ProHoster > blogg > internetnyheter > Zeek 3.0.0 trafikanalysator släppt

Zeek 3.0.0 trafikanalysator släppt

Sju år efter bildandet av den sista betydande grenen presenteras lansering av ett system för trafikanalys och nätverksintrångsdetektering Zeek 3.0.0 , tidigare distribuerad under namnet Bro. Detta är den första betydande releasen sedan dess byta namn på projektet, begått för att namnet Bro var förknippat med den marginella subkulturen med samma namn, och inte som en avsedd anspelning på "Big Brother" från George Orwells roman "1984" som författarna avsåg. Systemkoden är skriven i C++ och levererad av under BSD-licensen.

Zeek är en trafikanalysplattform fokuserad främst på, men inte begränsat till, övervakning av säkerhetshändelser. Moduler tillhandahålls för att analysera och analysera olika nätverksprotokoll på applikationsnivå, med hänsyn till anslutningarnas tillstånd och möjliggör skapandet av en detaljerad logg (arkiv) över nätverksaktivitet. Ett domänspecifikt språk föreslås för att skriva övervakningsskript och identifiera anomalier, med hänsyn till specifika infrastrukturers särdrag. Systemet är optimerat för användning i nätverk med hög bandbredd. Ett API tillhandahålls för integration med tredjeparts informationssystem och datautbyte i realtid.

В nya utgåvan:

  • Analysatorn för NTP-protokollet har skrivits om helt och en ny analysator för MQTT har lagts till. Möjligheterna hos analysatorer för DNS, RDP, SMB och TLS har utökats. För DNS tillhandahålls analys av SPF-poster, och för DNSSEC - RRSIG, DNSKEY, DS, NSEC och NSEC3 och urvalet av händelser som är associerade med dem. Lade till stöd för SMB 3.x-protokollet till SMB-analysatorn och stöd för TLS 1.3 för TLS;
  • Stöd för deinkapsling av strömmar som sänds inuti VXLAN-tunnlar har implementerats;
  • Lade till stöd för länkar med typen NFLOG;
  • Lade till möjligheten att spara extraherade data i loggen i UTF8-kodning;
  • Stöd för stängningar för anonyma funktioner har lagts till i skriptspråket, en operator för att räkna upp tabeller i nyckel-värde-formatet ("för (nyckel, värde i t)") har lagts till, vektorseparationsoperationer i Python-stil har implementerats ("v[2:4]"), en ny struktur, paraglob, föreslås för snabb matchning av strängmasker i stora binära datamängder;
  • Alla referenser till namnet "bro" i filsökvägar, inställningar, paket, skript, namnutrymmen och funktioner har ersatts med "zeek" (stöd för äldre namn bibehålls för bakåtkompatibilitet). Bro-pkg-pakethanteraren har bytt namn till zkg.

Källa: opennet.ru

Lägg en kommentar