Sju år efter bildandet av den sista betydande grenen
Zeek är en trafikanalysplattform fokuserad främst på, men inte begränsat till, övervakning av säkerhetshändelser. Moduler tillhandahålls för att analysera och analysera olika nätverksprotokoll på applikationsnivå, med hänsyn till anslutningarnas tillstånd och möjliggör skapandet av en detaljerad logg (arkiv) över nätverksaktivitet. Ett domänspecifikt språk föreslås för att skriva övervakningsskript och identifiera anomalier, med hänsyn till specifika infrastrukturers särdrag. Systemet är optimerat för användning i nätverk med hög bandbredd. Ett API tillhandahålls för integration med tredjeparts informationssystem och datautbyte i realtid.
В
- Analysatorn för NTP-protokollet har skrivits om helt och en ny analysator för MQTT har lagts till. Möjligheterna hos analysatorer för DNS, RDP, SMB och TLS har utökats. För DNS tillhandahålls analys av SPF-poster, och för DNSSEC - RRSIG, DNSKEY, DS, NSEC och NSEC3 och urvalet av händelser som är associerade med dem. Lade till stöd för SMB 3.x-protokollet till SMB-analysatorn och stöd för TLS 1.3 för TLS;
- Stöd för deinkapsling av strömmar som sänds inuti VXLAN-tunnlar har implementerats;
- Lade till stöd för länkar med typen NFLOG;
- Lade till möjligheten att spara extraherade data i loggen i UTF8-kodning;
- Stöd för stängningar för anonyma funktioner har lagts till i skriptspråket, en operator för att räkna upp tabeller i nyckel-värde-formatet ("för (nyckel, värde i t)") har lagts till, vektorseparationsoperationer i Python-stil har implementerats ("v[2:4]"), en ny struktur, paraglob, föreslås för snabb matchning av strängmasker i stora binära datamängder;
- Alla referenser till namnet "bro" i filsökvägar, inställningar, paket, skript, namnutrymmen och funktioner har ersatts med "zeek" (stöd för äldre namn bibehålls för bakåtkompatibilitet). Bro-pkg-pakethanteraren har bytt namn till zkg.
Källa: opennet.ru