URL nëpërmjet HTTPS ose nga hapësira ruajtëse e Amazon S3, pa pasur nevojë t'i ruani më parë në sistemin lokal.
Burimi: opennet.ru
